【视频回看】贾瑶琪:错综复杂的互联网——云服务和点对点通讯下的新兴Web安全和隐私问题

Title:错综复杂的互联网——云服务和点对点通讯下的新兴Web安全和隐私问题

Speaker: 贾瑶琪 新加坡国立大学博士生

Time: 2017年3月10日

视频目录:

第1部分  新兴Web安全

第2部分  隐私问题

SSL/TLS的近年相关攻击研究综述(三)

SSL/TLS的近年相关攻击研究综述(三)

协议设计不足的漏洞 (针对RC4 的攻击)

作者:韦俊琳  清华大学

简介

我们在前面一文,介绍了SSL/TLS在协议加密方式方面,存在的一些可以被利用漏洞。本文综合介绍SSL/TLS使用RC4算法加密时,可能产生的攻击方式。我们首先简单介绍RC4加密的工作原理,然后介绍针对RC4的攻击的发展过程以及应对策略。

Continue reading

SSL/TLS的近年相关攻击研究综述(二)

SSL/TLS的近年相关攻击研究综述(二)

协议设计不足的漏洞 (基于CBC padding 的攻击)

作者:韦俊琳 (清华大学)

简介:

SSL/TLS在协议设计方面,存在一些弱点,可以被利用。本文综合介绍SSL/TLS使用CBC加密模式时,可能产生的攻击。 我们首先简单介绍CBC加密模式的工作原理。然后介绍基于CBC padding的相关攻击,包括Lucky Thirteen 攻击,POODLE 攻击,Bleichenbacher 攻击,和DROWN 攻击。

Continue reading

SSL/TLS 的近年相关攻击研究综述 (1)

SSL/TLS 的近年相关攻击研究综述 (1)

作者:韦俊琳  清华大学

在互联网时代,我们依靠的手机和计算机通信,支付,信息交流等都是互联网的一部分。但众所周知,在最初设计互联网的时候,其主要目标是增强通信能力,没有过多考虑安全问题。因此,现在互联网的核心通信协议TCP/IP,在本质上是不安全的。为了解决数据在TCP上的安全传输问题,Netscape 公司在1994年提出了Secure Socket Layer (SSL)协议,又称套接字安全协议。由于发布的SSL 2没有和Netscape 之外的安全专家商讨,考虑得不够全面,存在着严重的弱点[1]。在1995年, Netscape 发布了SSL 3,修补了SSL2协议上的很多漏洞,例如,解决了重放攻击,消息认证,增添了ChangecipherSpec等等。SSL 3发布以后,得到了业界的高度重视。之后IETF成立Transport Layer Security(TLS) 工作组,基于SSL3设计了TLS, 并于1999年,2006年,和2008年分别发布了TLS 1.0 [2],TLS 1.1 [3],和TLS 1.2 [4],修补了协议中设计,实现中存在的大量漏洞。

Continue reading

【视频回看】胡宏:针对数据流的攻击:危害,构造和实战攻击

Title:针对数据流的攻击:危害,构造和实战攻击

Speaker: 胡宏 佐治亚理工学院博士后

Time: 2017年2月21日

视频目录:

第1部分   Background、Data-flow stitching

第2部分  Data-oriented programming、SOP bypassing

第3部分 回答问题

还原所有加密关键词的方法: 文件植入攻击对可搜索加密的危害

作者:张宇鹏,马里兰大学电子工程系四年级在读博士

可搜索加密技术允许用户搜索自己储存在云端的加密文件, 同时保证加密文件和自己搜索的关键词隐私。大多数这方面的研究致力于研发高效的可搜索加密技术。为了提高效率,这些可搜索加密技术定义了一些可以允许的关于加密文件和加密搜索词的信息泄露。但是,这些信息泄露的实际意义并没有被进一步探讨。

Continue reading