标签: Titan安全密钥

出于安全方面考虑 OpenSSH 宣布放弃对 SHA-1 认证方案的支持

OpenSSH是最受欢迎的连接和管理远程服务器实用工具之一,近日团队宣布计划放弃对SHA-1认证方案的支持。OpenSSH在公告中引用了SHA-1散列算法中存在的安全问题,被业内认为是不安全的。该算法在2017年2月被谷歌密码学专家破解,可利用SHAttered技术将两个不同文件拥有相同的SHA-1文件签名。 不过当时创建一个SHA-1碰撞被认为需要非常昂贵的计算成本,因此谷歌专家认为SHA-1在实际生活中至少还需要等待半年的时间,直到成本进一步下降。随后在在2019年5月和2020年1月发布的研究报告中,详细介绍了一种更新的方法,将SHA-1选择-前缀碰撞攻击的成本分别降低到11万美元和5万美元以下。 对于像国家级别以及高端网络犯罪集团来说,让他们生成一个SSH认证密钥,从而让它们能够远程访问关键服务器而不被检测到,那么5万美元的代价是非常小的。OpenSSH开发者今天表示:“由于这个原因,我们将在不久的未来版本中默认禁用‘ssh-rsa’公钥签名算法。” OpenSSH应用程序使用 “ssh-rsa “模式来生成SSH验证密钥。这些密钥中的一个存储在用户要登录的服务器上,另一个存储在用户的本地OpenSSH客户端中,这样用户就可以在每次登录时不需要输入密码就可以访问服务器,而是以本地验证密钥来代替登录。 在默认情况下,OpenSSH ssh-rsa模式通过使用SHA-1散列功能生成这些密钥,这意味着这些密钥容易受到SHAterred攻击,使威胁行为者能够生成重复的密钥。OpenSSH开发者今天表示:“遗憾的是,尽管存在更好的替代方案,但这种算法仍然被广泛使用,它是原始SSH RFCs规定的唯一剩下的公钥签名算法”。 OpenSSH团队现在要求服务器所有者检查他们的密钥是否已经用默认的ssh-rsa模式生成,并使用不同的模式生成新的密钥。OpenSSH团队表示,推荐的模式是rsa-sha2-256/512(自OpenSSH 7.2以来支持)、ssh-ed25519(自OpenSSH 6.5以来支持)或ecdsa-sha2-nistp256/384/521(自OpenSSH 5.7以来支持)。     (稿源:cnBeta,封面源自网络。)

因无线配对协议错误 谷歌宣布召回 BLE 版 Titan 安全密钥

Titan安全密钥是由谷歌推出的一款防范网上诱骗的双重身份验证 (2FA) 设备,内置硬件芯片,其中包含由 Google 设计的固件,用于验证密钥的完整性。它主要为IT管理员这样的高价值用户提供妥善的安全保护,并防范账号被盗用。不过近期谷歌发现Titan存在安全隐患,允许攻击者在物理接近的时候访问安全密钥或者和它配对的设备。 由于蓝牙低功耗(BLE)版本Titan安全密钥的无线配对协议中存在错误配置,导致谷歌宣布召回这批设备。当Titan安全密钥和配对的设备进行通信的时候,这个错误允许攻击者在大约30英尺范围内发起攻击。根据谷歌官方的概述: 当您尝试在设备上登录帐户时,通常会要求您按BLE安全密钥上的按钮将其激活。在此时刻身临近距离的攻击者可能会在您自己的设备连接之前将自己的设备连接到受影响的安全密钥。在这种情况下,如果攻击者以某种方式已经获得您的用户名和密码并且可以准确地计算这些事件,则攻击者可以使用他们自己的设备登录您的帐户。 在使用安全密钥之前,必须将其与您的设备配对。配对后,与您近距离接触的攻击者可以使用他们的设备伪装成受影响的安全密钥,并在您被要求按下密钥上的按钮时连接到您的设备。之后,他们可能会尝试将其设备更改为蓝牙键盘或鼠标,并可能会对您的设备执行操作。 如果你手头上就有一个Titan安全密钥,那么可以通过检查设备背面来确认是否受到影响。如果您看到“T1”或“T2”,那么您的密钥会受到影响,您有资格获得免费更换。由于该错误仅影响蓝牙配对,因此安全密钥的非蓝牙版本不受影响。   (稿源:cnBeta,封面源自网络。)