2017年2月,一篇发表在IACR密码学预印本上的论文提出了一个尖锐的问题:当一个协议试图在零次往返中建立安全连接时,它是否还能保持密码学的安全承诺?这篇由德国达姆施塔特工业大学Marc Fischlin和Felix Günther撰写的论文,标题本身就揭示了问题的核心——《Replay Attacks on Zero Round-Trip Time: The Case of the TLS 1.3 Handshake Candidates》。 ...
title: “SSH密钥认证的隐形危机:为何你的私钥可能正在成为攻击者的通行证” date: “2026-03-06T13:46:02+08:00” description: “从1995年Tatu Ylönen发明SSH协议,到2023年GitHub RSA密钥泄露事件,SSH密钥认证已经走过了三十年历程。本文深度剖析SSH密钥认证的安全困境:Ed25519与RSA的算法博弈、Agent转发攻击原理、证书认证的企业级方案、以及FIDO2硬件密钥的零信任实践。基于USENIX Security论文、Qualys安全公告、NIST SP 800-63标准等权威信源,揭示SSH密钥管理中的十大安全陷阱,以及从密钥蔓延(key sprawl)到证书权威(CA)架构的技术演进路径。” draft: false categories: [“网络安全”, “密码学”, “运维实践”] tags: [“SSH”, “密钥管理”, “Ed25519”, “证书认证”, “零信任”, “FIDO2”, “CVE-2023-38408”, “Agent转发”, “密钥泄露”] 2023年3月24日,凌晨5点UTC,GitHub紧急更换了其用于保护Git操作的RSA SSH主机密钥。原因很讽刺:这个密钥在某个公开的GitHub仓库中被短暂暴露。 ...
2005年,美国摄影师Peter Krogh在他的著作《Digital Asset Management for Photographers》中提出了一个简洁的数据保护原则:保留三份数据副本,存储在两种不同的介质上,其中一份异地保存。这个后来被称为"3-2-1备份规则"的框架,在近二十年间成为了数据保护的事实标准。 ...
2024年9月,一篇题为《Breaking reCAPTCHAv2》的论文在arXiv上发表,结论令人震惊:使用公开的YOLO模型,研究者能够100%破解Google的reCAPTCHA v2图像验证码。 ...
2007年,一位开发者在阅读了RFC规范后写下了一篇震惊的文章,标题是《直到我读了RFC,我才知道怎么验证电子邮件地址》。他发现几乎所有网上的正则表达式都太严格了——按照规范,这些地址全部合法: ...
2025年10月22日,互联网系统联盟(ISC)披露了一个影响BIND 9 DNS服务器的严重漏洞(CVE-2025-40778)。攻击者无需网络访问权限,即可向递归解析器的缓存中注入伪造的DNS记录,将用户流量重定向到恶意服务器。这是自2008年Kaminsky漏洞以来,DNS缓存投毒攻击再次成为头条新闻。 ...
2020年12月13日,美国网络安全公司FireEye发布了一份震动全球的安全公告。该公司在调查自身安全事件时,发现了一个潜伏已久的高级持续性威胁(APT):攻击者通过入侵网络监控软件供应商SolarWinds,在其产品更新中植入了后门。这个被命名为SUNBURST的恶意软件,随着正常的软件更新被推送给了约18,000家客户——包括美国财政部、国土安全部、国家安全局,以及微软、英特尔、思科等全球顶级科技公司。 ...