上海CA提供的的API内含重大BUG - Security版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Security版 - 上海CA提供的的API内含重大BUG

相关主题
● 请问一个在openssl编程中遇到的问题。	● help!!!
● [转载] 有个来自英国的IP老试图黑我	● 请教两个问题
● 请教这些记录	● 哪位帮忙
● 请问有没有这样的软件?	● 求救:每次打开hotmail.com就发现硬盘的一个QUARANTINE FOLDER里面自动生成许多
● 我的系统被人不停攻击.有什么办法吗/	● v2233的问题
● 我的电脑总接收到数据包	● 怎么除 spyware guard 2008?
● 哪里可以下载PKI/CA的源码	● 我的公司的电脑中了病毒，一直生成 “System Volume Information”这样的folder
● Network Security Theory	● [转载] PC&上网问题若干（或许你也遇到同样的问题）

相关话题的讨论汇总
话题: api话题: ca话题: 随机数话题: 生成话题: bug

进入Security版参与讨论

(共1页)

t*******r
发帖数: 1

上海CA提供的的API内含重大BUG
陶岳峰自由职业者，计算机科学硕士 m****[email protected]
金钟晖经理宝碁软件（上海）有限公司 j******[email protected]
上海CA（上海市电子商务安全证书管理中心有限公司sheca.com）是
中国大陆华东地区最大的也是大概唯一的CA提供商，在测试其提供的
API是发现两个的重大漏洞。
漏洞一：随机数生成问题：
在测试中我们发现，API提供的随机数生成函数很原始，我们知道，
生成的随机数的好坏与否，在基于PKI的安全体系中，非常重要。
在测试上海CA提供的API时，我们发现，随机生成的种子值只采用一
个参数，这在安全体系中是根本不允许的。
如果黑客在网络上截获加密后的数据包，找出加密时的时间值，用同
一种随机数生成函数生成一个随机数，用这个随机数绕过数字信封，
直接解加密的数据包，那么，用这样的API体系构架的安全体系其实
是一种"西洋三宝"--意思是中看不中用。
PKI体系的安全性的构架居于这样一种哲学--算法公开的，同时有非
常高的安全性。
这种常识性的错误本不应该发生。
由此想到的是中国的因特网安全问题，据

(共1页)

进入Security版参与讨论

相关主题
● [转载] PC&上网问题若干（或许你也遇到同样的问题）	● 我的系统被人不停攻击.有什么办法吗/
● DOS可以被破坏的么?	● 我的电脑总接收到数据包
● 能介绍一种好用的杀spyware的软件吗？	● 哪里可以下载PKI/CA的源码
● 中了一种奇怪的病毒，求助	● Network Security Theory
● 请问一个在openssl编程中遇到的问题。	● help!!!
● [转载] 有个来自英国的IP老试图黑我	● 请教两个问题
● 请教这些记录	● 哪位帮忙
● 请问有没有这样的软件?	● 求救:每次打开hotmail.com就发现硬盘的一个QUARANTINE FOLDER里面自动生成许多

相关话题的讨论汇总
话题: api话题: ca话题: 随机数话题: 生成话题: bug

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天