کد QR مطلبدریافت صفحه با کد QR

افشای كلیدهای رمزگذاری سرورها با استفاده از رخنه HeartBleed

مرکز ماهر , 26 فروردين 1393 ساعت 14:00

محققان امنیتی بر این باور هستند كه این امكان وجود دارد كه بتوان با استفاده از رخنه HeartBleed، كلید خصوصی را افشاء كرد.


محققان امنیتی بر این باور هستند كه این امكان وجود دارد كه بتوان با استفاده از رخنه HeartBleed، كلید خصوصی را افشاء كرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، چهار محقق كه به طور جداگانه بر روی رخنه HeartBleed كار كرده بودند نشان دادند كه كلید خصوصی رمزگذاری سرور می تواند با استفاده از مشكل HeartBleed افشاء شود.

این رقابت از آن جا آغاز شد كه شركت CloudFlare از محققان امنیت خواست تا به این پرسش جواب دهند كه رخنه افشاء شده HeartBleed می تواند برای دسترسی به كلید خصوصی استفاده شده در یك كانال رمزگذاری شده بین كاربران و وب سایت ها استفاده شود.

كلید خصوصی بخشی از گواهینامه امنیتی است كه بررسی می كند رایانه كلاینت به وب سایت تقلبی كه سعی دارد خودش را معتبر نشان دهد متصل نشود. رایانه كلاینت پس از بررسی درصورتی كه گواهینامه وب سایت نامعتبر باشد، هشداری را نشان می دهد.

محققان امنیتی بر این باور هستند كه این امكان وجود دارد كه بتوان با استفاده از رخنه HeartBleed، كلید خصوصی را افشاء كرد.

Nick Sullivan از شركت امنیتی CloudFlare بر روی وب سایت این شركت نوشت: این نتیجه به ما یادآوری می كند كه قدرت این رخنه را نادیده نگیریم و بر تاثیر مخرب این آسیب پذیری تاكید می كند.

با بدست آوردن كلید خصوصی یك گواهینامه SSL/TLS، یك مهاجم می تواند یك وب سایت تقلبی را به گونه ای تنظیم كند كه از بررسی های امنیتی عبور نماید. آن ها هم چنین می توانند ترافیك بین یك كلاینت و سرور را رمزگشایی نمایند.

محققان هم چنان در تلاش هستند تا شرایطی كه داده های خاص می تواند تحت آن شرایط آشكار شود را بیابند. OpenSSL یك برنامه منبع باز است كه در طیف وسیعی از سیستم عامل ها، برنامه های كاربردی تلفن همراه ، مسیریاب ها و دیگر تجهیزات شبكه استفاده می شود.

هم چنان كد سوء استفاده ای كه هر یك از محققان برای بدست آوردن كلید خصوصی طراحی كرده اند، افشاء نشده است.


کد مطلب: 7415

آدرس مطلب :
https://www.aftana.ir/news/7415/افشای-كلیدهای-رمزگذاری-سرورها-استفاده-رخنه-heartbleed

افتانا
  https://www.aftana.ir