就在上周的KRACK与ROCA两轮加密攻击之后，本周新一轮名为DUHK（即‘别使用硬编码密钥’的缩写）的攻击活动接踵而至，且影响范围同样广泛。DUHK攻击结合了KRACK与ROCA二者的主要元素：

第一项为ANSI X9.31随机数生成器（简称RNG）的使用。这套方案能够生成随机数，并利用其保护VPN连接并浏览会话及其它加密流量/数据。

第二项因素则要求硬件供应商在ANSI X9.31 RNG算法中使用硬编码“种子密钥”。通常来讲，供应商应当在设备启动时或者ANSI X9.31算法运行前生成随机种子密钥。

这意味着当大家使用一款整合有ANSI X9.31且部署了硬编码种子密钥的硬件/软件产品时，攻击者即可顺利解密通过该设备的加密通信内容。可能受到入侵的目标具体包括通过VPN连接或加密Web会话传递的通信内容或登录凭证、支付信息、内网信息、企业隐私数据等。

2万3千台Fortinet 4.x设备易受DUHK攻击

本轮DUHK攻击由两位来自宾夕法尼亚大学的研究人员与一位来自约翰霍普金斯大学的研究人员所共同发现。

在今天发表的一篇题为《针对传统RNG实现方案实施状态恢复攻击》的研究报告中，研究人员们表示他们已经能够对来自世界各地企业中所使用的Fortinet FortiGate设备所负责承载的加密流量进行解密，而这套方案常被用作防火墙或者创建私有VPN网络。

该研究团队表示，他们保留了FortiGate的固件镜像并从中找到了以硬编码形式存在的种子密钥。在此之后，他们观察来自受影响设备的流量并使用该种子密钥，并借此暴力破解其余加密参数。最终，他们得以成功猜测出主加密密钥的具体内容。

采用FortiOS 4.3.0到FOrtiOS 4.3.18版本的Fortinet FortiGate设备会受到DUHK攻击的影响（CVE-2016-8492）。但FortiOS 5.x不会受到影响，根据研究人员与该公司沟通后得到的结论，FortiOS 4.3.19之后的版本已经取消了固件当中的硬编码种子密钥。

在研究过程中，专家们表示，他们发现目前互联网上暴露有超过2万3千台陈旧Fortinet 4.x设备，真实数量可能更夸张一些，因为一部分设备可能位于防火墙网络当中，但其仍存在受到攻击的风险。

面向每条连接的DUHK攻击最长仅须4分钟

此次攻击之所以格外值得强调，是因为研究人员们表示，使用现代计算机的攻击者完全可以在大约4分钟以内破解每条连接的加密密钥。

执行DUHK攻击并不需要进行任何用户交互，因为所有恶意攻击者只需要观察来自存在漏洞的设备的具体流量。由于属于被动性质的网络攻击，因此受害者也无法侦测出何时曾有人对其执行DUHK攻击。

具体来讲，“如果攻击者以某种方式获得该密钥，随后即可从PRG中获取一条16字节原始输出块。接下来，其可以执行以下操作：

1）猜测时间戳；

2）恢复相应状态值；

3）正向或逆向运行生成器，旨在获取该生成器的对应正向与逆向输出结果。

如此，如果一款应用程序利用ANSI生成器以生成随机数，并利用该生成器生成密钥，则意味着攻击者将有可能恢复这些加密密钥，最终彻底破解加密协议。”

该研究团队同时警告称，其它硬件与软件产品同样有可能受到DUHK攻击的影响。研究人员们还发布了以下产品清单，其中各条目皆被证实存在硬编码ANSI X9.31种子密钥。

ANSI X9.31算法种子密钥或早已泄露

这是因为ANSI X9.31的普及度相当高。截至2016年1月，该算法仍被列入美国政府（FIPS）批准的RNG算法名录。

ANSI X9.31在2016年年内仍然被认证有效，不过美国NIST早在2011年就已经淘汰了该算法。此外，科学家们亦警告称，如果其种子密钥真的早在1998年即遭泄露，那么潜在的安全风险将极为严重。

该研究团队解释称，“如果您的产品是在2016年1月之后得到认证，那么其不太可能受到此次攻击的影响。但如果其单纯只是经过X9.31 RNG的认证，那么单凭FIPS证书并不足以阻止这一安全漏洞。”

这是因为供应商们可能会利用符合FIPS标准要求的ANSI X9.31实现方案，但如果固件当中存在硬编码种子密钥，那么其会自动沦为相关设备加密机制当中的后门。

研究人员们最后提醒称，“为了防止此类问题的出现，我们需要更认真地检查其实现流程，并对所有随机数生成器算法进行细致梳理。从策略角度来看，则需要考虑如何推动整个业界避免使用这种存在安全缺陷的实现方式。”