SSL della crepa dei ricercatori Phishing e Spoofing autorità di certificazione di Digitahi (CA)

Quando l'utente visita un Web site sicuro cifrato con lo SSL (assicuri lo strato di zoccoli, ora conosciuto come sicurezza di strato di trasporto (TLS)) Il protocollo di HTTPS, quali il commercio elettronico ed i luoghi di attività bancarie del Internet, la maggior parte della gente riterrà che il luogo sia più in maniera fidata, certo ed improbabile da essere i Web pagi cattivi o phishing. Tuttavia, la sicurezza connessa con lo SSL può essere cose della a oltre in gruppo dei ricercatori nella California, nel centro Wiskunde & Informatica (CWI) nei Paesi Bassi, in EPFL in Svizzera e nell'Università Tecnologica di Eindhoven (TU/e) nei Paesi Bassi riveli un difetto di sicurezza serio nel protocollo dello SSL e presentato esso durante il venticinquesimo congresso di comunicazione di caos (25C3) a Berlino.

La vulnerabilità sfrutta un insetto nella procedura di indirizzamento casuale crittografica MD5 usata per generare alcuni dei certificati digitali pubblicati dall'autorità di certificazione (CA). Gli impianti della crepa perché trita sono usati per generare “un'impronta digitale„ digitale che è supposta per identificare unicamente un documento e può essere calcolata facilmente per verificare che il documento non sia stato modificato in transito. Ma il difetto nella procedura MD5 permette di generare due documenti differenti che hanno lo stesso valore di hash numerico. Quindi, qualcuno può generare un certificato digitale di massima per un luogo phishing che ha la stessa impronta digitale del certificato per un Web site genuino, efficace permette che i Web site dimostrino che siano che cosa sostengono essere, anche se in realtà non sono.

Con circa 200 l'azienda agricola di PlayStation 3 (PS3) (la relativa unità di elaborazione delle cellule è popolare con gli interruttori di codice perché è buono ad effettuare le funzioni crittografiche), i ricercatori riescono a generare un Certificate Authority appartato e pericoloso (CA) che è un clone ripiegato esatto di quello genuino ed usato esso per emettere i certificati validi dello SSL per tutto il luogo che hanno voluto. Anche con la parodia illegale digitalmente ha firmato il CERT, utilizzatore finale (né il loro browser) saprebbe che il loro HTTPS: /collegamento sta compromettendo se attacato.

Finora, i ricercatori sono riuscito ad incidere il luogo di Certificate Authority di RapidSSL.com del VeriSign ed a generare i certificati digitali falsi per tutto il Web site sul Internet. Altri luoghi di CA che usano MD5 per generare i certificati digitali includono il giapponese del VeriSign, TrustCenter AG di TC, l'unità di contabilità elettromagnetica RSA e Thawte.

Potete osservare il certificato firmato clonato di massima di CA a https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/

Tuttavia, la debolezza e la vulnerabilità non si pensa che comportino il rischio significativo, poichè la priorità bassa crittografica all'attacco non è pubblicata e l'attacco non è ripetibile senza questi informazioni. Inoltre e per di più, la maggior parte dei fornitori di Certificate Authority che emettono i certificati digitali stanno usando la procedura più sicura SHA-1.

Carichi programmi oggetto gli scorrevoli della venticinquesima presentazione del congresso di comunicazione di caos (25C3 ) sulla crepa di impresa dello SSL MD5: md5-collisions-1.0.ppt

Legga le informazioni dettagliate circa l'impresa “ su MD5 nominato di carta ha considerato l'oggi nocivo - generando un certificato di CA della canaglia„.

IMPORTANTE: La pagina è tradotta dall'ordinatore e se “come è„ senza garanzia. La traduzione automatica può essere difficile da capire. Riferisca prego all'articolo inglese originale per quanto possibile.

Articoli relativi

• I ricercatori dell'Università di Cornell hanno dimostrato la vulnerabilità di GPS con Spoofing le attività
• IE7 ritardano la risposta su XP ed il sistema informatico del Vista dovuto il filtro da Phishing
• Invenzione della carta di conversazione dai ricercatori svedesi
• Rassegne del cubo dello Spam (anti virus dello Spam ed attrezzo di Phishing)
• Dispositivo d'esplorazione di pellicola di Digitahi per convertire le pellicole negative analogiche in foto di Digitahi
• Rassegne e confronti dello zoom di Canon PowerShot SD40 Digitahi ELPH o di Digitahi IXUS i7
• La firma di Digitahi libera la nuova stazione di musica di Digitahi della menta 220
• Rassegne di Canon Digital IXUS 60 (Canon PowerShot SD600 Digitahi ELPH)
• Canon Digital IXUS 800 È (Canon PowerShot SD700 È Digitahi ELPH) revisioni
• Crepa genuina di vantaggio di Windows per WGA 1.5.722.0

Questa entrata è stata inviata giovedì il 1° gennaio 2009 al 2:09 ed è archivata nell'ambito di sicurezza. Potete seguire tutte le risposte a questa entrata attraverso l'alimentazione di RSS 2.0. Potete lasciare una risposta, o il trackback dal vostro proprio luogo.