近两天“堵塞”（Logjam）漏洞的信息已在业内传播开来，但漏洞发现人员撰写的技术报告非常学术难懂，对于业内非专业技术人员来说，想了解这个漏洞只需明白以下三个问题即可：

一、什么是迪菲-赫尔曼（Diffie-Hellman）？

DH是一种密钥交换协议，用来在通信双方建立会话密钥。像HTTPS、SSH、IPsec、SMTP以及基于TLS的安全连接协议都可以使用DH会话密钥来安全传输数据。

比较普遍的DH应用的例子：网上银行交易、电子邮件收发和VPN连接等。

二、研究人员发现了什么？

许多使用DH的网站服务器使用脆弱的加密参数。依据“堵塞”的技术分析报告，攻击者可以通过这个漏洞读取或更改网站的“安全”连接数据。世界排名前100万的网站约有8.4%受此漏洞影响。

我们发现了一种针对TLS连接的新型攻击，可通过发动中间人攻击把连接降至“出口级”（export-grade）加密。该漏洞与“疯怪”类似，适用于使用DH加密的环境，属于TLS协议的漏洞而不是实现型漏洞。

当大部分研究员都在分析512位的密钥是否能被破解时，漏洞发现人员推测国家级的黑客已经能够破解1024位，比如美国国家安全局。

三、怎么破？

目前所有主流浏览器厂商，包括Chrome、火狐、Safari和IE，都在忙活着做补丁，可能今天就会发布。因此建议用户关注浏览器更新，更新之后至少可以把密钥提升到国家级黑客的水准－－1024。

对安全非常敏感的用户，建议使用虚拟机并避免在网站表单中输入敏感信息。

对于使用DH密钥的网站服务器来说，把DH密钥长度尽量加大，比如2048位。估计破解这个长度，需要银河系级的黑客了。