首页 > 经验 > 关键词 > OpenSSL最新资讯 > 正文

OpenSSL:正解与误解

2015-02-06 09:58 · 稿源:雷锋网

对于含笔者在内的小白用户来说,OpenSSL尽管与我们息息相关,但似乎我们并没有太多机会关注和了解它。为数不多的对于OpenSSL的认知,则是有关其“心脏流血”(Heartbleed)的漏洞被电视媒体和互联网媒体报道;罗永浩以及其有关的锤子科技对OpenSSL的大笔捐助;以及最近的“界面”饱受争议的那篇有关OpenSSL和罗永浩的文章。

但广泛流传的未必就是真相,而且众说纷纭中的各种似是而非,实在不便于大家真正了解OpenSSL的庐山真面目。于是,笔者试图从更详细的角度梳理一下OpenSSL,以便大家更好围观。

OpenSSL为何物?

认知OpenSSL得先从SSL说起,SSL可能是大家接触比较多的互联网安全协议之一,看到某个网站地址用了“https://”开头,就是采用了SSL安全协议。根据百度百科的定义,SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。SSL标准由网景公司(Netscape)最早提出,Netscape在推出第一个Web浏览器的同时,提出了SSL协议标准。目的是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。到目前SSL已经成为Internet上保密通讯的工业级别标准。

OpenSSL 则是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。

有关技术和标准的东西,从协议来看,总是不太易懂,有点云里雾里的感觉。再通俗一点讲,OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,它通过一种开放源代码的SSL协议,实现网络通信的高强度加密,目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。显然,说到这里,大家自然就明白OpenSSL和我们自身息息相关了,只是具体怎么相关法我们很少关注。

如果理解起来还有困难的话,还可以在直白一点讲。SSL可以理解为是一个高强度加密的安全锁,而OpenSSL其实就是当前互联网上使用量最大的锁。甚至不夸张的说,你能在网上看到每个“HTTPS”标志,都意味着一个OpenSSL的使用实例。

OpenSSL的进化史

主要版本进化史,更详尽的版本进化可以参见http://www.openssl.org/news/

1998年12月23日,发布0.9.1c;

……

2010年3月29日,发布1.0.0,取代0.9.8x;

……

2015年1月22日,发布1.0.2,当前版本,取代1.0.1,支持DTLS v1.2。

严格的说,OpenSSL只是由一伙黑客或者说爱好者,自发组织起来,跨国协助完成的开源项目,这些黑客中的大多数是以志愿者的身份参与的。写到此处,应该有掌声,世界的某个角落,总有些在常人看起来默默无闻的“志愿者”们在干着伟大的事情。

OpenSSL在国内逐渐走向广为人知的标志性事件

1、Heartbleed Bug(心脏流血漏洞

发生于2014年4月8日,Google和网络安全公司Codenomicon的研究人员发现,OpenSSL Heartbleed模块存在一个BUG。简单的说,黑客可以对使用https(存在此漏洞)的网站发起攻击,每次读取服务器内存中64K数据,不断的反复获取,内存中可能会含有用户http原始请求、用户cookie甚至明文帐号密码等。大家经常访问的网银、支付宝、微信、淘宝等网站也存在这个漏洞。

更通俗点讲“心脏流血”,代表着最致命的内伤。各种最敏感数据在网络上可以被攻击者随意读取,这种情况想想就让人毛骨悚然。利用这一漏洞,黑客坐在自己家里的电脑前,就可以实时获取到很多https开头网址的用户登录账号密码,而且场地不限,比如说,黑客可以在自己的办公室,也可以在其他国家实现数据盗用。

好在OpenSSL很快发布了1.0.1g版本,以修复这一问题,但网站对这一软件的升级还需要一段时间,在这个窗口时间里,用户的敏感数据实际是随时可能被盗用的。所以在2014年这个漏洞爆发后的很长一段时间里,因为媒体连篇累读地提及“心脏流血”,公众也因此对OpenSSL有了一个感性的认知,但显然,这种认知都是比较负面的,毕竟漏洞并不是什么好事儿。

《华尔街日报》撰文称,震惊互联网的“心脏流血”漏洞暴露出OpenSSL的一大软肋:如此重要的项目多年来始终面临着资金和人手不足的窘境,多数工作都要由为数不多的志愿者来完成。

不过基于OpenSSL的重要性,以及Heartbleed Bug的出现,也让业界更加重视OpenSSL,或许正是因祸得福吧。

2014年4月24日Linux基金会宣布成立了核心基础架构联盟,这是一个包含数百万美元投入的庞大支持计划,能为处在全球信息基础架构中的关键项目提供资金。出资人包括亚马逊、戴尔、Facebook、富士通、Google、IBM、英特尔、微软、NetApp、Rackspace、VMware等多个巨型IT企业、互联网新锐和Linux基金会。 该联盟旨在让开发人员能全职在项目上工作,并且支付安全审计、硬件和软件基础设施,旅行及其他费用。OpenSSL是该联盟资金资助的首位获得者候选人。

2、OpenSSL和罗永浩

小白用户更多关注到OpenSSL,是因为罗永浩自己提及锤子科技给OpenSSL捐助了200万元人民币事件,据称这是OpenSSL历史上获得的最大一笔捐赠,而老罗和锤子科技则对OpenSSL予以高度赞誉,认为其在情怀和理想主义上,与老罗和锤子科技一贯宣扬的公众形象,很有共鸣之处。

这种赞誉,在最近“界面”上的一篇文章:《隐形战友》,再次将OpenSSL和罗永浩推向舆论的风口浪尖。很多人质疑罗永浩利用捐款事件炒作,认为罗永浩和锤子科技的捐款只是锦上添花,而非雪中送炭。并提出在此之前其实也有不少组织和公司给OpenSSL捐款,即使没有罗永浩极其锤子科技的捐款,OpenSSL也能正常运转。至于是或者不是,只能OpenSSL组织自己出来澄清了。但是从《华尔街日报》的报道来看,OpenSSL确实多年来始终面临着资金和人手不足的窘境。

无论你喜欢或者讨厌,都无法改变一个事实:

罗永浩的情怀舆论站,让广大中国人,至少是网民更多地知道了OpenSSL的故事。而锤子科技在国内第一个向OpenSSL捐献“巨款”(相比之前的捐款而言)对OpenSSL组织的帮助,会让更多的网民受益。

从这个角度来说,对于罗永浩和锤子科技的捐款,我们应该多些肯定。

最后,关于开源和捐助

关于以OpenSSL为代表的开源项目,笔者想说,不管正解还是误解,都无法阻挡那一群在常规世界里看起来默默无闻的人们,通过互联网,跨越时空,相互协作,凭借自己的智慧和理想,一道完成着和大家息息相关的,“伟大”的事情。对于给予这些人们以帮助的任何行为,不管正解和误解,都应该多些宽容,少些质疑,多些实际行动。

网友热搜:

心脏流血漏洞搭建
  • 相关推荐
  • 大家在看
  • 2020 网民网络安全感满意度调查活动卷

    欢迎您参与本年度网民网络安全感满意度调查活动。调查活动的目的是了解网民上网的安全感和满意度评价,以及对网络安全有关问题的认知和态度。您的回答将作为改善网络安全相关各方面工作的重要参考,您填写的信息将得到充分保护。“安全”才心安,满意才幸福,感射您的支持和参与!

  • 奇安信公告:子公司设合资公司,拓宽健康医疗领域网络安全市场

    奇安信发布公告称,公司全资子公司奇安信网络科技拟与海南信合长盈企业管理有限合伙企业以及关联方中电数据服务有限公司,共同出资设立中电奇安科技有限公司,注册资本 5000 万元,其中奇安信网络科技出资 1750 万元。合资公司以承接卫生与医疗健康领域咨询规划、信息系统安全评估,建设卫生行业网络安全运营中心、医疗健康大数据平台安全为核心业务。

  • 小龙虾的心脏长在什么位置 7.9蚂蚁庄园今日答案是啥

    2020年7月9日,支付宝蚂蚁庄园小课堂的问题是有关于小龙虾的,今天的问题是“小鸡宝宝考考你,“夜宵霸主”小龙虾,它们的心脏长在身体的什么位置?”这个问题很多人还不清楚答案是什么,下面就来为大家详细的介绍一下。

  • 每周至少吃一次!研究发现巧克力可降低患心脏病的风险

    7月22日,据外媒报道,发表在《欧洲心脏病学杂志》上的一项大规模研究发现,每周至少吃一次巧克力患心脏病的风险降低了8%。缺血性心脏病,也称为冠状动脉疾病或心脏病,是全球人类死亡的主要原

  • 中国自主研发的北斗卫星 “心脏”精度:每三百万年差1秒

    北斗三号全球卫星导航系统已经与7月31日正式开通,而这个国产到系统背后,你了解多少?据央视网报道称,北斗卫星导航系统的“最强中国芯”的心脏是国产自主研发的,而这个铷原子钟(

  • 北斗心脏精度每三百万年差1秒 最强中国「芯」详细介绍

    【北斗心脏精度每三百万年差1秒】据央视新闻报道,北斗三号全球卫星导航系统于 7 月 31 日正式开通,那么北斗系统开通背后有什么故事呢。

  • 23岁女子心脏停跳3天奇迹治愈 医生:常熬夜致免疫力下降

    7月26日,据媒体报道,空军军医大学唐都医院成功治愈了一名心脏停跳3天的心肌炎患者,而这名23岁的女患者患病原因是由于长期熬夜免疫力下降导致的。报道称,这名患者生活乐观,经常做户外运动

  • 准备好了吗?2020中国电信“天翼杯”网络安全攻防大赛,等你来战!

    伴随5G新兴技术发展而催生的网络安全新威胁,网络安全已经成为数字化发展的生命线,网络安全和信息化是事关国家经济社会可持续发展、事关国家长治久安、事关人民群众福祉的重大战略问题。主题为“安全无界·攻防有道”的2020中国电信“天翼杯”网络安全攻防大赛,旨在服务国家网络安全战略和网络强国建设,贯彻落实《网络安全法》,展现网络安全人才水平,提供竞技比拼和交流互动的舞台。本次大赛的报名时间为7月21日至28日。初赛?

  • 迪普科技荣获“2019年中国网络安全产业联盟优秀会员单位”荣誉称号

    2020 年 7 月 2 日, 2019 年度中国网络安全产业联盟会员大会暨换届大会(以下简称“大会”)以线上会议的形式成功召开。本次会议审议并通过了第二届联盟工作总结、联盟章程、 2020 年联盟工作要点等内容。在本次大会的联盟章程上,迪普科技被授予“ 2019 年中国网络安全产业联盟优秀会员单位”的荣誉称号,该荣誉也是对迪普科技作为会员单位在联盟中做出突出贡献的充分肯定。■ 中国网络安全产业联盟中国网络安全产业联盟成立于 201

  • 北斗三号卫星核心器部件100%国产 心脏精度每三百万年差1秒

    【北斗三号卫星核心器部件100%国产】据媒体报道,今天( 8 月 3 日)上午 10 时,国务院新闻办公室举行新闻发布会,中国卫星导航系统管理办公室主任、北斗卫星导航系统新闻发言人冉承其等介绍北斗三号全球卫星导航系统建成开通有关情况并答记者问。

  • 打破神话的代币经济与一些常见的思维漏洞

    “在这篇文章中,我将对与代币经济相关的一些概念进行解释,欢迎大家阅读本文。——币安首席执行官赵长鹏(CZ)每天,我都看到人们对代币经济基础概念的各种思维漏洞。我知道,关于金融、关于货币供给系统如何运作等知识,学校教科书内容涉及的介绍篇幅有限。我也知道,加密资产是新兴行业,有些知识是需要我们所有人都去学习的。在这篇文章中,我将解释一些概念,请轻松浏览本文。这些都是我本人的观点,观点可能有失偏颇。我推荐大

  • NEC爆出大量安全漏洞,或将影响所有中小企业及政府!

    日本NEC是全球IT、通信网络的领先供应商之一,也是全球500强企业之一。NEC主要从事IT服务、平台业务、运营商网络、社会基础设施、个人解决方案等产品的研发、集群软件、生产和销售,产品多达15000多种.NEC在全球150多个国家和地区开展业务,融合先进的信息技术和网络技术,向政府、企业及个人提供卓越的综合解决方案。不过7月30日,NEC被爆其通信产品和解决方案中存在大量安全漏洞,旗下多款通信服务器和电话交换机纷纷中招,或将影响

  • 纸人2全部boss打法攻略 杨依兰夫人等boss打法教程

    纸人2中的boss不是特别多,但是有的boss还是需要一定的技巧才能过关的,今天就来为大家带来殷凌、殷洪​、杨依兰等boss战的打法攻略,希望对大家有所帮助。

  • 黑客发现新漏洞:可用于iOS 13.6越狱

    据外媒最新报道称,已经有开发者给出消息称,有用于iOS 13.6正式版的漏洞了(efp0),不过目前相应的越狱工具还在初始阶段。需要指出的是,针对 tfp0 漏洞利用的开发仍处于早期阶段,且目前尚

  • IBM 多款产品爆出漏洞,或严重影响银行等金融机构

    IBM是全球最大的信息技术和业务解决方案公司,其全球能力包括服务、软件、硬件系统、研发及相关融资支持。IBM始终以超前的技术、出色的管理和独树一帜的产品领导着信息产业的发展,保证了世界范围内几乎所有行业用户对信息处理的全方位需求。不过IBM于7月31日发布了安全公告,IBM 旗下多款产品存在大量漏洞,或严重影响银行等金融机构。以下是漏洞详情:一.金融事务管理器(FTM HVP)IBM Financial Transaction Manager for High Va

    IBM
  • SIGRed 严重漏洞来势汹汹,立即修复刻不容缓

    想象一下,如果有人能够在您不知情的情况下拦截并阅读您的每一封邮件(包括新办理的银行卡、各种支付账号信息、工作申请表等等)然后再将其转发给您,将会发生什么?通过邮件了解您的详细信息,黑客能通过复制或篡改您的邮件对您造成破坏性影响。再试想一下,黑客可以在您企业的网络上执行相同的操作,拦截和操控用户的电子邮件和网络流量,终止服务运行,收集用户凭证等等。实际上,他们将能够完全控制您的 IT 设施与核心业务。

  • 安全人员称苹果Enclave存在漏洞 但不会影响大多数iPhone用户

    安全研究人员近日披露了苹果Secure Enclave处理器的一个漏洞,但虽然敏感信息的数据存储,意味着包括Apple Pay详情和Face ID生物识别记录在内的数据有可能受到攻击者的攻击,但事实上,这对于绝大多数苹果客户来说,它不大可能成为一个问题。

  • 盘古团队发现苹果不可修复漏洞:iOS 14能完美越狱

    来自中国的安全团队盘古对iOS 14进行了完美越狱,而他们利用了苹果Secure Enclave安全协处理器上的一个“永久性”的漏洞。Secure Enclave安全协处理器几乎是苹果产品的标准配置,它

  • 盘古团队演示iOS 14越狱:发现Secure Enclave存“不可修复”漏洞

    日前召开的 Mosec 2020 大会上,国内越狱团队盘古发现了苹果 Secure Enclave 安全协处理器上的一个“永久性”的漏洞。这可能会让 iPhone、iPad、Mac、Apple Watch 和其他苹果设备处于危险当中。

  • 云安全提醒:火狐浏览器爆出大量安全漏洞,赶紧更新!

    美国Mozilla是一个以创作Firefox网页浏览器而闻名的自由软件社区。Mozilla社区开发、推广和支持Mozilla相关项目,致力于推动自由软件与开放标准的发展。Mozilla Firefox(火狐浏览器)是Mozilla基金会的产品,它是一款开源Web浏览器,引擎反应快,内存占用少。Firefox从2005年开始,每年都被媒体选为年度最佳浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延升支持版本,适用于企业或者工作单位,又称Firefox企业版。它具有体?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签