SSL de Cruixit d'Investigadors per Phishing i Spoofing Autoritat de Certificació Digital (CA)

Quan visites d'usuari que un lloc web segur encriptava amb SSL (Capa de Cavitats segura, ara coneguda com Seguretat de Capa de Transport (TLS)) protocol de HTTPS, com comerç electrònic i llocs de Banca d'Internet, la majoria de les persones sentiran que el lloc sigui més fiable, fiable i improbable de ser un delictiu o pàgines web de phishing. Tanmateix, la seguretat associada amb SSL poden ser coses d'un passat com a equip d'investigadors a Califòrnia, Centrum Wiskunde & Informatica (CWI) als Països Baixos, EPFL a Suïssa, i Eindhoven University de Tecnologia (TU/e) als Països Baixos revelen un defecte de seguretat seriós en el protocol de SSL, i el presentaven durant el 25è Congrés de Comunicació de Caos (25C3) a Berlín.

La vulnerabilitat explota un error en el MD5 algoritme que hashing criptogràfic utilitzat per crear alguns dels certificats digitals publicats per autoritat de certificació (CA). El cruixit treballa perquè hashes són utilitzats crear una "empremta digital" digital que se suposa a únicament identificar un document i es pot fàcilment calcular que verifica que el document no s'hagi modificat en trànsit. Però el defecte en l'algoritme de MD5 fa possible crear dos documents diferents que tenen el mateix valor de capolat numèric. Així, algú pot crear un certificat digital aspre per a un lloc de phishing que té la mateixa empremta digital com el certificat per a un lloc web genuí, eficaçment deixar llocs web demostrar que són què afirmen ser, encara que en realitat no són.

Amb aproximadament 200 PlayStation 3 (PS3) granja (el seu processador de Cèl·lula és popular entre onades de codi perquè és bo a executar funcions criptogràfiques), els investigadors aconsegueixen crear una autoritat de certificat de bergants (CA) que és un exacte duplicar clon del genuí, i l'utilitzava emetre certificats de SSL vàlids per a qualsevol lloc que volien. Fins i tot amb l'il·legal spoof cert. digitalment signat, l'usuari final (ni el seu navegador) sabria que la seva connexió de HTTPS:// s'estigui comprometent si s'ataca.

Per ara, els investigadors han aconseguit obrir-se el lloc d'autoritat de certificat de RapidSSL.com de VeriSign i crear certificats digitals falsos per a qualsevol lloc web en la Internet. Uns altres llocs de CA que utilitzen MD5 per generar els certificats digitals inclouen el japonès de VeriSign, TC TrustCenter AG, unitat d'EMC RSA i Thawte.

Pot veure l'esbós que CA clonat signat certifica a https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/

Tanmateix, no s'espera que la debilitat i vulnerabilitat posi risc significatiu, no es publica fons tan criptogràfic a l'atac, i l'atac no és repeatable sense aquesta informació. A més, i més importantment, la majoria dels venedors d'autoritat de certificat que publiquen certificats digitals han estat utilitzant l'algoritme de SHA-1 més segur.

Descarregui les diapositives del 25è Congrés de Comunicació de Caos (25C3) presentació en el cruixit de proesa de SSL MD5: md5-collisions-1.0.ppt

Llegeixi que la informació detallada sobre la proesa en paper titulava "MD5 considerat nociu avui - Creant un certificat de CA de bergants.

IMPORTANT: La pàgina és màquina traduïda i proporcionada "com és" sense garantia. La traducció automàtica pot ser difícil d'entendre. Si us plau refereixi's a article anglès original quan sigui que possible.

Articles Relacionats

• Els Investigadors d'Universitat Cornell Demostraven Vulnerabilitat de GPS amb Activitats Que Spoofing
• Es Filtren la Resposta Lenta de IE7 en XP i Sistema Informàtic de Perspectiva a Causa de Phishing
• Invenció de Paper Que Parla per Investigadors Suecs
• Ressenyes de Cub Spam (Virus antiSpam i Eina Phishing)
• La Telecinema digital per Convertir Negativa Analògica Filma a Fotos Digitals
• ELPH Digital de PowerShot SD40 de Canonge o Ressenyes de zoom de i7 Digital IXUS i Comparacions
• Signatura Digital Allibera Menta Nova 220 Estació de Música Digital
• Canonge IXUS 60 Digital (ELPH Digital de PowerShot SD600 de Canonge) Revisa
• Canonge que IXUS 800 Digital SÓN (El canonge PowerShot SD700 ÉS ELPH Digital) Ressenyes
• Canonge EOS 400 D Ressenyes de XTi de Rebel Digital d'EOS Digitals o de Canonge i Comparacions

Aquesta entrada s'enviava dijous, 1 de gener, de 2009 a les 2:09 sóc i és arxivat sota Seguretat. Pot seguir algunes respostes a aquesta entrada a través del menjar de RSS 2.0. Pot deixar una resposta, o trackback del seu propi lloc.