根据新的安全研究，使用具有硬编码密钥的随机数生成器可能会发起加密攻击，通过内部网，虚拟专用网（VPN）等传播私有数据。

一个白皮书研究人员在约翰·霍普金斯大学和宾夕法尼亚大学是第一个提请注意密码的攻击方法，它一直被冠以不要使用硬编码的钥匙（DUHK）。通过逆向工程在Fortinet设备上运行的一组固件，研究人员能够在不到五分钟的时间内破译加密参数。

利用随机数生成算法

该漏洞源于ANSI X9.31随机数生成的问题，该算法通过创建加密密钥可以保护浏览会话中的数据和其他在线用例。

正如Bitsonline所说，美国政府的安全标准机构联邦信息处理标准（FIPS）几乎在两年前停止了对ANSI X9.31的支持，但是它已经在很多安全公司的设备中使用了很长时间。在设备设置或启动算法时使用的硬编码种子密钥本质上使得这些设备易受密码攻击的影响。

如果网络犯罪分子使用DUHK，他们的受害者很可能会保持在黑暗中，因为加密攻击本质上是被动的，Bleeping Computer警告说。

白皮书说，这次攻击可能会影响使用旧版FortiOS的超过23,000台FortiGate 4x设备。除了Fortinet设备之外，它还影响了思科，Neopost和其他十几个产品。了解您的组织是否安全的最简单方法是确定您的防火墙或VPN是否在2016年1月之后实现FIPS认证。

ANSI X9.31是坐在DUHK吗？

不是每个人都认为杜克是主要的威胁。正如Threatpost指出的那样，ANSI X9.31的潜在问题在安全专家近二十年来已经被公认。使用它来启动加密攻击也需要在部署安全设备时出现一些其他错误。

这不足以使组织防范可能的威胁，更多关于FIPS等标准机构如何运行其认证流程的批评以及这些流程是否随着信息技术的不断变化而保持最新状态。

本文分享自微信公众号 - 祺印说信安（qiyinshuoxinan）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。