2016-10-12

Gemalto SSL金鑰、憑證安全解決方案

    最近非常火紅的「Gogoro」是一款主打科技、酷炫又環保的電動車。對於喜歡嘗鮮的 3C 迷來說,這樣的產品自然很有吸引力。
 但Gogoro車主要小心了!如果手機感染惡意程式,攻擊者可以輕易地偷走你的Gogoro!
App到雲端的SSL加密有檢查的問題

  在HITCON發表Gogoro資安風險的台科大資管系學生戴辰宇表示,控制Gogoro的方式是使用手機App,手機就像是鑰匙圈一樣,將所有Gogoro的資訊都存在APP程式中。
  App在上網的過程中,從App到雲端都要經過SSL加密檢查驗證,一開始Gogoro把金鑰放在雲端伺服器上,登錄之後才傳送到App。從App到雲端過程中的資訊很有可能被 攔截,代表金鑰很有可能被有心人士取得,只要金鑰被偷走的話,駭客就能把Gogoro騎走。

 

SSL私密金鑰遭竊取,怎麼辦?

  當入侵者取得伺服的SSL私密金鑰即可冒充伺服器。他也可以使用合法金鑰者的身分建立一個非法網站,然後進行詐騙因為其假身分而放心的無知受害者。因此確保金鑰持續秘密且只有合法擁有者可以使用是極為重要的,只要沒有保護好SSL私密金鑰,SSL仍然存在著疑問和不確定性。
  SSL私密金鑰透過相對應的SSL憑證來表彰身分,在大多數情況中,SSL私密金鑰都是以加密檔案形式保存在電腦磁碟中,方便應用程式存取。當需要金鑰時,它們會被讀取到電腦的記憶體,以便進行加密操作。但問題是如果攻擊者入侵合法SSL伺服器取得讀取權限後,這些加密檔案便會遭到複製、竄改或刪除。不僅在Gogoro事件中,其他例如電子商務網站的安全付款或銀行的線上金融服務。當SSL私密金鑰被攻擊時,嚴重後果明顯立見且應立刻採取補救措施。

 

SSL金鑰儲存安全 & Gemalto SafeNet Network HSM
一個完整的SSL金鑰、憑證安全解決方案
   F5 BIG-IP、Palo Alto、Citrix 和 Gemalto SafeNet Network HSM 攜手合作,一個高效能、完整和值得信賴的組合。
 將 SSL交易中用來驗證伺服器的私密金鑰和憑證儲存在HSM中作為信任根本,企業可以透過受BIG-IP保護的 SSL通道安全地傳送資料和遞送應用程式。資料在傳送前會先進行加密,而解密所需的金鑰則絕對不會離開硬體設備,藉此免除資料以明文格式遭到攔截。HSM 和 F5 BIG-IP、Palo Alto、Citrix 環境的整合,可確保私密金鑰和憑證永遠受到保護,且可用於識別伺服器以及保護傳輸層。
  透過HSM,企業可以相信在 F5 BIG-IP、Palo Alto、Citrix管理網路中傳輸的資料都會被加密,不會被未經授權的使用者取得。無論攻擊是鎖定阻斷服務或是竊取寶貴的資料,F5 BIG-IP、Palo Alto、Citrix /HSM解決方案能減緩攻擊造成的風險進而保護內部資源。

  gogoro文章出處:http://www.bnext.com.tw/article/view/id/40327