Les Chercheurs Font craquer SSL par Phishing et Autorité de Certification Numérique Spoofing (CA)

Quand l'utilisateur visite un site Internet sûr encrypted avec SSL (la Couche de Douilles Sûre, maintenant connue comme la Sécurité de Couche de Transport (TLS)) le protocole de HTTPS, tel que le Commerce électronique et les sites Bancaires Internet, la plupart des personnes estimeront que le site est plus fiable, fiable et improbable d'être des pages Web méchantes ou phishing. Cependant, la sécurité associée à SSL peut être des choses d'un passé comme une équipe de chercheurs dans California, Centrum Wiskunde & Informatica (CWI) aux Pays-Bas, EPFL en Suisse et l'université Eindhoven de Technologie (TU/e) aux Pays-Bas révèle un défaut de sécurité sérieux dans le protocole SSL et l'a présenté pendant le 25ème Congrès de Communication de Chaos (25C3) à Berlin.

La vulnérabilité exploite un insecte dans l'algorithme hashing cryptographique MD5 utilisé pour créer certains des certificats numériques publiés par l'autorité de certification (CA). La fêlure travaille parce que les hachis sont utilisés pour créer "une empreinte digitale" numérique qui est censée uniquement identifier un document et peut facilement être calculée pour vérifier que le document n'a pas été modifié en transit. Mais le défaut dans l'algorithme MD5 rend possible de créer deux différents documents qui ont la même valeur de hachis numérique. Ainsi, quelqu'un peut créer un certificat numérique rugueux pour un site phishing qui a la même empreinte digitale que le certificat pour un vrai Site Internet, efficacement permettre aux sites Internet de prouver qu'ils sont ce qu'ils prétendent être, bien qu'en réalité ils ne soient pas.

Avec environ 200 PlayStation 3 ferme (PS3) (son processeur de Cellule est populaire parmi les brisants codés parce que c'est bon à l'exécution des fonctions cryptographiques), les chercheurs réussissent à créer une autorité de certificat de coquin (CA) qui est un exact copient le clone du vrai et l'a utilisé pour publier des certificats SSL valides pour n'importe quel site qu'ils ont voulu. Même avec la parodie illégale a signé numériquement cert, l'utilisateur final (ni leur navigateur) saurait que leur HTTPS://la connexion est compromis si attaqué.

Jusqu'ici, les chercheurs se sont débrouillés au site d'autorité de certificat RapidSSL.com d'écrivaillon VeriSign et créent des certificats numériques faux pour n'importe quel Site Internet sur Internet. D'Autres sites CA qui utilisent MD5 pour produire les certificats numériques incluent le Japonais de VeriSign, TC TrustCenter AG, EMC RSA l'unité et Thawte.

Vous pouvez voir CA cloné rugueux a signé le certificat à https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/

Cependant, on ne s'attend pas à ce qu'à la faiblesse et la vulnérabilité pose le risque significatif, comme le fond cryptographique à l'attaque n'est pas publié et l'attaque n'est pas repeatable sans ces renseignements. En plus et de la manière la plus importante, la plupart des vendeurs d'autorité de certificat qui publient des certificats numériques ont utilisé l'algorithme SHA-1 plus sûr.

Téléchargez les glissements du 25ème Congrès de Communication de Chaos (25C3) la présentation par le SSL MD5 la fêlure d'exploit : md5-collisions-1.0.ppt

Lisez l'information détaillée de l'exploit sur le papier intitulé “MD5 a considéré malfaisant aujourd'hui - la Création d'un coquin le certificat de CA”.

IMPORTANT : la page est la machine traduite et fournie "comme est" sans garantie. La traduction automatique peut être difficile à comprendre. Faites allusion s'il vous plaît à l'article anglais original dans la mesure du possible.

Articles Apparentés

• Les Chercheurs d'université de Cornell la Vulnérabilité GPS Démontrée avec les Activités Spoofing
• IE7 la Réponse Lente sur XP et Système informatique de Vue en raison du Filtre de Phishing
• L'invention de Papier de Conversation par les Chercheurs suédois
• Les Révisions de Cube de Spam (le Virus Spam Anti-et l'Outil Phishing)
• Le Scanner de Film Numérique pour Convertir des Films Négatifs Analogiques en Photos Numériques
• Le Canon PowerShot SD40 ELPH Numérique ou IXUS Numérique i7 passe en trombe des Révisions et des Comparaisons
• Libérations de Signature Numériques Nouvelle Menthe 220 Station de Musique Numérique
• Le Canon IXUS Numérique 60 (le Canon PowerShot SD600 ELPH Numérique) les Révisions
• IXUS numérique de Canon 800 EST (le Canon PowerShot SD700 EST ELPH Numérique) les Révisions
• Le Canon EOS 400ème Numérique ou le Canon EOS le Rebelle Numérique les Révisions de XTi et les Comparaisons

Cette entrée a été postée jeudi, le 1 janvier 2009 à 2h09 et est classée sous la Sécurité. Vous pouvez suivre n'importe quelles réponses à cette entrée par le RSS 2.0 nourriture. Vous pouvez quitter une réponse, ou trackback de votre propre site.