SSL van de Barst van onderzoekers door Phishing en Spoofing Digital Certification Instantie (CA)

Wanneer de gebruiker een veilige website bezoekt die met SSL wordt gecodeerd (de Veilige Laag van Contactdozen, die nu als de Veiligheid van de Laag van het Vervoer wordt bekend (TLS)) Het protocol HTTPS, zoals elektronische handel en van Internet de plaatsen van het Bankwezen, zal de meeste mensen van mening zijn dat de plaats kwaadwillige of phishing Web-pagina's betrouwbaarder, betrouwbaar en waarschijnlijk niet kan zijn. Nochtans, kan de veiligheid verbonden aan SSL dingen van een verleden als groep van onderzoekers in Californië, Centrum Wiskunde & Informatica (CWI) in Nederland, EPFL in Zwitserland zijn, en de Universiteit van Eindhoven van Technologie (TU/e) in Nederland openbaart een ernstig veiligheidsgebrek in het SSL protocol, en stelde het tijdens het 25ste Communicatie van de Chaos Congres (25C3) in Berlijn voor.

De kwetsbaarheid exploiteert een insect in het MD5 cryptografische het hakkenalgoritme dat wordt gebruikt om enkele digitale certificaten te creëren die door certificatiegezag worden gepubliceerd (CA). De barst werkt omdat de knoeiboel wordt gebruikt om tot een digitale „vingerafdruk“ te leiden die verondersteld is om een document uniek te identificeren en gemakkelijk kan worden berekend om te verifiëren dat het document niet in doorgang is gewijzigd. Maar het gebrek in het MD5 algoritme maakt het mogelijk om twee verschillende documenten te creëren die de zelfde numerieke knoeiboelwaarde hebben. Aldus, kan iemand een ruw digitaal certificaat creëren want een phishing plaats die de zelfde vingerafdruk zoals het certificaat voor een echte Website heeft, effectief websites toestaat om te bewijzen dat zij zijn wat zij om eisen te zijn, hoewel in werkelijkheid zij niet zijn.

Met ongeveer 200 PlayStation 3 (PS3) het landbouwbedrijf (zijn bewerker van de Cel is populair met codebrekers omdat het bij het uitoefenen van cryptografische functies) goed is, de onderzoekers slaagt erin om tot een gezag van het schurkencertificaat te leiden (CA) dat een nauwkeurige omgebogen kloon van echte is, en gebruikte het aan kwestie geldige SSL certificaten voor om het even welke plaats die zij hebben gewild. Zelfs met de onwettige digitaal ondertekende parodie cert, eind - de gebruiker (noch hun browser) zou dat hun HTTPS weten: /wordt de verbinding gecompromitteerd indien aangevallen.

Tot dusver, zijn de onderzoekers erin geslaagd om RapidSSL.com van VeriSign te binnendringen in een beveiligd computersysteem de plaats van het certificaatgezag en valse digitale certificaten voor om het even welke Website op Internet te creëren. Andere CA plaatsen die MD5 gebruiken om de digitale certificaten te produceren omvatten Japanner van VeriSign, TC TrustCenter AG, EMC RSA eenheid en Thawte.

U kunt het ruwe gekloonde CA ondertekende certificaat in https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org/ bekijken

Nochtans, worden de zwakheid en de kwetsbaarheid verwacht om geen significant risico te stellen, aangezien de cryptografische achtergrond van de aanval niet wordt gepubliceerd, en de aanval is niet herhaalbaar zonder deze informatie. Bovendien, en het belangrijkst, hebben de meeste verkopers van het certificaatgezag die digitale certificaten verstrekken het veiligere sha-1 algoritme gebruikt.

Download de dia's van de 25ste presentatie Communicatie van de Chaos van het Congres (25C3 ) op SSL MD5 exploiteren barst: md5-botsing-1.0.ppt

Lees de gedetailleerde informatie over de prestatie op document met een adellijke titel „MD5 vandaag beschouwd als schadelijk - Creërend een schurkenCA certificaat“.

BELANGRIJK: De pagina is door computer vertaald en verstrekt „zoals“ zonder garantie is. De automatische vertaling kan moeilijk zijn te begrijpen. Gelieve te verwijzen naar oorspronkelijk Engels artikel waar mogelijk.

Verwante Artikelen

• Cornell Universitaire Onderzoekers Aangetoonde GPS Kwetsbaarheid met de Activiteiten van het Voor de gek houden
• IE7 langzame Reactie op het Computersysteem van XP en van het Uitzicht Toe te schrijven aan Filter Phishing
• Uitvinding van Sprekend Document door Zweedse Onderzoekers
• De Overzichten van de Kubus van Spam (AntiVirus Spam en Hulpmiddel Phishing)
• De digitale Scanner van de Film om Analoge Negatieve Films in Digitale Foto's om te zetten
• Canon PowerShot SD40 Digitale ELPH of Digitale IXUS i7 gezoemOverzichten en Vergelijkingen
• De digitale Handtekening geeft Nieuwe Munt 220 de Digitale vrij Post van de Muziek
• Canon Digitale IXUS 60 (Canon PowerShot SD600 Digitale ELPH) Overzichten
• Canon Digitale IXUS 800 IS (Canon PowerShot SD700 IS Digitale ELPH) Overzichten
• Canon EOS 400D Digitaal of de de Digitale RebellenOverzichten XTi en Vergelijkingen van Canon EOS

Deze ingang werd gepost op Donderdag, Januari 1, 2009 bij 2:09 am en wordt ingediend onder Veiligheid. U kunt om het even welke reacties op deze ingang door het voer RSS 2.0 volgen. U kunt een reactie, of trackback van uw eigen plaats verlaten.