Tutkijat Crack SSL on Phishing ja Huijaus Digital varmentaja (CA)
Kun käyttäjä käy suojattua internetsivustoa salattu SSL (Secure Sockets Layer, jotka nykyisin tunnetaan nimellä Transport Layer Security (TLS)) HTTPS-protokollaa, kuten e-kauppa-ja Internet-pankkia, useimmat ihmiset tuntevat, että sivusto on luotettava, luotettavia ja tuskin on ilkivaltaisia phishing-sivuja. Kuitenkin vakuuden liittyvät SSL voidaan asioita menneisyydestä kuin tutkijaryhmä Kaliforniassa, Centrum Wiskunde & Informatica (CWI) Alankomaissa, EPFL Sveitsissä ja Eindhoven University of Technology (TU / e) Alankomaissa paljastaa vakavan turvallisuus virhe SSL-protokollaa, ja esitteli sen aikana 25th Chaos Communication Congress (25C3) Berliinissä.
Tätä heikkoutta hyödyntävä virhe esiintyy MD5 salauskykyyn hajautuksessa algoritmi käyttää luomaan joitakin niistä digitaalisia sertifikaatteja julkaissut varmenneviranomaisen (CA). Halki toimii koska hajautusalgoritmeja käytetään digitaalisen "sormenjälki", joka on tarkoitus yksilöidä dokumentti ja voidaan helposti laskea sen varmistamiseksi, että asiakirjaa ei ole muutettu kuljetuksen aikana. Mutta virhe on MD5-algoritmi on mahdollista luoda kaksi eri asiakirjoja, joilla on sama numeerinen hajautusarvoa. Näin ollen joku voi luoda karkea digitaalinen sertifikaatti phishing-sivuston, joka on sama sormenjälki kuin todistuksen aidon Web-sivuston tehokkaasti mahdollistaa verkkosivujen todistaa, että he ovat, mitä he väittävät olevansa, vaikka todellisuudessa he eivät .
Noin 200 PlayStation 3 (PS3) maatilojen (sen Cell-prosessori on suosittu koodi tunnistukset, koska se on hyvä suorittavat salausta toiminnot), tutkijat onnistuvat luomaan roistovaltiot varmentajan (CA), joka on tarkka replikoida klooni on aito , ja käyttänyt sitä antaa voimassa SSL todistukset kaikilla sivuilla he halusivat. Vaikka laittoman huijata digitaalisesti allekirjoitettu sert, loppukäyttäjälle (eikä selaimen) olisi tietää, että heidän https: / / yhteys vaarantuu, jos hyökätään.
Toistaiseksi tutkijat ovat onnistuneet hakata VeriSign n RapidSSL.com todistus viranomaisen sivuston ja luoda väärennettyjä digitaalisia sertifikaatteja kaikista Internet-sivusto. Muut CA sivustoja, jotka käyttävät MD5 tuottaa digitaaliset varmenteet sisältävät VeriSign n japani, TC TrustCenter AG, EMC RSA yksikön ja Thawte.
Voit tarkastella karkea kloonattuja CA allekirjoitettu todistus https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Kuitenkin heikkous ja haavoittuvuus ei odoteta aiheuttavan merkittävää riskiä, kuten salauksen taustalla hyökkäys ei ole julkaistu, ja hyökkäys ei ole toistettavissa ilman tätä tietoa. Lisäksi, ja mikä tärkeintä, suurin osa varmentajan myyjät että kysymys digitaaliset varmenteet ovat käyttäneet sitä enemmän varmat SHA-1-algoritmi.
Lataa levyt on 25th Chaos Communication Congress (25C3) esityksen SSL MD5 hyödyntää crack: md5-sivutörmäyssuojaus-1.0.ppt
Lue yksityiskohtaiset tiedot hyödyntää annetun paperi otsikoitu "MD5 pitää vahingollisina tänään - luominen roistovaltioiden CA sertifikaatti".
TÄRKEÄÄ: Tämä sivu on koneellisesti käännetty ja tarjotaan "sellaisenaan" ilman takuu. Machine translation voi olla vaikea ymmärtää. Tutustu alkuperäinen Englanti artikkeli aina kun mahdollista.
Aiheeseen liittyviä artikkeleita
- Cornellin yliopiston tutkijat osoittivat GPS heikkous kanssa Huijaus Toiminta
- IE7 Hidas vastausta XP ja Vista Computer System vuoksi Phishing Filter
- Keksintö Talking Paper ruotsalaisten tutkijoiden
- Spam Cube arviot (Anti Spam Virukset ja Phishing Tool)
- Digital Film Scanner muuntaminen Analoginen Negative Films Digital Valokuvat
- Canon PowerShot SD40 Digital ELPH tai Digital IXUS i7 zoom arviot ja vertailut
- Digitaalinen allekirjoitus Tiedotteet Uusi Mint 220 Digital Music Station
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digitaali ELPH) Kommentit
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Kommentit
- Canon EOS 400D Digital tai Canon EOS Digital Rebel XTi arviot ja vertailut
