Naukowcy Roztrzaskać SSL przez phishingiem i Spoofing Digital Certyfikacji (CA)
Gdy użytkownik odwiedza bezpieczną witrynę z szyfrowany protokół SSL (Secure Sockets Layer, obecnie znany jako TLS (Transport Layer Security)) protokół HTTPS, takich jak e-commerce i Internet Banking witryn, większość ludzi czuje, że witryna jest bardziej wiarygodne, rzetelne i mało prawdopodobne, aby być złośliwy lub phishingowych stron internetowych. Jednakże zabezpieczenia związane z SSL mogą być rzeczy z przeszłości, a zespół naukowców w Kalifornii, Centrum Wiskunde & Informatica (CWI), w Holandii, EPFL w Szwajcarii, i Eindhoven University of Technology (TU / e) w Niderlandach ujawniają poważną wadę bezpieczeństwa w protokołu SSL, i przedstawiła go podczas 25. Chaos Communication Congress (25C3) w Berlinie.
Luka wykorzystuje błąd w Hashing algorytmu MD5 kryptograficzne wykorzystywane do tworzenia niektóre z certyfikatów cyfrowych opublikowane przez certyfikacji (CA). W crack działa, ponieważ wartości mieszania są wykorzystywane do tworzenia cyfrowej "odcisk palca", że ma do identyfikacji dokumentu i może być łatwo obliczona w celu sprawdzenia, czy dokument nie został zmodyfikowany w tranzycie. Jednak luka w MD5 algorytm pozwala na tworzenie dwóch różnych dokumentów, które mają taką samą wartość liczbową hash. Tak, ktoś może utworzyć certyfikat cyfrowy nieobrabiane na phishing witryny o tej samej odcisków palców jako świadectwo prawdziwej sieci Web, witryn internetowych pozwalają skutecznie udowodnić, że oni to, co oni powoływać się, choć w rzeczywistości nie są one .
Z około 200 PlayStation 3 (PS3) gospodarstwo (jego procesor Cell jest popularny kod breakers, ponieważ jest ona dobra na wykonujących funkcje kryptograficzne), naukowców udało się stworzyć nieuczciwych świadectwa organ (CA), który jest dokładny zreplikować klon prawdziwe jeden , i to używane do wystawiania certyfikatów SSL ważnych dla każdej witryny chcieli. Nawet z nielegalnych spoof podpisane cyfrowo cert, użytkownika końcowego (ani ich przeglądarkę) będą wiedzieli, że ich https: / / połączenie jest zagrożone, jeśli zaatakowany.
Do tej pory naukowcy zdołali hack VeriSign's RapidSSL.com świadectwa organ witryny i stworzenia fałszywych certyfikatów cyfrowych dla każdej witryny sieci Web w Internecie. CA inne witryny, które wykorzystują MD5 do generowania certyfikatów cyfrowych należą VeriSign's japoński, TC TrustCenter AG, EMC i RSA jednostki Thawte.
Możesz zobaczyć nieobrabiane sklonowanej CA podpisanego certyfikatu na https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Jednakże słabość i podatność nie oczekuje się stwarzać znaczne ryzyko, jak kryptograficznych tło atak nie został opublikowany, a atak nie jest powtarzalny, bez tych informacji. Poza tym, i co najważniejsze, większość sprzedawców organ zaświadczenia, że problem certyfikatów cyfrowych zostały przy użyciu bardziej bezpieczny algorytm SHA-1.
Pobierz slajdy z 25-sza Chaos Communication Congress (25C3) prezentację na temat wykorzystania SSL MD5 crack: md5-kolizje-1.0.ppt
Przeczytaj szczegółowe informacje na temat wykorzystania na papier zatytułowany "MD5 considered harmful dziś - Tworzenie nieuczciwych certyfikat CA.
UWAGA: Strona jest maszyna przetłumaczony i pod warunkiem, "tak jak są" bez gwarancji. Tłumaczenie maszynowe może być trudne do zrozumienia. Proszę odnieść się do original English artykuł ilekroć jest to możliwe.
Pokrewne artykuły
- Cornell University Naukowcy Zademonstrowane GPS Luka z Spoofing Działania
- IE7 Powolny Reakcja na XP i Vista System powodu Phishing Filter
- Wynalazek Talking księgi przez szwedzkie Naukowca
- Spam Cube Recenzje (Anti Spam Wirusy i Phishing Narzędzie)
- Digital Film Scanner konwertować analogowe Wykluczające filmów Zdjęcia cyfrowe
- Canon PowerShot SD40 Digital ELPH lub Digital IXUS i7 zoom Recenzje i porównania
- Podpis cyfrowy Wydawnictwa Nowa Mint 220 Digital Music Station
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Recenzje
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Recenzje
- Canon EOS 400D Digital lub Canon EOS Digital Rebel XTi Recenzje i porównania
