U盾真的安全吗？

88865ff

近期都关注U盾的事情我转自一篇前几年在电脑报上看到的一篇文章：2009-12期 U盾≠纸盾，网银能自保



U盾，一种安全硬件，网银最强、也是最后的手段。
网上流传一种病毒可以攻破U盾，这意味着什么？网银安全体系全面崩溃！
你还敢在网上购物了？你还敢在网上炒股了？网银的末日到了！

　　听到传言后，我们寻找这种病毒，不过根本没有捕获，但知道了该病毒的原理。该病毒据说可以绕过数字证书，可以自动登录网银转账页面向黑客制定账号转账。这么神秘的病毒到底存在吗？它真的有传说中的那么厉害吗？

病毒分析师：病毒根本不存在

　　禹林：现供职于某知名安全厂商。

　　当我听说U盾被病毒攻破后，吓了一大跳，急忙在网上查询，发现说U盾被病毒攻破的文章都有炒作的嫌疑。U盾可不等于数字证书，病毒能绕过数字证书，并不表示可以攻破U盾。

　　小编旁白：数字证书相当于“网络身份证”，如果启用了数字证书，在使用网银时它会进行网络验证，确保交易真实可靠。U盾是一个含有数字证书、带智能芯片的硬件，采用了1024位不可逆加密，具有唯一性和不可复制性，将U盾插入电脑后就可以在使用网银了。

　　数字证书可以下载到电脑中，在IE中使用，如果病毒利用钓鱼之类的手段是可以绕过数字证书的，不过这也只是绕过而已，并没有真正的破解数字证书。当前病毒的技术根本不可能达到破解硬件的程度。

　　所以目前说有攻破U盾的病毒，我认为是不存在的，很长时间之内都不可能出现。网上流传的号称攻破U盾的病毒只是能绕过数字证书的病毒，而且它根本没有传播开来，大家都是只闻其声不见其“人”。

　　就我多年的工作经验，我猜测，该变种可能主要是起试验的作用，尚不具备大规模传播和攻击的能力。大家不必担心攻破U盾病毒会出现，开发病毒的人是没有这个技术的，有这个技术的高手都会有所顾滤。国内有着个能力的高手用手指头都可以数的过来，如果被调查，赖都赖不掉，就算真有一大堆钱摆在他们面前也未必有这个胆量去做。

顶尖黑客：理论可破，实际不行

　　血蔷薇：参加过两次黑帽大会， 擅长超高难度的入侵。

　　我觉得在谈U盾被攻破之前，先要弄明白什么是U盾，什么是数字证书，两者之间是什么关系，数字证书等于U盾吗？攻破数字证书等于攻破了U盾吗？如果没有不明白这些东西，那你被忽悠了也不稀奇，担惊受怕不敢使用网银也是情有可原的。

　　我就不会被忽悠，也不会被吓倒。绕过下载到电脑中的数字证书又不是什么特别高深的技术，要添加到病毒代码里面也不难，所以这种病毒出现，一点都不稀奇，就是多了一些小花招而已！

　　如果病毒要攻破U盾，就必须在U盾插入电脑后读取U盾信息，然后复制一个一模一样的U盾指纹。这个原理说起来简单，但做起来可就难了，迄今为止我还没有看到或者听说有人做到了。

　　为什么这么难破解呢？主要原因有两个，一个是必须要精通单片机；另外一个是要破解U盾的非对称算法1024位加密。所有涉及用户身份验证的运算全部在U盾里面进行，在U盾的硬件接口上没有任何外部命令能够读取U盾密钥区的内容。

　　用单片机知识入侵U盾并不是关键，关键的是要破解非对称算法1024位加密。目前为止，据我所知也不过破解到了307位而已，距离1024位还比较远，破解的位数越多，花费的时间也是呈几何数增长。

　　如果可以模拟出U盾指纹，才可以说真正攻破了U盾。我个人认为，从核原理诞生到核武器诞生，花费了一二十年；从攻破U盾原理诞生到攻破U盾技术诞生，不会少于二十年。说一句实话，有功夫去研究攻破U盾技术，还不如直接研究网银服务器省事。就算这种技术研究出来，也是经济大战的“核武器”，谁敢第一个使用？  

　　冰血封情：邪恶八进制创始人。

　　最近大家挺关注U盾嘛！U盾被攻破了，是不是被吓倒了！^_^，其实没有那么严重，这种病毒就是一只“纸老虎”，它没有攻破U盾，它兴不起风、也作不起浪，U盾还是很安全的。

　　不过，研究U盾破解的人的确是有，都是一些精英黑客。但要说现在U盾就被攻破了，那绝对是骗人的，理论上要破解非对称算法1024位加密要花费上亿年时间，目前世界上还没有一例成功破解的案例。据我所知，破解U盾的技术还在被小圈子里面的人研究，实际的效果，还远远达不到设想的要求，目前U盾破解应该是停留在解密阶段。
安全工程师：防范技术一直在进步

　　深灰色：为许多企业提供过安全防范方案，了解银行安全体系。

　　网银的安全保护措施一直是在不断进步的，以前没有U盾，现在有了。当前的U盾今后可能被破解，不过那个时候又有了新的安全的安全保护措施。我举个例子，非对称算法RSA出现有一二十年了，为什么现在还在用？

　　因为加密的位数是在不断进化的，以前大家用256位加密、512为加密，现在用1024为加密，以后可能会大面积使用2048为加密……，事实证明，加密规则永远处于领先地位。所以大家根本没有不用担心U盾可能被破解。

U盾还是安全的

　　在和十数位各路高手深入交流后，得出了U盾还是安全的，大家都是虚惊了一场。不过令人感到忧虑的是，网银大盗新变种的出现，预示着网银盗号技术得到了提升，虽然目前该技术还存在非常大的漏洞，实战的能力值得怀疑，但这种技术的发展趋势却是令我们胆战心惊的。小编建议大家，最好申请网银和手机号码绑定（有额外花费），这样每次网银交易时都会收到短信提示，一旦有异常就会及时发现。



邀请工程师：

禹林：现供职于某知名安全厂商。
血蔷薇：参加过两次黑帽大会， 擅长超高难度的入侵。
冰血封情：邪恶八进制创始人。
深灰色：为许多企业提供过安全防范方案，了解银行安全体系。

迷惘的执著

没有密不透风的墙，没有绝对的安全

里奥

现在证明U盾是可以攻破的
但是消耗的时间很长，而且技术要求很高，特别是二代，难度更大
相对来说除非环境以及被破坏，否则U盾还是很有用的

chenyz_aleck

我总觉得坛子里面那个案例，类似钓鱼么。。。
攻破U盾我不太信的。。。

88865ff

里奥 发表于 2012-7-16 12:11
现在证明U盾是可以攻破的
但是消耗的时间很长，而且技术要求很高，特别是二代，难度更大
相对来说除非环境 ...

1024为加密 我不知道这神人是用什么方式能破解的？暴力破解起码要10多年

bukkake

邪不压正

boriswen

U盾对于网银用户来说是有必要了解的。

天天天蓝9999

u盾没那么容易短时间让人攻破把

dreamcatcher076

你也是看了昨晚上那个神贴吧 纯AD 认真你就输了

88865ff

dreamcatcher076 发表于 2012-7-16 12:38
你也是看了昨晚上那个神贴吧 纯AD 认真你就输了

帖子有两处漏洞 第一U盾极难破解 除非是社工  第二哪个网银一次允许转账20W？