الكراك من قبل الباحثين SSL الخداع والغش الرقمية شهادة السلطة (كاليفورنيا)
عندما يزور مستخدم موقع شبكي آمن مع تشفير SSL (طبقة المقابس الآمنة ، التي تعرف الآن باسم الأمن طبقة النقل (TLS) بروتوكول HTTPS ، مثل التجارة الإلكترونية ومواقع الإنترنت المصرفية ، فإن معظم الناس سوف يشعرون بأن هذا الموقع هو جدير بالثقة ، ويمكن الاعتماد عليها من غير المرجح أن تكون مغرضة أو التصيد صفحات الويب. ومع ذلك ، فإن الأمن المرتبطة SSL أمور قد تكون من الماضي فريق من الباحثين في كاليفورنيا ، المركز Wiskunde & Informatica (CWI) في هولندا ، EPFL في سويسرا ، وايندهوفن وجامعة التكنولوجيا (تى يو / ه) في هولندا ، وتكشف ثغرة أمنية خطيرة في بروتوكول SSL ، وطرحها خلال الاتصال 25th الفوضى المؤتمر 25C3) في برلين.
ضعف يستغل خطأ في الترميز MD5 الثرم خوارزمية تستخدم لخلق بعض من الشهادات الرقمية التي نشرتها سلطة التصديق (كاليفورنيا). وتعمل الحملة بسبب علامات الرقم تستخدم لخلق الرقمية "بصمة" التي يفترض أن تحدد وثيقة فريدة ويمكن بسهولة أن يحسب للتحقق من أن هذه الوثيقة لم يتم تعديل العابرة. ولكن العيب في خوارزمية MD5 يجعل من الممكن خلق مختلفين الوثائق التي لها نفس القيمة العددية البعثرة. وهكذا ، ما يمكن أن تخلق تقريبي الشهادة الرقمية لتصيد المعلومات التي في الموقع نفسه حيث البصمات شهادة حقيقية على الانترنت ، والمواقع على الشبكة بشكل فعال يسمح لاثبات انهم ما يزعمون أن يكون ، ولكنها في الواقع لسنا .
مع حوالي 200 من بلاي ستيشن 3 (PS3) في المزارع (عن خلية المعالج الشعبي مع منتهكي قانون لأنها جيدة في أداء المهام الترميز) ، والباحثين تمكنوا من خلق المارقة شهادة السلطة (كاليفورنيا) التي هي على وجه الدقة من تكرار استنساخ حقيقي واحد ، وتستخدم لخدمة تصميم المواقع قضية صالحة للأي موقع تريد. حتى مع غير الشرعية وقعت رقميا سيرت محاكاة ساخرة ، للمستخدم النهائي (ولا متصفح) سيعرف أن HTTPS : / / الصدد يجري إذا تعرضت لهجوم.
حتى الآن ، تمكن الباحثون الإختراق فيريساين 'sRapidSSL.com شهادة موقع سلطة وهمية وخلق الشهادات الرقمية في أي موقع على شبكة الإنترنت. مواقع أخرى في كاليفورنيا (التي تستخدم لتوليد MD5 الشهادات الرقمية فيريساين تشمل اليابان ، والتعاون التقني TrustCenter المجموعة الأفريقية ، وحدة وكالة الفضاء الروسية وشركة ئي إم سي Thawte.
يمكنك عرض تقريبي المستنسخة في كاليفورنيا وقعت على شهادة https : / / i.broke.the.internet.and.all.i.got.was.this.t - shirt.phreedom.org /
ومع ذلك ، فإن الضعف والضعف وليس من المتوقع ان تشكل خطرا كبيرا ، والترميز خلفية الهجوم غير المنشورة ، وليس للتكرار الهجوم من دون هذه المعلومات. وعلاوة على ذلك ، والأهم من ذلك ، أن معظم البائعين الشهادة سلطة إصدار الشهادات الرقمية التي تم استخدام أكثر أمنا شا 1 الخوارزمية.
تنزيل من الشرائح 25th الفوضى الاتصال المؤتمر 25C3) عرض عن استغلال SSL MD5 الكراك : md5 - اصطدام بين 1.0.ppt
قراءة معلومات مفصلة عن استغلال على ورقة تحت عنوان "MD5 تعتبر ضارة اليوم -- خلق مارقة كاليفورنيا الشهادة".
هام : إن آلة الصفحة المترجمة ، وقدم "كما هي" دون ضمان. الترجمة الآلية قد يكون من الصعب فهمها. يرجى الرجوع إلى المادة الانكليزية الأصلية كلما كان ذلك ممكنا.
المواد ذات الصلة
- البرهنة باحثون في جامعة كورنيل الضعف مع النظام العالمي لتحديد المواقع الغش الأنشطة
- IE7 بطيئة الاستجابة على إكس بي ونظام ويندوز فيستا كمبيوتر ونظرا لعامل تصفية الخداع
- اختراع حديث ورقة من الباحثين السويديين
- البريد المزعج مكعب استعراضات (البريد المزعج لمكافحة الفيروسات وسرقة معلومات خاصة أداة)
- رقمية وماسحات شرائط الأفلام السلبية النظير لتحويل الأفلام إلى صور رقمية
- كانون PowerShot SD40 الرقمية ELPH أو الرقمية IXUS i7 التكبير والاستعراضات والمقارنات
- التوقيع الرقمي الإصدارات الجديدة منت 220 محطة الموسيقى الرقمية
- كانون الرقمية IXUS 60 (كانون ELPH الرقمية PowerShot SD600) الاستعراضات
- كانون الرقمية IXUS 800 (كانون PowerShot SD700 هو الرقمي ELPH) مراجعات
- كانون إيوس 400D الرقمية أو كانون إيوس الرقمية المتمردين XTi مراجعات ومقارنات
