アカウント名:
パスワード:
脆弱性がたびたび報告されているが?
ただ、単に通信のパケットがそろっただけで全部復号化できるような物は無いです。
さんざん騒いだ Heartbleed は、確かに、サーバ側の秘密鍵を取得できる可能性があったので、執拗にトライして秘密鍵が取れたら(実際には、なかなか成功しないみたいですが)、キャプチャしてあった通信内容を全部復号化できます。逆にだからこそ、あれだけの騒ぎになりました。
もし、Heatbleed の脆弱性がある期間にキャプチャされていて、秘密鍵の取得に成功していれば、秘密鍵を入れ替えるまでの通信は復号化できますが、逆に、Heatbleed の対策をした上で秘密鍵を入れ替えてしまえば、以降の通信に関して問題は無くなります。
最近報告があった OpenSSL の脆弱性も大きな話題になりましたが、あれは MITM(Man in the Middle)の状態で解読できる、というもので、ワイヤータッピングで得られたパケットを解読できる訳ではないです。
あるとすれば、SSL/TLS の暗号化自体よりも、ソーシャルハッキングとか、別の脆弱性で秘密鍵が抜かれたとか、社内に協力者がいるとか、脆弱性が放置されていたとか、運用上の問題の可能性が高いと思います。というか、正面切ってキャプチャしたデータを解読するより、この方が簡単だろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
>SSLもしくはそこで使われている暗号化技術が破られている (スコア:0)
脆弱性がたびたび報告されているが?
Re:SSLもしくはそこで使われている暗号化技術が破られている (スコア:1)
ただ、単に通信のパケットがそろっただけで全部復号化できるような物は無いです。
さんざん騒いだ Heartbleed は、確かに、サーバ側の秘密鍵を取得できる可能性があったので、執拗にトライして秘密鍵が取れたら(実際には、なかなか成功しないみたいですが)、キャプチャしてあった通信内容を全部復号化できます。逆にだからこそ、あれだけの騒ぎになりました。
もし、Heatbleed の脆弱性がある期間にキャプチャされていて、秘密鍵の取得に成功していれば、秘密鍵を入れ替えるまでの通信は復号化できますが、逆に、Heatbleed の対策をした上で秘密鍵を入れ替えてしまえば、以降の通信に関して問題は無くなります。
最近報告があった OpenSSL の脆弱性も大きな話題になりましたが、あれは MITM(Man in the Middle)の状態で解読できる、というもので、ワイヤータッピングで得られたパケットを解読できる訳ではないです。
あるとすれば、SSL/TLS の暗号化自体よりも、ソーシャルハッキングとか、別の脆弱性で秘密鍵が抜かれたとか、社内に協力者がいるとか、脆弱性が放置されていたとか、運用上の問題の可能性が高いと思います。というか、正面切ってキャプチャしたデータを解読するより、この方が簡単だろうし。