Heartbleed представляет риск для прошлых коммуникаций HTTPS?

Question

Heartbleed представляет риск для прошлых коммуникаций HTTPS?

Heartbleed представляет угрозу, которая может подвергнуть уязвимость компьютерной памяти.

Рассмотрим противника с доступом ко всем зашифрованным текстовым вводам и выводам вашего сервера (интернет-провайдерам, правительству, партнерам локальной сети). Если бы они имели доступ к предыдущим HTTPS-сообщениям (вчера, год назад) на вашем сервере и теперь получили доступ к его памяти, смогут ли они дешифровать прошлые сообщения?

1

ssl https heartbleed

Источник

William Entriken 10 апр '14 в 13:02

1 ответ

Решение

Другие вопросы по тегам ssl https heartbleed

Raystafarian 10 апр '14 в 14:00 2014-04-10 14:00 · Accepted Answer · 2014-04-10 14:00

Для полноты (если затронуто таким образом) я процитирую http://heartbleed.com/:

Что такое утечка первичного ключевого материала и как его восстановить?
Это драгоценности короны, сами ключи шифрования. Утечка секретных ключей позволяет злоумышленнику дешифровать любой прошлый и будущий трафик к защищенным службам и выдавать себя за службу по желанию. Любая защита, предоставляемая шифрованием и подписями в сертификатах X.509, может быть обойдена. Восстановление после этой утечки требует исправления уязвимости, отзыва скомпрометированных ключей, а также переиздания и распространения новых ключей. Даже выполнение всего этого по-прежнему оставляет любой трафик, перехваченный злоумышленником в прошлом, все еще уязвимым для расшифровки. Все это должны сделать владельцы сервисов.