Researchers Crack SSL by Phishing and Spoofing Digital Certification Authority (CA) Изследователите Пляскане SSL от фишинг и Измама цифров сертификат орган (СО)
When user visits a secure website encrypted with SSL (Secure Sockets Layer, now known as Transport Layer Security (TLS)) HTTPS protocol, such as e-Commerce and Internet Banking sites, most people will feel that the site is more trustworthy, reliable and unlikely to be a malicious or phishing web pages. Когато потребителят посети защитен уебсайт криптирана с SSL (Secure Sockets Layer, сега известна като Transport Layer Security (TLS)) HTTPS протокол, като например електронната търговия и интернет банкиране сайтове, повечето хора ще се чувстват, че сайтът е по-надеждни, надеждни и малко вероятно да бъде със злонамерени или измамнически уеб страници. However, the security associated with SSL may be things of a past as a team of researchers in California, Centrum Wiskunde & Informatica (CWI) in the Netherlands, EPFL in Switzerland, and Eindhoven University of Technology (TU/e) in the Netherlands reveal a serious security flaw in the SSL protocol, and presented it during the 25th Chaos Communication Congress (25C3) in Berlin. Въпреки това, на сигурността, свързани с SSL може да бъде неща от миналото като екип от учени в Калифорния, Centrum Wiskunde & Informatica (CWI) в Холандия, ЕПФЛ в Швейцария, и Айндховен Технологичен университет (ТУ / E) в Холандия показват сериозен недостатък на сигурността в протокола SSL, и го представи по време на 25-ти хаос съобщение конгрес (25C3) в Берлин.
The vulnerability exploits a bug in the MD5 cryptographic hashing algorithm used to create some of the digital certificates published by certification authority (CA). Уязвимостта използва бъг в MD5 хеширане криптографски алгоритъм за създаване на някои от цифровите сертификати, публикувани от сертифициращ орган (CA). The crack works because hashes are used to create a digital “fingerprint” that is supposed to uniquely identify a document and can easily be calculated to verify that the document hasn't been modified in transit. Определителен член пляскане Hashes работи, защото се използва за създаване на цифрови "отпечатък", който е трябвало да идентифицира еднозначно документ и може лесно да се изчисли да удостовери, че документът не е бил променен по пътя. But the flaw in the MD5 algorithm makes it possible to create two different documents that have the same numerical hash value. Но недостатък в MD5 алгоритъм дава възможност да се създадат две различни документи, които имат еднаква числова стойност хашиш. Thus, someone can create a rough digital certificate for a phishing site that has the same fingerprint as the certificate for a genuine Web site, effectively allow web sites to prove that they're what they claim to be, although in reality they're not. По този начин, някой да създадете груб цифров сертификат за фишинг сайт, който е същия като пръстови отпечатъци на сертификата за истински уеб сайт, уеб сайтове позволяват ефективно да се докаже, че те са това, което те твърдят, че са, въпреки че в действителност те не са .
With about 200 PlayStation 3 (PS3) farm (its Cell processor is popular with code breakers because it is good at performing cryptographic functions), the researchers manage to create a rogue certificate authority (CA) which is an exact replicate clone of the genuine one, and used it to issue valid SSL certificates for any site they wanted. С около 200 PlayStation 3 (PS3) стопанство (неговата Cell процесор е популярен с код прекъсвачи, защото е най-добро изпълнение на криптографски функции), изследователите успяват да създадат измамник сертификат орган (CA), която е точно копие клонинг на истинска , и го използва за издаване на SSL сертификати валидни за всеки сайт, те искаха. Even with the illegal spoof digitally signed cert, end user (nor their browser) would know that their HTTPS:// connection is being compromised if attacked. Дори и с незаконното пародия цифрово подписан сигурен, краен потребител (нито техния браузър), ще знаят, че техните HTTPS: / / връзка е застрашена, ако нападнат.
So far, the researchers have managed to hack VeriSign's RapidSSL.com certificate authority site and create fake digital certificates for any Web site on the Internet. До момента учените са успели да рязка VeriSign's RapidSSL.com сайт сертификат и да се създаде фалшива цифрови сертификати за уеб сайт в Интернет. Other CA sites that use MD5 to generate the digital certificates include VeriSign's Japanese, TC TrustCenter AG, EMC RSA unit and Thawte. Други CA сайтове, които използват MD5 за генериране на цифрови сертификати включват VeriSign's японски, ТК TrustCenter AG, EMC RSA единица и Thawte.
You can view the rough cloned CA signed certificate at Можете да видите груб клонирани CA сертификат, подписан в https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/ HTTPS: / / i.broke.the.internet.and.all.i.got.was.this.t shirt.phreedom.org /
However, the weakness and vulnerability is not expected to pose significant risk, as cryptographic background to the attack is not published, and the attack is not repeatable without this information. Въпреки това, слабостта и уязвимостта, не се очаква да представляват значителен риск, тъй като криптографски фона на атаката не е публикувана и на атаката не е възпроизводими без тази информация. Besides, and most importantly, most of the certificate authority vendors that issue digital certificates have been using the more secure SHA-1 algorithm. Освен това, и най-важното, повечето от продавачите на сертификат за орган, който издава цифрови сертификати се използват по-сигурни SHA-1 алгоритъм.
Download the slides of the Изтегляне на слайдове от 25th Chaos Communication Congress (25C3) 25-ти хаос съобщение конгрес (25C3) presentation on the SSL MD5 exploit crack: представяне на SSL MD5 използва пляскане: md5-collisions-1.0.ppt MD5-сблъсъци-1.0.ppt
Read the detailed information about the exploit on Прочетете подробна информация за използване на paper хартия titled “MD5 considered harmful today – Creating a rogue CA certificate”. озаглавен "MD5 като вредно днес - Създаване на нелоялните CA сертификат".
IMPORTANT : The page is machine translated and provided "as is" without warranty. ВАЖНО: Страницата е машина за превод и при условие че "както е" без гаранция. Machine translation may be difficult to understand. Машинен превод може да бъде трудно да се разбере. Please refer to Моля, консултирайте се с original English article оригиналния английски статия whenever possible. когато е възможно.
Related Articles Свързани членове
- Cornell University Researchers Demonstrated GPS Vulnerability with Spoofing Activities Университета Корнел Изследователите Доказвам GPS Уязвимост с Измама Дейности
- Japanese Researchers Hacking Method Exposed WPA Encryption Vulnerability Японски учени сух метод Изложена WPA криптиране Уязвимост
- Prevent Fraud by Phishing Websites via Free Comodo Verification Engine Предотвратяване на измамите с фишинг Уеб сайтове чрез Свободен Comodo проверка на двигателя
- Invention of Talking Paper by Swedish Researchers Изобретение на говорим книга от шведски изследователи
- IE7 Slow Response on XP and Vista Computer System Due to Phishing Filter IE7 Бавен Отговор на XP и Vista Компютърна система Благодарение на фишинг филтъра
- Windows Live (MSN) Messenger Friends' Messege Spam Phishing URL (Clean 'Virus') Прозорец Живея (MSN) Пратеник "Приятели" пратеник Спам фишинг URL ( "Чисто" Вирус ")
- Spam Cube Reviews (Anti Spam Virus and Phishing Tool) Спам Куб Преглед (Anti Virus спам и фишинг инструмент)
- MIFARE Classic RFID Chip (Oyster Card) Crack and Hack Details Published for Download MIFARE Класически RFID чип (гъба карта) Пляскане и Рязка рана подробностите, публикувани за Download
- OEM Certificates of Dell, HP, Lenovo, Asus, Acer and Sony for Windows Vista Activation Crack OEM Сертификати за Dell, HP, Lenovo, Asus, Ожесточеност и Sony за Прозорец Изглед Активизирам Пляскане
- Vista Loader 2.0 OEM BIOS Emu Crack (SoftMod Update) Изглед Товаря 2.0 OEM BIOS Emu Пляскане (мек Update)
January 5th, 2009 05:47 5-ти януари 2009 05:47
The one on that site has a certificate dated in 2004. Единственото на този сайт има сертификат дата през 2004 година. FF and IE reject it immediately. ФР и Ирландия го отхвърли веднага. Fail! FAIL!