NSA能拦截和解密大部分的加密流量(包括HTTPS、SSH和VPN),一个原因是浏览器和服务器支持过时的512位长度的Diffie-Hellman密钥,另一个原因是NSA破解了DH常用的1024位素数。电子前哨基金会(EFF)提供了简单的方法应对NSA的攻击:从系统和浏览器中移除Diffie-Hellman算法支持。以Firefox为例:首先访问
https://www.howsmyssl.com/ 了解浏览器支持哪些加密算法,你应该会注意到两个与Diffie-Hellman相关的算法—TLS_DHE_RSA_WITH_AES_128_CBC_SHA 和TLS_DHE_RSA_WITH_AES_256_CBC_SHA,另外一个ECDHE代表的是Diffie-Hellman的椭圆曲线版本,它是安全的。然后,在地址栏输入about:config,确认后在搜索栏内输入.dhe_,双击结果,将值true改成false。
原文:
http://www.solidot.org/
