Старые алгоритмы шифрования защитят от уязвимости в TLS/SSL

image

Теги: SSL, TLS, эксплоит

Эксперты компании PhoneFactor рекомендуют использовать протокол шифрования RC4, так как он не подвержен уязвимости в TLS 1.0.

Эксперты в области информационной безопасности нашли простой способ обхода системы дешифрования защищенного SSL трафика. Напомним, что исследователи Таи Дуонг (Thai Doung) и Джулиано Риццо (Juliano Rizzo) обнаружили уязвимость в протоколе TLS 1.0 и более ранних версиях, которая позволяет злоумышленникам расшифровывать данные, передаваемые от сервера конечному пользователю.

Сотрудники службы двухфакторной аутентификации PhoneFactor рекомендуют интернет-компаниям применять для шифрования алгоритм RC4. Это менее защищенный алгоритм, чем современные AES и DES, но на него не распространяются обнаруженные уязвимости.

По данным компании Qualys, web-серверы Google уже настроены на работу с RC4. Представитель Google заявил, что данный алгоритм используется компанией «уже годами».

По словам разработчиков BEAST, их инструмент нацелен на использование давно описанной уязвимости в алгоритмах шифрования, эксплуатация которых ранее считалась невозможной.

Уведомление компании PhoneFactor можно просмотреть здесь.


comments powered by Disqus