目录
心脏出血漏洞
心脏出血漏洞(Heartbleed bug),也简称为心血漏洞,是一个出现在加密程序库OpenSSL的安全漏洞,该程序库广泛用于实现互联网的传输层安全(TLS)协议。它于2012年被引入了软件中,2014年4月首次向公众披露。只要使用的是存在缺陷的OpenSSL实例,无论是服务器还是客户端,都可能因此而受到攻击。此问题的原因是在实现TLS的扩展时没有对输入进行适当验证(缺少边界检查),因此漏洞的名称来源于“心跳”(heartbeat)。该程序错误属于缓冲区过读,即可以读取的数据比应该允许读取的还多。 心脏出血在通用漏洞披露(CVE)系统中的编号为。发布安全公告,提醒系统管理员注意漏洞。2014年4月7日,即漏洞公开披露的同一天,OpenSSL发布了修复后的版本。 ,在80万最热门的启用TLS的网站中,仍有1.5%易受心脏出血漏洞的攻击。 因为缺陷在于OpenSSL的实现,而不是SSL/TLS协议本身,所以除了OpenSSL之外的其他TLS实现方式,如GnuTLS、Mozilla的网络安全服务(NSS)和Windows平台的TLS实现都不受影响。.
查看 私钥和心脏出血漏洞
傳輸層安全性協定
傳輸層安全性協定(Transport Layer Security,縮寫作 TLS),及其前身安全套接层(Secure Sockets Layer,縮寫作 SSL)是一种安全协议,目的是為網際網路通信,提供安全及数据完整性保障。網景公司(Netscape)在1994年推出首版網頁瀏覽器,網景領航員時,推出HTTPS協定,以SSL進行加密,這是SSL的起源。IETF將SSL進行標準化,1999年公布第一版TLS標準文件。隨後又公布RFC 5246 (2008年8月)與 RFC 6176 (2011年3月)。在瀏覽器、電子郵件、即時通訊、VoIP、網路傳真等應用程式中,廣泛支持這個協定。主要的網站,如Google、Facebook等也以這個協定來建立安全連線,傳送資料。目前已成为互联网上保密通信的工业标准。 SSL包含记录层(Record Layer)和传输层,记录层协议确定传输层数据的封装格式。傳輸層安全協議使用X.509認證,之後利用非對稱加密演算來對通訊方做身份認證,之後交換對稱金鑰作為會談金鑰(Session key)。這個會談金鑰是用來將通訊兩方交換的資料做加密,保证两个应用间通信的保密性和可靠性,使客户與服务器应用之间的通信不被攻击者窃听。.
查看 私钥和傳輸層安全性協定
冷钱包
冷钱包(Cold Wallet),与热钱包相对应,也称离线钱包或者断网钱包(Offline Wallet),区块链钱包的种类之一,也就是网络不能访问到用户私钥的钱包。冷钱包通常依靠“冷”设备(不联网的电脑、手机等)确保比特币私钥的安全,运用二维码通信让私钥不触网,避免了被黑客盗取私钥的风险,但是也可能面临物理安全风险(电脑丢失、损坏等)。.
查看 私钥和冷钱包
公開金鑰認證
公開金鑰認證(Public key certificate),又稱公開金鑰憑證、公鑰憑證、數位憑證(digital certificate)、數位認證、身份憑證(identity certificate)、電子證書或安全證書,是用於公開金鑰基礎建設的電子檔案,用來證明公開金鑰擁有者的身份。此檔案包含了公鑰資訊、擁有者身份資訊(主體)、以及数字证书认证机构(發行者)對這份文件的數位簽章,以保證這個文件的整體內容正確無誤。擁有者憑著此檔案,可向電腦系統或其他使用者表明身分,從而對方獲得信任並授權存取或使用某些敏感的電腦服務。電腦系統或其他使用者可以透過一定的程序核實憑證上的內容,包括憑證有否過期、數位簽章是否有效,如果你信任簽發的机构,就可以信任憑證上的金鑰,憑公鑰加密與擁有者進行可靠的通訊。 數位憑證的其中一個最主要好處是在證認擁有者身分期間,擁有者的敏感個人資料(如出生日期、身分證號碼等)並不會傳輸至索取資料者的電腦系統上。透過這種資料交換模式,擁有者既可證實自己的身分,亦不用過度披露個人資料,對保障電腦服務存取雙方皆有好處。 人們透過信任数字证书认证机构的根证书、及其使用公开密钥加密作數位簽章核發的公開金鑰認證,形成信任鏈架構,已在TLS實作並在万维网的HTTP以HTTPS、在电子邮件的SMTP以STARTTLS引入並廣泛應用。業界現行的標準是國際電信聯盟電信標準化部門制定的X.509,並由IETF發行的詳細述明。而在不少先進國家,都已立法承認使用數位憑證所作的數位簽章擁有等同親筆签名的法律效力(如欧洲联盟、香港、台灣)。.
查看 私钥和公開金鑰認證
CloudFlare
Cloudflare是一間美國的跨國IT企業,總部位於舊金山,在倫敦和英美外亦設有辦事處。 Cloudflare以向客戶提供網站安全管理、性能優化及相關的技術支持為主要業務。通過基於反向代理的內容傳遞網路(Content Delivery Network,CDN)及分佈式域名解析服務(Distributed Domain Name Server),Cloudflare可以幫助受保護站點抵禦包括拒絕服務攻擊在內的大多數網絡攻擊,確保該網站長期在線,同時提升網站的性能、載入速度以改善訪客體驗。 在 2012 年 6 月,Cloudflare與數家虛擬主機提供者(包括HostPapa)建立合作夥伴關係,以實作其Railgun技術。在 2014 年 2 月,Cloudflare減緩了當時有記錄以來規模最大的 DDoS 攻擊,針對未揭露之客戶的攻擊流量最高達每秒400 Gbit。在 2014 年 11 月,Cloudflare 報告了另一個大規模 DDoS 攻擊,該次攻擊對獨立媒體網站的流量為每秒500Gbit。.
热钱包
热钱包(Hot Wallet),与冷钱包相对应,也称在线钱包或者联网钱包(Online Wallet),区块链钱包的种类之一,也就是网络能够访问到用户私钥的钱包。.
查看 私钥和热钱包
钥匙串
钥匙串(英文:Keychain)是苹果公司Mac OS中的密码管理系统。它在Mac OS 8.6中被导入,并且包括在了所有后续的Mac OS版本中,包括Mac OS X。一个钥匙串可以包含多种类型的数据:密码(包括网站,FTP服务器,SSH帐户,网络共享,无线网络,群组软件,加密磁盘映像等),私钥,电子证书和加密笔记等。.
查看 私钥和钥匙串
WannaCry
WannaCry(直译“想哭”、“想解密”,俗名“魔窟”,或称WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor)是一种利用NSA的“永恒之蓝”(EternalBlue)漏洞利用程序透過互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索軟體兼蠕虫病毒(Encrypting Ransomware Worm)。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币,使用Tor进行通讯,为WanaCrypt0r 1.0的变种。 2017年5月,此程式大规模感染包括西班牙電信在内的许多西班牙公司、英国國民保健署、聯邦快遞和德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击(目前已有大约150个国家遭到攻击)。俄罗斯联邦内务部、俄羅斯聯邦緊急情況部和俄罗斯电信公司共有超过1000台计算机受到感染。中国教育网相连的中国大陆高校也出现大规模的感染,感染甚至波及到了公安机关使用的内网,国家互联网应急中心亦发布通报。 WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的计算机。“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主。“永恒之蓝”利用了某些版本的微软伺服器訊息區塊(SMB)协议中的數個漏洞,而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修复该漏洞的安全补丁已經于此前的2017年3月14日发布,但并非所有计算机都进行了安装。.
查看 私钥和WannaCry