實證紅芯瀏覽器泄漏私鑰
14 人贊了文章
看報道說紅芯瀏覽器安裝包帶有私鑰,本來是不太相信的。因為如果真存在這個問題,說明紅芯瀏覽器團隊缺乏基本的網路安全知識。但是還是想試試看,於是下載了一個安裝包。
安裝紅芯瀏覽器後,安裝目錄帶有2個「私鑰」文件(這兩個私鑰文件內容相同),看名字分別是加密用的和簽名用的,以 encryption_key.pem 為例。
一. encryption_key.pem 是有效的私鑰文件並且明文保存本地機器
採用國密 SSL 的命令行工具 gmssl 讀取該文件,無須輸入任何密碼就能直接解出來私鑰和公鑰。上面部分 priv 是該文件帶的私鑰,下面 pub 部分就是與之配對的公鑰。該文件內容完全匹配 ec 加密演算法格式。
二. encryption_key.pem 和 encryption_cert.pem 是配對的私鑰和證書。
確認方法是將私鑰文件 encryption_key.pem 里的公鑰和證書文件 encryption_cert.pem 里的公鑰都導出,然後比對兩者是否相同。如果相同,則說明這兩個文件是配對的。同時將公鑰和配對的私鑰公布出去,也就意味著是一個低級錯誤。
導出國密證書文件里的公鑰:gmssl.exe x509 -in encryption_cert.pem -pubkey -out cert_pubkey.pem
導出國密SSL私鑰文件里的公鑰:gmssl.exe ec -in encryption_key.pem -pubout -out ec_pubkey.pem
對比兩個公鑰文件:
左側是證書導出的公鑰,右側是私鑰文件導出的公鑰。
公鑰部分完全相同。也就是印證 encryption_key.pem 和 encryption_cert.pem 是配對的私鑰和證書。
推薦閱讀:
※網路安全等級保護工作政策體系整理
※一把鎖的傳奇——從 OpenSSL 到 MesaLink
※一個安全人眼中的「十年雲安全戰爭」
※前沿 | 抗擊黑產 阿里安全八大實驗室首秀技術實力