विज्ञापन

एक उपन्यास एन्क्रिप्शन बग हाल ही में सामने आया है, जो ऑनलाइन गोपनीयता के लिए खतरा पैदा कर सकता है। डब्ड "लोगजाम", बग टीएसएल (ट्रांसपोर्ट सिक्योरिटी लेयर) में होता है, जो सर्वरों को प्रमाणित करने और सुरक्षित वेब गतिविधि (जैसे आपका बैंक लॉगिन) की सामग्री को छिपाने के लिए इस्तेमाल किया जाने वाला एन्क्रिप्शन प्रोटोकॉल है।

बग एक पुरुष-में-मध्य हमलावर को आपके ब्राउज़र को मजबूर करने की अनुमति देता है, और यह सर्वर से जुड़ा होता है, एन्क्रिप्शन के एक कमजोर रूप का उपयोग करने के लिए जो जानवर-बल के हमलों के लिए असुरक्षित है। यह से संबंधित है 'फ्रीक' भेद्यता SuperFREAK: नई सुरक्षा बग Vulnerablity डेस्कटॉप और मोबाइल ब्राउज़र सुरक्षा को प्रभावित करती हैFREAK भेद्यता वह है जो आपके ब्राउज़र को प्रभावित करती है, और यह किसी एक ब्राउज़र तक ही सीमित नहीं है, न ही कोई एकल ऑपरेटिंग सिस्टम। पता करें कि क्या आप प्रभावित हैं और अपनी सुरक्षा करें। अधिक पढ़ें इस वर्ष की शुरुआत में खोज की और पैच किया। ये कीड़े अधिक भयावह सुरक्षा मुद्दों की ऊँची एड़ी के जूते पर आते हैं जैसे Heartbleed हार्दिक - आप सुरक्षित रहने के लिए क्या कर सकते हैं? अधिक पढ़ें

instagram viewer
तथा मनोविकृति हार्दिक से भी बदतर? शेलशॉक से मिलो: ओएस एक्स और लिनक्स के लिए एक नया सुरक्षा खतरा अधिक पढ़ें .

954px-Internet1

जबकि पैच अधिकांश प्रमुख ब्राउज़रों के लिए काम कर रहे हैं, यह सुधार हजारों वेब-सर्वरों को दुर्गम छोड़ सकता है जब तक कि वे सही कोड के साथ उन्नत नहीं होते हैं।

एक सैन्य विरासत

अधिकांश सुरक्षा कमजोरियों के विपरीत, जो कारण होती हैं बस प्रोग्रामर निरीक्षण द्वारा 1,000 आईओएस ऐप में क्रिप्प्लिंग एसएसएल बग है: यदि आप प्रभावित हैं तो कैसे जांचेंAFNetworking बग, iPhone और iPad उपयोगकर्ताओं को समस्या दे रहा है, जिसमें विभिन्न ऐप में भेद्यता होती है एसएसएल प्रमाण पत्र को सही ढंग से प्रमाणित किया जा रहा है, संभावित रूप से मैन-इन-द-मिडिल के माध्यम से पहचान की चोरी को सुविधाजनक बनाता है हमला करता है। अधिक पढ़ें , यह भेद्यता कम से कम आंशिक रूप से जानबूझकर है। 1990 की शुरुआत में, जब पीसी क्रांति चल रही थी, संघीय सरकार चिंतित थी कि विदेशी शक्तियों को मजबूत एन्क्रिप्शन प्रौद्योगिकी का निर्यात अन्य पर जासूसी करने की अपनी क्षमता से समझौता कर सकता है राष्ट्र का। उस समय, मजबूत एन्क्रिप्शन प्रौद्योगिकी को कानूनी रूप से हथियार का एक रूप माना जाता था। इसने संघीय सरकार को इसके वितरण पर सीमाएं लगाने की अनुमति दी।

परिणामस्वरूप, जब एसएसएल (सिक्योर सॉकेट लेयर, टीएसएल के पूर्ववर्ती) को विकसित किया गया था, तो इसे दो फ्लेवर में विकसित किया गया था - यूएस संस्करण, जो पूर्ण लंबाई कुंजियों का समर्थन किया 1024 बिट्स या बड़ा, और अंतर्राष्ट्रीय संस्करण, जो 512-बिट कुंजियों में सबसे ऊपर है, जो घातीय हैं कमजोर। जब एसएसएल के दो अलग-अलग संस्करण बात करते हैं, तो वे अधिक आसानी से टूटी हुई 512-बिट कुंजी पर वापस आ जाते हैं। निर्यात नियमों को एक नागरिक अधिकार के कारण बदला गया था, लेकिन पश्च-संगतता कारणों से, TSL और SSL के आधुनिक संस्करणों में अभी भी 512 बिट कुंजियों का समर्थन है।

081,203-एन-2147L-390

दुर्भाग्य से, टीएसएल प्रोटोकॉल के हिस्से में एक बग है जो निर्धारित करता है कि किस कुंजी-लंबाई का उपयोग करना है। यह बग, लोगजाम, एक की अनुमति देता है बीच वाला व्यक्ति एक मध्य-मध्य हमला क्या है? सुरक्षा शब्दजाल समझायायदि आपने "मैन-इन-द-मिडिल" हमलों के बारे में सुना है, लेकिन यह निश्चित नहीं है कि इसका क्या मतलब है, तो यह आपके लिए लेख है। अधिक पढ़ें हमलावर दोनों ग्राहकों को यह सोचकर चकमा देने के लिए कि वे एक विरासत प्रणाली से बात कर रहे हैं जो एक छोटी कुंजी का उपयोग करना चाहता है। यह कनेक्शन की ताकत को कम करता है, और संचार को डिक्रिप्ट करना आसान बनाता है। यह बग लगभग बीस वर्षों से प्रोटोकॉल में छिपा हुआ है, और हाल ही में इसे उजागर किया गया है।

कौन प्रभावित हुआ है?

बग वर्तमान में शीर्ष दस मिलियन HTTPS- सक्षम वेबसाइटों, और बड़ी संख्या में मेल सर्वरों के लगभग 8% को प्रभावित करता है, जो पुराने कोड को चलाने के लिए करते हैं। इंटरनेट एक्सप्लोरर को छोड़कर सभी प्रमुख वेब ब्राउज़र प्रभावित होते हैं। प्रभावित वेबसाइटें पृष्ठ के शीर्ष पर ग्रीन https लॉक दिखाती हैं, लेकिन कुछ हमलावरों के खिलाफ सुरक्षित नहीं होंगी।

ब्राउज़र निर्माताओं ने इस बात पर सहमति जताई है कि इस समस्या का सबसे मजबूत समाधान 512-बिट आरएसए कुंजी के लिए सभी विरासत समर्थन को हटाना है। दुर्भाग्य से, यह प्रस्तुत करेगा इंटरनेट का कुछ हिस्साकई मेल सर्वरों सहित, उनके फर्मवेयर अपडेट होने तक अनुपलब्ध हैं। यह देखने के लिए कि क्या आपके ब्राउज़र को पैच किया गया है, आप सुरक्षा शोधकर्ताओं द्वारा स्थापित साइट पर जा सकते हैं जिन्होंने हमले की खोज की थी, पर weakdh.org.

हमला व्यावहारिकता

तो कितना कमजोर है है एक 512-बिट कुंजी इन दिनों, वैसे भी? यह जानने के लिए, हमें सबसे पहले यह देखना होगा कि किस पर हमला किया जा रहा है। डिफी-हेलमैन कुंजी विनिमय एक एल्गोरिथ्म है जिसका उपयोग दो पक्षों को एक साझा सममित एन्क्रिप्शन कुंजी पर सहमति देने के लिए किया जाता है, बिना काल्पनिक स्निपर के साथ साझा किए बिना। डिफी-हेलमैन एल्गोरिथ्म प्रोटोकॉल में निर्मित एक साझा प्राइम-संख्या पर निर्भर करता है, जो इसकी सुरक्षा को निर्धारित करता है। शोधकर्ताओं ने एक सप्ताह के भीतर इन अपराधों में से सबसे आम को क्रैक करने में सक्षम थे, जिससे उन्हें लगभग 8% इंटरनेट ट्रैफ़िक को डिक्रिप्ट करने की अनुमति मिली, जो कि कमजोर 512-बिट प्राइम के साथ एन्क्रिप्ट किया गया था।

यह इस हमले को "कॉफ़ी शॉप हमलावर" के लिए पहुंच के भीतर रखता है - एक छोटा चोर सार्वजनिक वाईफाई के माध्यम से सत्रों पर स्नूपिंग सार्वजनिक वाई-फाई पर लॉग इन करने के 3 खतरेआपने सुना है कि आपको सार्वजनिक वाईफाई का उपयोग करते समय पेपाल, अपना बैंक खाता और संभवतः अपना ईमेल भी नहीं खोलना चाहिए। लेकिन वास्तविक जोखिम क्या हैं? अधिक पढ़ें , और वित्तीय जानकारी को पुनर्प्राप्त करने के लिए तथ्य के बाद जानवर-मजबूर चाबियाँ। यह हमला एनएसए जैसे निगमों और संगठनों के लिए तुच्छ होगा, जो जासूसी के लिए मध्य हमले में एक आदमी को स्थापित करने के लिए काफी लंबाई तक जा सकते हैं। किसी भी तरह से, यह एक विश्वसनीय सुरक्षा जोखिम का प्रतिनिधित्व करता है, दोनों सामान्य लोगों और किसी के लिए जो अधिक शक्तिशाली बलों द्वारा स्नूपिंग के लिए असुरक्षित हो सकता है। निश्चित रूप से, एडवर्ड स्नोडेन जैसे किसी को भविष्य के लिए असुरक्षित वाईफाई का उपयोग करने के बारे में बहुत सावधान रहना चाहिए।

640px-Backlit_keyboard (1)

अधिक चिंता की बात यह है कि शोधकर्ता यह भी सुझाव देते हैं कि मानक प्राइम-लेंथ जिन्हें सुरक्षित माना जाता है, 1024-बिट डिफी-हेलमैन की तरह, शक्तिशाली सरकार द्वारा क्रूर-बल के हमले के लिए असुरक्षित हो सकता है संगठनों। वे सुझाव देते हैं कि इस समस्या से बचने के लिए बड़े आकार के बड़े पैमाने पर पलायन।

क्या हमारा डेटा सुरक्षित है?

640px-Nsa_sign

LogJam बग राष्ट्रीय सुरक्षा के प्रयोजनों के लिए क्रिप्टोग्राफी को विनियमित करने के खतरों का एक अवांछित अनुस्मारक है। संयुक्त राज्य के दुश्मनों को कमजोर करने के प्रयास ने सभी को आहत किया है, और हम सभी को कम सुरक्षित बना दिया है। यह ऐसे समय में आया है जब एफबीआई टेक कंपनियों को मजबूर करने के प्रयास कर रही है उनके एन्क्रिप्शन सॉफ्टवेयर में बैकडोर शामिल करें. इस बात की बहुत अच्छी संभावना है कि अगर वे जीत जाते हैं, तो आने वाले दशकों के लिए परिणाम उतने ही गंभीर होंगे।

तुम क्या सोचते हो? क्या मजबूत क्रिप्टोग्राफी पर प्रतिबंध होना चाहिए? क्या आपका ब्राउज़र LogJam के खिलाफ सुरक्षित है? हमें टिप्पणियों में बताएं!

छवि क्रेडिट: अमेरिकी नौसेना साइबरवार, हैकर कीबोर्ड, एचटीटीपी, एनएसए साइन विकिमीडिया द्वारा

दक्षिण पश्चिम में स्थित एक लेखक और पत्रकार, आंद्रे को 50 डिग्री सेल्सियस तक कार्यात्मक रहने की गारंटी है, और बारह फीट की गहराई तक जलरोधी है।