शोधकर्ताओं का क्रैक SSL फ़िशिंग और Spoofing डिजिटल प्रमाणन प्राधिकरण (सीए) द्वारा
जब उपयोगकर्ता एक सुरक्षित वेबसाइट SSL के साथ (Secure Sockets परत, अब परिवहन परत सुरक्षा (TLS)) के रूप में e-वाणिज्य और इंटरनेट बैंकिंग साइटों जैसे HTTPS प्रोटोकॉल, ज्ञात एन्क्रिप्टेड यात्राओं, ज्यादातर लोगों का मानना है कि इस साइट को और अधिक, भरोसेमंद और विश्वसनीय है लगेगा संभावना नहीं एक दुर्भावनापूर्ण या फ़िशिंग वेब पन्नों किया जाना है. हालांकि, सुरक्षा SSL के साथ एक अतीत की बातें स्विट्जरलैंड में नीदरलैंड में कैलिफोर्निया, Centrum Wiskunde और Informatica में शोधकर्ताओं (CWI) की एक टीम, EPFL के रूप में किया जा सकता है जुड़े, और आइंटहॉवन विश्वविद्यालय टेक्नोलॉजी (TU / ए) में नीदरलैंड्स प्रकट इस SSL प्रोटोकॉल में एक गंभीर सुरक्षा दोष है, और 25. कैओस संचार कांग्रेस (25C3) बर्लिन में के दौरान इसे प्रस्तुत किया.
इस जोखिम के MD5 Cryptographic hashing एल्गोरिथ्म कुछ डिजिटल प्रमाणपत्र प्रमाणन प्राधिकरण (सीए) द्वारा प्रकाशित की बनाने के लिए प्रयोग किया जाता में एक बग कारनामे. क्योंकि hashes कि uniquely एक दस्तावेज़ की पहचान करने और माना जाता है कि वह आसानी से कि इस दस्तावेज़ को पारगमन में संशोधन नहीं किया गया है सत्यापित करने के लिए गणना की जा सकती है एक डिजिटल "अंगुलांक" बनाने के लिए उपयोग किया जाता है इस दरार काम करता है. लेकिन MD5 एल्गोरिथ्म में दोष यह है कि एक ही संख्यात्मक हैश मूल्य दो अलग दस्तावेज बनाने के लिए संभव बनाता है. इस प्रकार, किसी को पता चला कि एक वास्तविक वेब साइट के लिए प्रमाण पत्र के रूप में एक ही अंगुलांक है प्रभावी रूप से हालांकि वास्तविकता में वे नहीं कर रहे हैं वेब साइटों है कि वे क्या वे होने का दावा कर रहे हैं, यह साबित करने की अनुमति एक फ़िशिंग साइट, के लिए एक कठिन डिजिटल प्रमाणपत्र बना सकते हैं .
के बारे में 200 प्लेस्टेशन 3 (PS3) खेत से (अपने सेल प्रोसेसर, क्योंकि यह Cryptographic कार्यों में अच्छा प्रदर्शन कर रहा है कोड तोड़ने के साथ लोकप्रिय), शोधकर्ताओं का प्रबंधन, जो एक सटीक असली एक का क्लोन दोहराने है एक बदमाश प्रमाणपत्र प्राधिकार (CA) बनाने के लिए है , और वे चाहते थे किसी भी साइट के लिए मान्य SSL प्रमाणपत्र जारी करने का इस्तेमाल किया. अवैध हंसोड़ डिजिटल cert पर हस्ताक्षर किए, अंत उपयोगकर्ता के साथ भी (और न ही उनके ब्राउज़र) यदि पर हमला किया है कि उनके https: / / कनेक्शन समझौता किया जा रहा है पता होगा.
अभी तक शोधकर्ताओं VeriSign है RapidSSL.com प्रमाणपत्र प्राधिकारी साइट हैक करने और इंटरनेट पर किसी भी वेब साइट के लिए नकली डिजिटल प्रमाणपत्र बनाने में कामयाब रहे हैं. अन्य सीए साइटों कि उपयोग MD5 डिजिटल प्रमाणपत्र उत्पन्न करने के लिए शामिल VeriSign है जापानी, टीसी TrustCenter एजी, EMC RSA इकाई और Thawte.
आप किसी न किसी क्लोन CA पर प्रमाण पत्र पर हस्ताक्षर किए देख सकते हैं https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
हालांकि, इस कमजोरी और जोखिम को महत्वपूर्ण खतरा खड़ा करने के लिए, इस हमले के लिए Cryptographic पृष्ठभूमि के रूप में, और इस हमले की जानकारी के बिना repeatable नहीं है प्रकाशित नहीं है की संभावना नहीं है. इसके अलावा, और सबसे महत्वपूर्ण बात यह प्रमाणपत्र प्राधिकारी विक्रेताओं के अधिकांश कि मुद्दा डिजिटल प्रमाणपत्र अधिक सुरक्षित शा-1 एल्गोरिथ्म का उपयोग किया गया है.
इस के डाउनलोड स्लाइड 25. कैओस संचार कांग्रेस (25C3) इस SSL MD5 पर प्रस्तुति दरार शोषण: md5-collisions-1.0.ppt
इस पर शोषण के बारे में विस्तृत जानकारी पढ़ें पेपर शीर्षक "MD5 हानिकारक आज विचार - एक बदमाश CA प्रमाणपत्र बनाना".
महत्वपूर्ण: इस पृष्ठ है मशीन अनुवाद प्रदान की और "" के रूप में वारंटी के बिना है. मशीन अनुवाद को समझने में मुश्किल हो सकती है. कृपया देखें मूल अंग्रेजी लेख जब भी संभव हो सकता है.
संबंधित लेख
- कार्नेल विश्वविद्यालय के अनुसंधानकर्ताओं विरोधी जीपीएस Vulnerability Spoofing क्रियाएँ के साथ
- IE7 धीरे उत्तर XP और Vista कंप्यूटर प्रणाली के कारण पर फ़िशिंग फ़िल्टर करने के लिए
- आविष्कार स्वीडन के शोधकर्ताओं द्वारा पेपर बात की
- स्पैम घनक्षेत्र समीक्षा (एंटी वायरस स्पैम और फ़िशिंग उपकरण)
- डिजिटल फिल्म Scanner कन्वर्ट एनालॉग नकारात्मक फिल्म्स डिजिटल तस्वीरें करने के लिए
- कैनन PowerShot SD40 डिजिटल ELPH या डिजिटल IXUS i7 समीक्षा और तुलना ज़ूम
- डिजिटल हस्ताक्षर विज्ञप्ति नई Mint 220 डिजिटल संगीत स्टेशन
- कैनन का डिजिटल IXUS 60 (Canon PowerShot SD600 डिजिटल ELPH) समीक्षा
- कैनन का डिजिटल IXUS 800 (Canon PowerShot SD700 डिजिटल ELPH है) समीक्षा IS
- कैनन EOS 400D डिजिटल या Canon EOS डिजिटल विद्रोही XTi समीक्षा और तुलना
