Výzkumníci Crack SSL by Phishing a falešnou identifikaci Digital Certifikační autorita (CA)
Když uživatel navštíví webovou stránku bezpečné šifrované s SSL (Secure Sockets Layer, nyní známé jako Transport Layer Security (TLS)) HTTPS protokol, jako je e-Commerce a internetové bankovnictví lokalit, většina lidí si myslí, že na místě je důvěryhodný, spolehlivý a nepravděpodobné, že by se zlými úmysly nebo phishingových webových stránek. Nicméně, bezpečnosti spojené s SSL může být to, co bylo v minulosti v týmu vědců z Kalifornie, Centrum Wiskunde & Informatica (CWI) v Nizozemsku, EPFL ve Švýcarsku, a Eindhoven University of Technology (TU / e) v Nizozemsku odhalit vážnou bezpečnostní chybu v protokolu SSL, a je předložen v průběhu 25. Chaos sdělení Congress (25C3) v Berlíně.
Zranitelnosti zneužívá chybu ve MD5 šifrovací algoritmus hashing použit k vytvoření některých z digitální certifikáty vydané certifikační autoritou (CA). V bezva funguje, protože hash se používají pro vytvoření digitální "otisk", který je prý pro jednoznačnou identifikaci dokumentu a může být snadno vypočteno pro ověření, že dokument nebyl změněn v tranzitu. Ale chyba v MD5 algoritmus umožňuje vytvořit dva různé dokumenty, které mají stejnou číselnou hodnotu hash. Proto někdo může vytvořit hrubý digitální certifikát pro phishing místě, které má stejný jako otisk certifikátu pro skutečné webové stránky, účinně umožňují webové stránky, aby prokázal, že jste to, co tvrdí, že jsou, i když ve skutečnosti nejsou .
S přibližně 200 PlayStation 3 (PS3) farmy (jeho Cell procesor je populární s kódem jističe, protože je dobrý na plnění kryptografické funkce), vědce podaří vytvořit taškář certifikační autoritou (CA), který je přesný Duplikátní klon skutečné jedna , a používá ji k vydání platné SSL certifikáty pro všechny stránky, které chtěl. Dokonce s nelegálním vtip digitálně podepsán hotovka, koncovému uživateli (ani jejich prohlížeč) by vědět, že jejich https: / / připojení je ohrožena, když napadl.
Zatím výzkumných podařilo zaseknout VeriSign to RapidSSL.com certifikační autoritou stránky a vytvářet falešná digitální certifikáty pro jakékoliv webové stránky na internetu. CA jiné weby, které používají MD5 vygenerovat digitální certifikáty patří VeriSign v japonštině, TC TrustCenter AG, EMC a RSA jednotky Thawte.
Můžete zobrazit drsné Naklonoval CA podepsané osvědčení v https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Nicméně, slabost a zranitelnost se neočekává, že představují významné riziko, pokud kryptografickými pozadí útoku není zveřejněna, a útok není opakovatelnou bez této informace. Kromě toho, a co je nejdůležitější, že většina z certifikační autoritou prodejci téma digitální certifikáty, které byly pomocí bezpecnejší SHA-1 algoritmus.
Stáhnout snímky z 25. Chaos sdělení Congress (25C3) prezentace na SSL MD5 crack využívat: md5-kolize-1.0.ppt
Přečtěte si podrobné informace o využití na Papír názvem "MD5 považovány za škodlivé dnes - Vytvoření taškář CA certifikát".
Upozornění: Stránka je stroje přeloženy a poskytovány "tak jak jsou" bez záruky. Strojový překlad může být obtížné pochopit. Obraťte se prosím na Anglický originál článku kdykoli je to možné.
Související články
- Cornell University vědců prokázala GPS Zranitelnost se podvodná identifikace Aktivity
- IE7 Pomalý reakce na XP a Průhled Počítačový systém Díky Phishing filtr
- Vynález Mluvící kniha od švédské Výzkumníci
- Spam Cube Recenze (Anti Spam Virus a Phishing Tool)
- Digital Film Scanner pro převod analogových Negativní Filmy na digitální fotografie
- Canon PowerShot SD40 Digital ELPH nebo Digital IXUS I7 zoom Recenze a srovnání
- Digitální podpis zprávy Nové Mincovna 220 Digital Hudba Stanice
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Recenze
- Canon Digital IXUS 800 IS (IS Canon PowerShot SD700 Digital ELPH) Recenze
- Canon Digital EOS 400D nebo Canon EOS Digital Rebel XTi Recenze a srovnání
