نرم افزار مالی | اخبار فناوري اطلاعات
صفحه اصلي | اخبار و مقالات | اخبار فناوري اطلاعات | گوگل از مرداد ماه کلید های رمزنگاری اس اس ال خود را طویل تر می کند

گوگل از مرداد ماه کلید های رمزنگاری اس اس ال خود را طویل تر می کند

انفورماتيك آرا - دوشنبه ۶ خرداد ۱۳۹۲
اخبار فناوري اطلاعات

SSL یا لایه سوکت های امن، پروتکلی است که برای رد و بدل کردن سندهای خصوصی از طریق اینترنت توسعه یافته. گواهی های SSL برای رمزنگاری کردن ارتباطات و تایید درستی هویت طرف دیگر ارتباط که کاربران به آن متصل هستند، استفاده می شوند و هر ارتباط SSL از کلیدی خصوصی برای به رمز درآوردن اطلاعاتی که در این بستر منتقل می شوند، استفاده می نماید.

کلیدهایی که 1024 بیت طول دارند ضعیف تلقی می شوند و کلیدهای 512 یا 768 بیتی نیز در اصل بود و نبودشان فرقی نمی کند. گوگل در حال حاضر ار کلیدهای 1024 بیتی بهره می برد ولی به زودی مهاجرت به کلیدهای 2048 بیتی آغاز خواهد شد. این را استفن مک هنری، مدیر اصلی بخش مهندسی امنیت اطلاعات در این شرکت بیان کرده.

او در وبلاگ گوگل نوشته: «ما از اول آگوست (10 مرداد) به گواهی های 2048 بیتی منتقل خواهیم شد تا از داشتن زمان کافی برای نهایی سازی آن پیش از پایان سال، اطمینان داشته باشیم. همچنین گواهی ریشه را هم که تمام گواهی های SSL ما را تایید می کند عوض خواهیم کرد چون آن هم کلید 1024 بیتی دارد.»

مک هنری اشاره می کند که اکثر دستگاه ها با این تغییر مشکلی نخواهند داشت ولی شاید برنامه اجرایی برخی تلفن ها، پرینترها، گیرنده های تلویزیونی، کنسول های بازی و دوربین ها با مشکلاتی روبرو شوند.

گرچه گوگل به تقویت مواضع خود می پردازد ولی SSL هنوز ضعف هایی دارد. صدها سازمان در سرتاسر دنیا می توانند به ارائه گواهی ها یا کلیدهای SSL بپردازند. این کلیدها همگی به یک مرجع صدور گواهی دیجیتال وصل هستند و این سازمان ها که با عنوان میانجی شناخته می شوند، هدف اصلی در حملات هکرها به شمار می روند. هکرهای خرابکار با حمله به آنها به جعل گواهی های SSL می پردازند.

به عنوان مثال در سال 2011 زمانی که یک مرجع صدور گواهی به نام DigiNotar قربانی چنین حمله ای شد هکر ها در حدود 500 گواهی جعل کردند که یکی از آنها برای حمله ای از نوع man-in-the-middle به کاربران جیمیل در ایران مورد استفاده قرار گرفت.

یا در موردی دیگر، سال 2009، تحقیقگر امنیتی به نام موکسی مارلین اسپایک نرم افزاری به نام calledA SSLstrip ساخت که به مهاجمین امکان مداخله و متوقف کردن یک ارتباط SSL را می داد، هر چند برای این خطر راهکارهایی در دسترس هست ولی هکرها با استفاده از آن می توانند هر نوع داده ای را که به یک وبسایت جعلی فرستاده می شود، رصد کرده و مورد سوء استفاده قرار دهند.

منبع : سايت نگهبان
Share
محصولات نرم افزاري آرا
مركز دانلود
درخواست خريد
درباره آرا
تماس با ما
مقالات برگزیده
نرم افزار انبارداری