当前位置:安全资讯 >> 全文

研究人员:TextSecure是一款安全的聊天客户端

发布时间:2014-11-18 14:10 标签: TextSecure,聊天,客户端
分享到 0

德国波鸿鲁尔大学研究人员经过对TextSecure进行安全审计之后发现,这款安卓聊天客户端是可以信赖的,并且未知密钥共享攻击(Unknown key-share attack)也可通过一些技巧消除。

TextSecure旨在保持信息的真实性以及保密性,可用于对短信、多媒体信息以及即时信息进行加密。这款app可从Google       Play下载,且已整合至安卓操作系统的开源发布CynogenMod中。研究人员对TextSecure进行了一系列安全检查以验证其端对端的文本加密能力。在一份名为《TextSecure到底有多安全?》(点击此链接或见附件)的技术性论文中,研究人员分析了这款app的安全协议,并且公布了一些未知密钥共享攻击中的小缺陷。

这篇论文描述了TextSecure的加密如何运行,将协议的工作流程分为几个阶段,包括登记、发送/接收第一条信息、发送第二条信息、以及发送回复。为了更好地帮助理解,研究人员举了如下例子进行说明:

“Bart想跟朋友Millhouse开个玩笑。Bart知道Millhouse要用TextSecure邀请自己去参加生日聚会(这是Lisa告诉Bart的),于是他便将自己的公钥换成了Nelson的公钥并要求Millhouse验证这个“新公钥”(这一要求是很容易提出的,因为换一部新手机并注册一下就可以获得一个新公钥而不必使用旧的备份公钥)。接下来,Bart会将Millhouse发过来的邀请发给Nelson,至此Bart完成了恶作剧即未知密钥共享攻击结束。Millhouse以为自己给Bart发送了生日邀请,但实际上Nelson是受邀的那个人。”

这一攻击存在变体,并且通过控制一个WiFi接入点及干预两个对话者拦截信息。论文提出了消除这一攻击的应对措施。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://news.softpedia.com/news/TextSecure-Is-A-Safe-Chat-Client-Researchers-Find-463900.shtml
参与讨论,请先 登录 | 注册

用户评论