SSL oleh peneliti Crack Phishing spoofing dan Sertifikasi Digital Authority (CA)

Bila pengguna mengunjungi situs Web aman terenkripsi dengan SSL (Secure Socket Layer, yang kini dikenal sebagai Transport Layer Security (TLS)) HTTPS protokol, seperti e-Commerce dan Internet Banking situs, sebagian besar orang akan merasa bahwa situs tersebut lebih dapat dipercaya, handal dan tidak mungkin untuk menjadi jahat atau phishing halaman web. Namun, terkait dengan keamanan SSL mungkin sesuatu yang sebelumnya sebagai tim peneliti di California, Centrum Wiskunde & Informatica (CWI) di Belanda, EPFL di Swiss, dan Eindhoven University of Technology (TU / e) di Belanda mengungkapkan serius keamanan cacat di protokol SSL dan disajikan selama 25. Chaos Communication Congress (25C3) di Berlin.

Kerentanan exploits bug di cryptographic hashing algoritma MD5 yang digunakan untuk membuat beberapa sertifikat digital diterbitkan oleh otoritas sertifikasi (CA). Yang bekerja karena crack hashes digunakan untuk membuat digital "fingerprint" yang unik untuk mengidentifikasi dokumen dan dapat dengan mudah dihitung untuk memastikan bahwa dokumen yang belum diubah dalam perjalanan. Tetapi cacat di MD5 algoritma memungkinkan untuk membuat dua dokumen yang berbeda memiliki hash yang sama nilai numerik. Dengan demikian, seseorang dapat membuat kasar digital sertifikat untuk situs phishing yang memiliki sidik jari yang sama seperti yang asli sertifikat untuk situs Web, situs web membolehkan efektif untuk membuktikan bahwa mereka sedang apa yang akan mereka klaim, walaupun pada kenyataannya mereka sedang tidak .

Dengan sekitar 200 PlayStation 3 (PS3) tani (Cell prosesor yang sangat populer di kode Breakers karena baik di cryptographic melakukan fungsi), para peneliti bisa membuat pengembara sertifikat otoritas (CA) yang merupakan replikasi persis clone asli dari satu , dan menggunakannya untuk mengeluarkan sertifikat SSL berlaku untuk situs manapun mereka inginkan. Bahkan dengan ilegal spoof menandatangani cert digital, pengguna akhir (maupun browser mereka) akan tahu bahwa mereka HTTPS: / / koneksi sedang dikompromi jika diserang.

Sejauh ini, para peneliti telah berhasil hack VeriSign's RapidSSL.com sertifikat otoritas membuat situs palsu digital dan sertifikat untuk situs Web di Internet. CA lainnya situs yang menggunakan MD5 untuk menyertakan sertifikat digital dari VeriSign Jepang, TC TrustCenter AG, EMC RSA unit dan Thawte.

Anda dapat melihat kasar clone CA menandatangani sertifikat di https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /

Namun, kelemahan dan kerentanan yang tidak diharapkan untuk mengajukan risiko yang signifikan, seperti cryptographic untuk latar belakang serangan tidak dipublikasikan, dan serangan tidak repeatable tanpa informasi ini. Selain itu, dan yang paling penting, sebagian besar sertifikat otoritas vendor yang mengeluarkan sertifikat digital yang telah menggunakan lebih aman SHA-1 algoritma.

Download slide yang 25. Chaos Communication Congress (25C3) presentasi di SSL memanfaatkan MD5 crack: md5-collisions-1.0.ppt

Membaca informasi tentang eksploitasi pada kertas berjudul "MD5 dianggap berbahaya today - Membuat sertifikat CA pengembara".

PENTING: Halaman yang diterjemahkan mesin dan diberikan "sebagaimana adanya" tanpa jaminan. Mesin terjemahan mungkin akan sulit dimengerti. Silakan lihat artikel asli bahasa Inggris bila memungkinkan.

Artikel Terkait

• Universitas Cornell Peneliti Kerentanan GPS ditunjukkan dengan spoofing Kegiatan
• IE7 Lambat Respons di XP dan Vista Komputer Sistem Karena Phishing Filter
• Berbicara tentang penemuan Kertas oleh Swedia Peneliti
• Spam Cube Review (Anti Virus dan Spam Phishing Tool)
• Film Scanner digital ke Analog Mengkonversi Film Negatif ke Digital Foto
• Canon Powershot SD40 Digital ELPH atau Digital IXUS i7 zoom Review dan Perbandingan
• Tanda tangan digital Releases New Mint 220 Digital Music Station
• Canon Digital IXUS 60 (Canon Powershot SD600 Digital ELPH) Ulasan
• Canon Digital IXUS 800 IS (Canon Powershot SD700 IS Digital ELPH) Ulasan
• Canon EOS 400D atau Digital Canon EOS Digital Rebel XTi Reviews dan Perbandingan

Catatan ini telah diposting pada Kamis, Januari 1st, 2009 at 2:09 am and is filed under Keamanan . Anda dapat mengikuti setiap tanggapan atas lema ini melalui RSS 2.0 feed. Anda dapat meninggalkan Tanggapan , Atau Pelacakan dari situs Anda sendiri.