TLS 1.3概述

作者:李新宇 中科院软件所

TLS 1.3是IETF正在制定的TLS 新标准。TLS 自标准化至今已有近20年的时间,自1999年TLS 1.0标准颁布,到后来的TLS 1.1(2006年)和目前得到广泛使用的TLS 1.2(2008年),TLS是保障网络传输安全最重要的安全标准之一。然而,广泛的应用也使得TLS成为了攻击的“众矢之的”,这些攻击或利用TLS设计本身存在的不足(如幸运十三攻击[1]、三次握手攻击[2]、跨协议攻击 [3]等),或利用TLS所用密码原语本身的缺陷(如RC4加密 [4]、RSA-PKCS#1 v1.5加密 [5]等),或利用TLS实现库中的漏洞(如心脏出血攻击[6]等)。面对这一系列的攻击,一直以来我们采取的措施是“打补丁”,即针对新的攻击做新的修补。然而,由于TLS的应用规模过于庞大,不断地打补丁在如此大规模的实际应用中并不容易全面实施。除此之外,交互双方必须运行复杂的TLS握手协议才能开始传输信息,很多情况下我们希望在握手轮数和握手延迟方面可以有更多的选择。出于以上以及其他种种因素的考虑,IETF从2014年开始着手制定一个“clean”的TLS1.3。 Continue reading

蚂蚁金服与InForSec联合发布2017年百万科研基金

蚂蚁金服与InForSec联合发2017年百万科研基金

近期,蚂蚁金服与InForSec网安国际学术论坛联合发起《2017科研基金计划》,聚焦当下的互联网产学研热点、助力青年学者学术研究,将科学研究成果与产业发展需求有效结合、不断创新,以推动行业发展。即日起到2017年6月30日,开放申报通道。申报请关注蚂蚁金服评论公众号,并点击本文后的“阅读原文”下载申报表(现场答疑见文末)。相关内容如下: Continue reading

中国电子信息技术年会专题论坛三:大数据驱动的网络安全研究与实战

中国电子信息技术年会专题论坛三:大数据驱动的网络安全研究与实战

4月27日,一年一度的中国电子信息技术年会将在石家庄盛大开幕。本次年会以“信息科技驱动智能产业,引领京津冀协同发展”为主题,主论坛加六大专题论坛,来自信息科技领域的院士专家、行业大咖和技术大牛们将就这些引人关注的话题进行深入剖析探讨,一场超乎想象的信息科技高端学术交流与火花碰撞即将呈现。 Continue reading

“软件智能分析”学术沙龙在中科院软件所举办

“软件智能分析”学术沙龙中科院软件所举办

2017年4月14日,“软件智能分析”学术沙龙第一次活动在中国科学院软件研究所成功举行。本次活动由中科院软件所软件智能分析协同创新团队和InForSec论坛共同举办,阿里云安全首席架构师李晓宁、新加坡国立大学梁振凯教授和中科院软件所协同创新团队成员时磊副研究员等出席沙龙并分别做了精彩报告。 Continue reading

大数据驱动的智能化网络安全 ——InforSec学术论坛在南京成功召开

大数据驱动的智能化网络安全

——InforSec学术论坛在南京成功召开

2017年4月17日,网络安全研究国际学术论坛InForSec在南京举办了以“大数据驱动的智能化网络安全”为主题的学术论坛。本次论坛分“大数据与网络空间安全”论坛及“漏洞挖掘与智能攻防”论坛,分别由清华大学教授段海新及美国乔治亚大学教授李康主持。 Continue reading

SSL/TLS的近年相关攻击研究综述(六)

SSL/TLS的近年相关攻击研究综述(六)

证书相关研究

作者:韦俊琳  清华大学

简介

数字证书(简称证书)基于公钥加密机制一种数据结构,可以绑定一个实体的身份和其拥有的公钥。证书可以为两个实体间通信提供安全保障。SSL/TLS也是通过证书来确保客户端和服务器进行安全,保密的通信。服务器发送证书,客户端(如浏览器)检验证书的有效性。然而证书的安全性验证却一直是一个难题。目前针对证书安全性的研究非常广泛,近几年有几项重点的相关研究,值得学习。本文将选择性地总结相关研究。 Continue reading

SSL/TLS的近年相关攻击研究综述(五)

SSL/TLS的近年相关攻击研究综述(五)

协议实现不足的漏洞

作者:韦俊琳 清华大学

简介:SSL/TLS协议的设计是非常复杂的,其中在一些RFC的定义并没有被很好的实现,或者说在实现过程中存在偏差,导致存在着一些致命的漏洞。近几年有很多研究人员对TLS的实现做了深入的研究,如OpenSSL,MatrixSSL等,发现了一些比较有意义的漏洞,如HeartBleed,FREAK等。在发现漏洞的工程中,研究人员开发了很多新的方式,其中利用自动状态机来发现漏洞的方式就具有很强的影响力。

Continue reading

中科院软件所&InForSec “软件智能分析”学术沙龙第一次活动预告

科院软件&InForSec

“软件智能分析”学术沙龙第一次活动预告

“软件智能分析”学术沙龙第一次活动将于2017年4月14日(星期五上午)9点在中国科学院软件研究所5号楼334会议室举行。本次活动由中科院软件所软件智能分析协同创新团队和InForSec坛共同举办,邀请到了阿里云李晓宁安全架构师、新加坡立大学梁振凯教授和协同创新团队成员时磊副研究员,三位学者将分别带来精彩报告。报告将通过InForSec论坛网上实时转播,敬请关注。 Continue reading

SSL/TLS的近年相关攻击研究综述(四)

SSL/TLS的近年相关攻击研究综述(四)

协议设计不足的漏洞

作者:韦俊琳 清华大学

简介:在SSL/TLS的协议设计中,除了CBC模式,RC4之外,近几年还发现了一些其他相关的漏洞。从K. Bhargavan 团队的相关研究中,三次握手攻击,SLOTH攻击,降级弹性等都是有代表性的研究。

Continue reading

大数据驱动的智能化网络安全——InforSec@南京学术论坛4月17日开幕

大数据驱动的智能化网络安全

首届江苏省网络空间安全攻防对抗赛暨XCTF南京站线下赛同期举行

时间:2017年4月17日 9:00 – 18:00(周一)

地点:南京市江宁区双龙大道1528号丽湖雅致酒店

直播地址:http://www.edu.cn/live/

Continue reading