הסדק על ידי חוקרים ב-SSL Phishing ו זיופים דיגיטלי רשות הסמכה (CA)
כאשר המשתמש מבקר באתר המאובטח מוצפן עם SSL (Secure Sockets Layer, עכשיו ידוע בתור Transport Layer Security (TLS)) פרוטוקול HTTPS, כגון מסחר אלקטרוני באינטרנט וכן אתרי בנקאות, רוב האנשים תרגיש שהאתר הוא יותר אמין, והאמינות שלא להיות זדוני phishing או דפי אינטרנט. עם זאת, האבטחה המשויכים SSL עלול להיות דברים כמו העבר של צוות חוקרים בקליפורניה, Centrum Wiskunde & Informatica (CWI) של הולנד, EPFL בשוויץ, ו איינדהובן אוניברסיטת טכנולוגיות (TU / e) ב הולנד לחשוף קשה אבטחה ליקוי את פרוטוקול SSL, והציג את זה במשך 25 Chaos תקשורת הקונגרס (25C3) בברלין.
מנצל את הפגיעות של באג ב-MD5 את אלגוריתם ההצפנה hashing ליצירת חלק אישורים דיגיטליים שפורסם על ידי רשות אישורים (CA). את הסדק עובד בגלל hashes משמשים ליצירת דיגיטלי "טביעת אצבעות", כי הוא אמור לזהות באופן ייחודי מסמך והוא יכול בקלות להיות מחושב על מנת לוודא כי המסמך לא השתנתה במעבר. אבל ליקוי של אלגוריתם MD5 מאפשרת ליצור שני מסמכים שונים אשר להם אותו ערך מספרי שירים. לכן, מישהו יכול ליצור דיגיטלי מחוספס תעודה phishing של האתר, שיש לו את אותה טביעת אצבע כמו תעודה אמיתי באתר האינטרנט, אתרי האינטרנט מאפשרים, למעשה, כדי להוכיח כי הם מה שהם טוענים להיות, אם כי במציאות הם אינם .
עם כ -200 PlayStation 3 (PS3) משק חקלאי (את המעבד הפופולרי נייד עם קוד breakers כי הוא טוב ביצוע ההצפנה פונקציות), החוקרים הצליחו ליצור סמכות האישור רמאי (CA) אשר הינה מדויקת לשכפל clone של אחד אמיתי , והשתמש בו כדי להנפיק אישורים חוקיים SSL עבור כל אתר שהם רוצים. גם עם חוקי מתיחה CERT חתומים דיגיטלית, משתמש קצה (וגם לא את הדפדפן) היה יודע את זה https: / / החיבור מתבצע compromised אם תקף.
עד כה, החוקרים הצליחו יש לקצץ VeriSign RapidSSL.com תעודה של הרשות באתר וליצור זיוף אישורים דיגיטליים עבור כל אתר אינטרנט באינטרנט. אחר קליפורניה אתרים המשתמשים MD5 על מנת ליצור את תעודות דיגיטליות כוללות VeriSign של יפנית, TC TrustCenter AG, RSA EMC ו Thawte יחידה.
אתה יכול להציג את הגס cloned קליפורניה חתם תעודה ב https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
עם זאת, חולשה או פגיעות אינה אמורה לדגמן סיכון משמעותי, כמו ההצפנה על רקע הפיגוע אינו מפורסם, ואת ההתקפה לא לשחזור ללא מידע זה. חוץ מזה, והכי חשוב, רוב הספקים כי סמכות האישור להנפיק תעודות דיגיטליות בהן השתמשתי יותר מאובטח אלגוריתם SHA-1.
הורד את השקופיות של 25 Chaos תקשורת הקונגרס (25C3) במצגת על SSL MD5 לנצל הסדק: התנגשויות-md5-1.0.ppt
לקריאת מידע מפורט על לנצל ב נייר שכותרתה "MD5 נחשב מזיק היום - יצירת נוכל קליפורניה תעודה".
חשוב: הדף הוא מכונה בתרגום ובתנאי "כמות שהוא", ללא אחריות. תרגום מכונה יכול להיות קשה להבין. אנא פנה ל המאמר המקורי באנגלית ככל שניתן.
מאמרים קשורים
- חוקרים מאוניברסיטת קורנל וניגפה GPS עם פגיעות זיופים פעילויות
- IE7 תגובה איטי ב XP ו Vista מערכת מחשב בשל מסנן הדיוג
- ההמצאה של מדבר שוודית נייר על ידי חוקרים
- ביקורות קובייה ספאם (דואר זבל אנטי וירוס ו כלי Phishing)
- סורק דיגיטלי סרטים להמיר סרטים כדי Analog שלילי תמונות דיגיטליות
- Canon PowerShot SD40 Digital ELPH Digital IXUS i7 או Zoom ביקורות ו השוואות
- חתימה דיגיטלית חדשה Releases מנטה 220 תחנות מוסיקה דיגיטלית
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) ביקורות
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) ביקורות
- Canon EOS 400D Digital Canon EOS Digital או למרוד XTi ביקורות ו השוואות
