压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　TextSecure是Android平臺(tái)下的一款加密聊天APP，這款免費(fèi)APP設(shè)計(jì)目的是為了保證通信隱私。這款A(yù)PP由Open WhisperSystems開(kāi)發(fā)，代碼完全開(kāi)源，支持端到端短信加密。看起來(lái)很安全是不？不過(guò)最近，來(lái)自德國(guó)魯爾大學(xué)的安全研究員發(fā)現(xiàn)TextSecure存在“未知密鑰共享攻擊”漏洞。

　　了解TextSecure

　　在Edward Snowden揭發(fā)NSA（美國(guó)國(guó)安局）的監(jiān)控項(xiàng)目，F(xiàn)acebook又對(duì)WhatsApp進(jìn)行收購(gòu)后，TextSecure開(kāi)始顯露頭角，成為那些注重隱私，有加密聊天需求人士的首選。

　　安全研究人員在報(bào)告中寫(xiě)道：

　　"自從Facebook收購(gòu)WhatsApp后，能夠加密聊天的即時(shí)通訊軟件變得流行起來(lái)。但是，TextSecure到底有多安全呢？"

　　TextSecure吸引了眾多用戶(hù)，在Google Play應(yīng)用商店的下載量達(dá)到了50萬(wàn)。TextSecure使用了Curve25519、AES-256 和 HMAC-SHA256加密算法，這些算法歷經(jīng)各種測(cè)試后被證明安全可靠的。軟件還使用端對(duì)端加密(end-to-end encryption)，通信內(nèi)容只有接收和發(fā)送方能夠查看。

　　什么是未知密鑰共享攻擊？

　　研究團(tuán)隊(duì)稱(chēng)，TextSecure用了一個(gè)復(fù)雜的加密協(xié)議，它是CyanogenMod Android操作系統(tǒng)的一部分 ，CyanogenMod Android是一款擁有約10萬(wàn)用戶(hù)的開(kāi)源Android系統(tǒng)。研究人員在其中發(fā)現(xiàn)了一種能夠攻擊這個(gè)協(xié)議的方法，即未知密鑰共享攻擊（Unknown Key-Share， UKS）。

　　這個(gè)項(xiàng)目是由蒂爾曼·弗羅施(Tilman Frosch)，克里斯汀·梅恩卡(Christian Mainka)，克里斯托弗·巴德(Christoph Bader)，弗洛里安·伯格斯馬(Florian Bergsma)，約爾格·施文克(Jorg Schwenk)和托爾斯滕·霍爾茲(Thorsten Holz)共同研究的。

　　為更好地理解“未知密鑰共享攻擊”，研究團(tuán)隊(duì)舉了一個(gè)形象的例子：

　　Bart想耍耍他的朋友Milhouse。Bart知道Milhouse會(huì)用TextSecure邀請(qǐng)他來(lái)自己的生日派對(duì)，于是他用Nelson的公鑰替換他自己的公鑰，并讓Milhouse驗(yàn)證他的新公鑰指紋(fingerprint)。這個(gè)惡作劇可以做的合情合理，比如Bart可以編造理由說(shuō)：自己買(mǎi)了個(gè)新手機(jī)，需要重新驗(yàn)證指紋……

　　那么，當(dāng)Milhouse邀請(qǐng)Bart參加他的生日聚會(huì)，Bart只需轉(zhuǎn)發(fā)此消息給Nelson，Nelson就會(huì)認(rèn)為這條消息來(lái)自Milhouse。而Milhouse那邊也被耍了：他本以為邀請(qǐng)了Bart參加他的生日派對(duì)，而實(shí)際上邀請(qǐng)的是Nelson。