Forskere Knæk SSL ved Phishing og Spoofing Digital certificeringsmyndighed (CA)
Når brugeren besøger et sikkert websted krypteret med SSL (Secure Sockets Layer, nu kendt som Transport Layer Security (TLS)) HTTPS-protokollen, såsom e-handel og netbanker, de fleste mennesker vil føle, at lokaliteten er mere troværdige, pålidelige og usandsynligt, at en ondsindet eller phishing-websider. Men sikkerheden i forbindelse med SSL kan være ting i en fortid som et team af forskere i Californien, Centrum Wiskunde & Informatica (CWI) i Nederlandene, EPFL i Schweiz, og Eindhoven University of Technology (TU / e) i Nederlandene afslører en alvorlig sikkerheds-fejl i den SSL-protokollen, og forelagde det under 25th Chaos Meddelelse Congress (25C3) i Berlin.
Sårbarheden udnytter en fejl i MD5 kryptografisk hashing algoritme bruges til at skabe nogle af de digitale certifikater offentliggjort af certificeringsmyndighed (CA). Revnen værker fordi hashes er brugt til at oprette et digitalt "fingeraftryk", der formodes at identificere et dokument, og kan nemt beregnes til at kontrollere, at dokumentet ikke er blevet ændret i transit. Men fejl i den MD5 algoritme gør det muligt at skabe to forskellige dokumenter, der har samme numeriske hash-værdi. Således nogen kan skabe et groft digitalt certifikat for et phishing-websted, der har samme fingeraftryk som beviset for et ægte websted, effektivt tillade netsteder at bevise, at de er det, de hævder at være, selvom de i virkeligheden er ikke .
Med omkring 200 PlayStation 3 (PS3) gård (sin Cell processor er populær med kode Fejlstrømsafbrydere, fordi det er god til at udføre kryptografiske funktioner), forskerne i stand til at skabe en useriøse nøglecenter (CA), som er en nøjagtig gentagelsesportioner klon af den ægte en , og anvendes til at udstede gyldige SSL certifikater for ethvert websted, de ønskede. Selv med den ulovlige spoof digitalt signeret cert, slutbrugeren (eller deres browser) ville vide, at deres https: / / forbindelsen er ved at blive forringet, hvis angrebet.
Hidtil har forskere har formået at hacke VeriSigns RapidSSL.com certifikat myndighed websted og opretter falske digitale certifikater for ethvert websted på internettet. Andre CA websteder, der bruger MD5 til at generere digitale certifikater omfatte VeriSigns japansk, TC TrustCenter AG, EMC RSA enhed og Thawte.
Du kan se de uslebne klonede CA certifikat på https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Men den svaghed og sårbarhed forventes ikke at udgøre en væsentlig risiko, som kryptografiske baggrunden for angrebet er ikke offentliggjort, og angrebet er ikke gentagelig uden disse oplysninger. Ud over, og vigtigst af alt, de fleste af certifikatet myndighed sælgere, der udsteder digitale certifikater har brugt det mere sikkert SHA-1-algoritmen.
Download slides af 25th Chaos meddelelse Congress (25C3) præsentation på SSL MD5 udnytte crack: md5-kollisioner-1.0.ppt
Læs de detaljerede oplysninger om de udnytter den papir titlen "MD5 anses for skadeligt dag - Oprettelse af en slyngel CA certifikat".
VIGTIGT: Den side er maskinen oversat og leveres "som de er" uden garanti. Maskinoversættelse kan være vanskeligt at forstå. Der henvises til originale engelske artikel når det er muligt.
Relaterede artikler
- Cornell University Forskere påvist GPS Svaghed med Spoofing Aktiviteter
- IE7 langsomme svartider på XP og Vista Computer System grund phishingfilteret
- Opfindelsen af Talking Paper ved svenske Forskere
- Spam Terning Anmeldelser (Anti Spam Virus og Phishing Værktøj)
- Digital Film Scanner til Konverter Analog Negativ Films til digitale billeder
- Canon PowerShot SD40 Digital ELPH eller Digital IXUS i7 zoom Anmeldelser og sammenligninger
- Digital Signatur Releases New Mint 220 Digital Music Station
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Anmeldelser
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Anmeldelser
- Canon EOS 400D Digital eller Canon EOS Digital Rebel XTi Anmeldelser og sammenligninger
