實證紅芯瀏覽器泄漏私鑰

14 人贊了文章

看報道說紅芯瀏覽器安裝包帶有私鑰，本來是不太相信的。因為如果真存在這個問題，說明紅芯瀏覽器團隊缺乏基本的網路安全知識。但是還是想試試看，於是下載了一個安裝包。

安裝紅芯瀏覽器後，安裝目錄帶有2個「私鑰」文件（這兩個私鑰文件內容相同），看名字分別是加密用的和簽名用的，以 encryption_key.pem 為例。

一. encryption_key.pem 是有效的私鑰文件並且明文保存本地機器

採用國密 SSL 的命令行工具 gmssl 讀取該文件，無須輸入任何密碼就能直接解出來私鑰和公鑰。上面部分 priv 是該文件帶的私鑰，下面 pub 部分就是與之配對的公鑰。該文件內容完全匹配 ec 加密演算法格式。

二. encryption_key.pem 和 encryption_cert.pem 是配對的私鑰和證書。

確認方法是將私鑰文件 encryption_key.pem 里的公鑰和證書文件 encryption_cert.pem 里的公鑰都導出，然後比對兩者是否相同。如果相同，則說明這兩個文件是配對的。同時將公鑰和配對的私鑰公布出去，也就意味著是一個低級錯誤。

導出國密證書文件里的公鑰：gmssl.exe x509 -in encryption_cert.pem -pubkey -out cert_pubkey.pem

導出國密SSL私鑰文件里的公鑰：gmssl.exe ec -in encryption_key.pem -pubout -out ec_pubkey.pem

對比兩個公鑰文件：

左側是證書導出的公鑰，右側是私鑰文件導出的公鑰。

公鑰部分完全相同。也就是印證 encryption_key.pem 和 encryption_cert.pem 是配對的私鑰和證書。

推薦閱讀：