Pētnieki Kreka SSL ar pikšķerēšanas un Spoofing Digital Certification Authority (CA)
Kad lietotājs apskata drošu internetresursa šifrēta ar SSL (Secure Sockets Layer, kas tagad pazīstama kā Transport Layer Security (TLS)) HTTPS protokolu, piemēram, e-komercija un interneta banku sites, lielākā daļa cilvēku uzskata, ka vietā ir daudz uzticamāka, ticamu un maz ticams, ka tā ir ļaunprātīgu vai pikšķerēšanas web pages. Tomēr, drošību saistītas ar SSL var būt lietas, kas agrāk kā komanda Pētnieku California, Centrum Wiskunde & Informatica (CWI) Nīderlandē, EPFL Šveicē, un Eindhoven University of Technology (TU / e) Nīderlandē atklāj nopietns drošības trūkums SSL protokols, iesniedza laikā 25. Chaos Communication kongresa (25C3) Berlīnē.
Neaizsargātību ekspluatē bug ar MD5 kriptogrāfijas hashing algoritmu izmanto, lai radītu dažas ciparu sertifikātus publicē sertificēšanas iestāde (CA). The kreka darbu, jo hashes tiek izmantoti, lai izveidotu digitālo "pirkstu nospiedumu", kas ir paredzēts, lai unikāli identificētu dokumentu un to var viegli aprēķināt, lai pārliecinātos, ka dokuments nav mainīts tranzītā. Bet trūkums par MD5 algoritma ļauj izveidot divus dažādus dokumentus, kas ir tādas pašas skaitliskās hash vērtību. Tādējādi, kādu var radīt aptuvenu ciparu sertifikātu uz pikšķerēšanas vietne, kas ir tāds pats pirkstu nospiedumu kā sertifikātu, par īstām Web site, efektīvi ļauj tīmekļa vietnes, lai pierādītu, ka viņi to, ko viņi apgalvo, ka, lai gan īstenībā tie nav .
Ar apmēram 200 PlayStation 3 (PS3) saimniecību (tās Cell procesors ir populāra ar kodu drupinātājus, jo tas ir labi realizē šifrēšanas funkcijas), pētnieku izdevies radīt negodīgiem sertifikāts iestāde (CA), kas ir precīzi atkārtot klons patiesai vienu , un to izmanto izsniegt derīgas SSL sertifikāti jebkurai vietnei viņi vēlētos. Pat ar nelikumīgu šmaukšana digitāli parakstīti CERT, gala lietotājam (ne pārlūka), varētu zināt, ka to https: / / savienojumam tiek apdraudēta, ja uzbruka.
Līdz šim pētnieki ir izdevies sacirst VeriSign's RapidSSL.com sertifikāts iestāde vietā un izveidot viltus ciparu sertifikātus jebkuram interneta mājas lapā internetā. Citi CA vietām, kas izmanto MD5 radīt digitālo sertifikātu VeriSign's Japanese, TC TrustCenter AG, EMC RSA vienību un Thawte.
Varat apskatīt neapstrādāta klonēti CA parakstīts sertifikāts https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Tomēr, vājums un neaizsargātība nav paredzēts radīt ievērojamu risku, kā kriptogrāfijas fona uz uzbrukumu nav publicēti un uzbrukumu nav atkārtojamiem bez šīs informācijas. Bez tam, un vissvarīgāk, lielākā daļa no sertifikāta iestāde pārdevēji šo jautājumu ciparu sertifikāti ir izmantojot drošāku SHA-1 algoritms.
Lejupielādēt slaidus no 25. Chaos Communication kongresa (25C3) prezentāciju par SSL MD5 izmantot kreka: MD5-sadursmes-1.0.ppt
Lasiet sīkāku informāciju par to izmantotu par papīra ar nosaukumu "MD5 uzskatīt kaitīgu šodien - izveide negodīgiem CA sertifikāts".
SVARĪGI: Lapā ir mašīnu tulkoto un ar nosacījumu, "kā ir" bez garantijas. Machine translation var būt grūti saprast. Lūdzu, skatiet oriģināls angļu rakstu kad vien iespējams.
Saistītie raksti
- Cornell University Pētniekiem demonstrēšanai GPS Neaizsargātības ar Spoofing Activities
- IE7 Lēna Response par XP un Vista Computer System Sakarā ar pikšķerēšanas Filter
- Izgudrošanas runāšana grāmata zviedru Pētnieki
- Spam Cube pārskatus (Anti Spam Virus un pikšķerēšanas Tool)
- Digital Film Scanner konvertēt Analog Negatīvie Films to Digital Photos
- Canon PowerShot SD40 Digital ELPH vai Digital IXUS i7 zoom Atsauksmes un salīdzinājumi
- Digital Signature Releases New Mint 220 Digital Music Station
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Recenzijas
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Recenzijas
- Canon EOS 400D Digital vai Canon EOS Digital Rebel XTi Atsauksmes un salīdzinājumi
