Mokslininkai Crack SSL padarytais Fišingas ir Spoof Skaitmeninis sertifikavimo įgaliojimą (SĮ)
Jei vartotojas apsilanko saugiame tinklalapyje šifruotu SSL (Secure Sockets Layer, dabar vadinama TLS (Transport Layer Security)) HTTPS protokolą, pavyzdžiui, elektroninės komercijos ir interneto bankininkystės svetaines, dauguma žmonių jaučia, kad ši svetainė yra patikima, patikimas ir neturėtų būti kenksminga ar Fišingas tinklalapius. Tačiau, saugumo, susijusių su SSL gali būti dalykų, praeityje su grupe mokslininkų Kalifornijoje, Centras Wiskunde & Informatica (CWI) tuo Nyderlandai, EPFL Šveicarijoje, ir Eindhoveno technologijos universiteto (TU / e) Nyderlanduose atskleisti rimtas saugumo trūkumas SSL protokolas, ir pateikti ją per 25 Chaos Bendravimas kongresas (25C3) Berlyne.
Pažeidžiamas eksploatuoja klaidų dėka MD5 kriptografinė maišymo algoritmas naudojamas sukurti kai kurie skaitmeniniai sertifikatai skelbia sertifikavimo institucija (CA). Įtrūkimai darbų, nes hashes naudojami kuriant skaitmeninių "pirštų atspaudų", kuri yra skirta tam, kad identifikuoti dokumento ir gali būti lengvai apskaičiuojamas, siekiant patikrinti, kad dokumentas nebuvo pakeistas tranzito. Bet klaidos dėka MD5 algoritmą leidžia sukurti dvi skirtingas dokumentų, turinčių tą patį skaičiaus maišos vertė. Taigi, kas nors gali sukurti žaliavinės skaitmeninį sertifikatą už sukčiavimą svetainę tuo pačiu daktiloskopinių kaip sertifikatas tikrą svetainę, efektyviai leisti svetainių įrodyti, kad jie ką jie teigia, kad, nors iš tiesų jie nėra .
Su maždaug 200 PlayStation 3 (PS3) ūkyje (savo Cell procesorius yra populiarus kodas trupintuvai, nes jis gerai atlikti kriptografines funkcijų), mokslo sugeba sukurti sukčiaujančiais sertifikatas institucija (CA), kuri yra tiksliai atkartoti klonas tikrą vieną , ir naudojo jį išduoti svarbūs SSL sertifikatus už bet kokios svetainės jie norėjo. Net su nelegalia Klaidingą skaitmeniniu parašu cert, galutinio vartotojo (nei savo naršyklėje), turėtų žinoti, kad jų https: / / ryšys yra sukompromitavo užpuolimo atveju.
Iki šiol tyrėjai sugebėjo nulaužti Verisign's RapidSSL.com sertifikato svetainę ir sukurti padirbtą skaitmeninių sertifikatų bet svetainę internete. Kita CA svetainėse kad naudoti MD5 kurti skaitmeninių sertifikatų įtraukti Verisign's Japonų, TC TrustCenter AG, EMS RSA vieneto ir Thawte.
Jūs galite peržiūrėti žaliavinės klonuoti CA pasirašo sertifikatą, https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Tačiau silpnumas ir pažeidžiamumas yra ne tikėtis, kad kelia didelę grėsmę, kaip kriptografinė fonas išpuolių nėra paskelbta, ir išpuolių nėra pakartotinai be šios informacijos. Be to, ir svarbiausia, dauguma sertifikato pardavėjai šiuo klausimu skaitmeninius sertifikatus, kurie naudojami daugiau saugaus SHA-1 algoritmas.
Parsisiųsti skaidres ir 25. Chaos Bendravimas kongresas (25C3) pristatymas SSL MD5 išnaudoti kreko: MD5-Avarija-1.0.ppt
Skaityti išsamią informaciją apie išnaudoti dėl popieriaus pavadinimu "MD5 laikomas žalingu šiandien - kūrimas sukčiaujančiais CA sertifikatas".
DĖMESIO: Šis puslapis yra mašina išvertė ir pateikiama "kaip yra" be garantijų. Mašininio vertimo, gali būti sunku suprasti. Remkitės originalas anglų straipsnis jei įmanoma.
Susiję straipsniai
- Cornell University Mokslininkų įrodyta, GPS Luka su Spoof Veikla
- IE7 lėtai reagavimo dėl XP ir Vista Computer System Dėl Phishing Filter
- Išradimo kalbanti knyga švedų mokslininkų
- Šlamštas Cube Atsiliepimai (Anti Spam virusinė ir Fišingas įrankis)
- Digital Film Scanner pertvarkymo Analog Neigiami Filmai skaitmeninis nuotraukos
- Canon PowerShot SD40 Digital ELPH ar Digital IXUS i7 zoom Apžvalgos ir palyginimai
- Skaitmeninis parašas nauji mėtų 220 Skaitmeninis muzikos stotis
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Apžvalgos
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Apžvalgos
- Canon EOS 400D Digital arba Canon EOS Digital Rebel XTi Apžvalgos ir palyginimai
