实际上对付BEAST对SSL攻击的工作从今年 5、6 月份就展开了。BEAST 的两位研究人员也没在本周五正式发表前透露太多细节,不过 Google 显然不打算冒任何风险。BEAST 利用选择明文恢复 (chosen plaintext-recovery) 攻击 SSL 和 TLS 早期版本的 AES 加密,其中被称为加密块连锁 (cypher block chaining) 的加密方式使用之前的加密块对下一个块进行加密。
Chrome 的补丁通过将信息碎片化以减少攻击者对即将加密的明文的控制。
了解 BEAST 细节的研究员同意不在周五前泄漏消息,其中一位就是 Google 的安全研究员,他在 Hacker News 的评论说:
因为我的工作是 Chrome 的 SSL/TLS 协议栈,因此我知道这一攻击的细节。链接的新闻 (关于 BEAST 的新闻 - Dante 注)根本就是煽情,不过新闻界就好这口儿。
基本上人们没什么可担心的,因为什么也没坏。
Via Google +Dante Jiang and The Register