SSL de la grieta de los investigadores Phishing y Spoofing la autoridad de la certificación de Digitaces (CA)

Cuando el usuario visita un Web site seguro cifrado con el SSL (asegure la capa de zócalos, ahora conocida como seguridad de la capa de transporte (TLS)) El protocolo de HTTPS, tal como comercio electrónico y sitios de las actividades bancarias del Internet, la mayoría de la gente sentirá que el sitio es más digno de confianza, confiable y poco probable ser Web pages malévolos o phishing. Sin embargo, la seguridad asociada al SSL puede ser cosas de a más allá en equipo de investigadores en California, el centro Wiskunde y Informatica (CWI) en los Países Bajos, EPFL en Suiza, y la Universidad Tecnológica de Eindhoven (TU/e) en los Países Bajos revele un error de seguridad serio en el protocolo del SSL, y presentado lo durante el 25to congreso de la comunicación del caos (25C3) en Berlín.

La vulnerabilidad explota un insecto en el algoritmo de cálculo criptográfico MD5 usado para crear algunos de los certificados digitales publicados por la autoridad de la certificación (CA). Los trabajos de la grieta porque desmenuza se utilizan para crear una “huella digital digital” que se suponga para identificar únicamente un documento y se pueda calcular fácilmente para verificar que el documento no se ha modificado en tránsito. Pero el defecto en el algoritmo MD5 permite crear dos diversos documentos que tengan el mismo valor de picadillo numérico. Así, alguien puede crear un certificado digital áspero para un sitio phishing que tenga la misma huella digital que el certificado para un Web site genuino, permite con eficacia que los Web site prueben que sean lo que demandan ser, aunque en realidad no estén.

Con cerca de 200 la granja de PlayStation 3 (PS3) (su procesador de la célula es popular entre los trituradores del código porque es bueno en la ejecución de funciones criptográficas), los investigadores manejan crear un Certificate Authority eliminado las plantas débiles (CA) que sea una copia replegada exacta de la genuina, y lo utilizaron para publicar los certificados válidos del SSL para cualquier sitio que quisieran. Incluso con la parodia ilegal digital firmó CERT, usuario final (ni su hojeador) sabría que su HTTPS: /se está comprometiendo la conexión si está atacada.

Hasta ahora, los investigadores han manejado cortar el sitio del Certificate Authority de RapidSSL.com de VeriSign y crear los certificados digitales falsos para cualquier Web site en el Internet. Otros sitios del CA que utilizan MD5 para generar los certificados digitales incluyen el japonés de VeriSign, TrustCenter AG del TC, la unidad del EMC RSA y Thawte.

Usted puede ver el certificado firmado reproducido áspero del CA en https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/

Sin embargo, no se espera que la debilidad y la vulnerabilidad planteen riesgo significativo, pues el fondo criptográfico al ataque no se publica, y el ataque no es repetible sin esta información. Además, y más importante, la mayor parte de los vendedores del Certificate Authority que publican certificados digitales han estado utilizando el algoritmo más seguro SHA-1.

Transfiera las diapositivas de la 25ta presentación del congreso de la comunicación del caos (25C3 ) en la grieta de la hazaña del SSL MD5: md5-collisions-1.0.ppt

Lea la información detallada sobre la hazaña en MD5 titulado de papel consideraba hoy dañoso - creando un certificado de CA del granuja”.

IMPORTANTE: La página es traducida por computador y con tal que “como está” sin garantía. La traducción automática puede ser difícil de entender. Refiera por favor al artículo inglés original siempre que sea posible.


Esta entrada fue fijada el jueves 1 de enero de 2009 en el 2:09 y se archiva bajo seguridad. Usted puede seguir cualquier respuesta a esta entrada a través de la alimentación de RSS 2.0. Usted puede dejar una respuesta, o el trackback de su propio sitio.

Una respuesta “al SSL de la grieta de los investigadores Phishing y Spoofing la autoridad de la certificación de Digitaces (CA)”

  1. rjcuk
    5 de enero de 2009 05:47
    1

    El que está en ese sitio tiene un certificado anticuado en 2004. Los FF y el IE lo rechazan inmediatamente. ¡Fall!

Deje una contestación

Usted puede utilizar estas etiquetas: "" del title= del "" del href= del <a > "" del title= del <abbr > "" del title= del <acronym > "" del cite= del <blockquote del <b> > "" del datetime= del <del del <code> del <cite> > "" del cite= del <q del <i> del <em> > <strong> del <strike>

Suscriba a los comentarios que se ha inhabilitado la característica. Para recibir la notificación de los últimos comentarios fijados, suscriba a mi alimentación de los comentarios RSS de la vida de Digitaces o el registro para recibir nuevos comentarios en email diario digiere.
Limadura del impuesto federal y eFile libres en la edición en línea de TurboTax
Intel lanzó el procesador móvil Q9000 del Patio-Corazón del bajo costo

Custom Search

Nuevos artículos

Términos entrantes de la búsqueda para el artículo

- la GRIETA CERTIFICAT de PLAYSTATION 3 - la grieta agrietada SSL del SSL md5 - autoridad del colorete de la grieta del SSL - código del SSL agrietó 2009 - la grieta del SSL del verisign -