Cercetatori Crack SSL de phishing şi falsificarea digitală de certificare (CA)

Atunci când un utilizator vizitează site-ul securizat criptate cu SSL (Secure Sockets Layer, acum cunoscut sub numele de Transport Layer Security (TLS)) HTTPS protocol, cum ar fi e-commerce şi site-uri de Internet Banking, cei mai mulţi oameni se vor simţi că site-ul este mult mai de încredere, de încredere şi puţin probabil să fie un rău sau de phishing pagini web. Cu toate acestea, de securitate asociate cu SSL pot fi lucruri de un trecut ca o echipă de cercetători din California, Centrum Wiskunde & Informatica (CWI) în Ţările de Jos, EPFL, în Elveţia, şi Universitatea de Tehnologie Eindhoven (TU / e), în Ţările de Jos au evidenţiat o serioasă breşă în securitate SSL protocol, şi a prezentat-o în cea de-a 25 Chaos Comunicare Congresul (25C3) de la Berlin.

Vulnerabilitatea exploateaza o eroare în MD5 criptografice hashing algoritmului folosit pentru a crea o parte din certificate digitale publică de către autoritatea de certificare (CA). De hashes crack de lucrări, pentru că sunt folosite pentru a crea o digital "amprentare", care se presupune a identifica un document cu uşurinţă şi pot fi calculate, pentru a verifica faptul că documentul nu a fost modificată în tranzit. Dar defect în MD5 algoritm oferă posibilitatea de a crea două documente diferite care au aceeaşi valoare numerică haşiş. Astfel, cineva poate crea o stare brută certificat digital pentru un phishing site-ul care are aceeaşi amprentă ca un veritabil certificat pentru site-ul Web, în mod eficient permite site-uri web pentru a dovedi că acestea sunt ceea ce ei pretind a fi, cu toate că, în realitate, ei nu sunt .

Cu aproximativ 200 de PlayStation 3 (PS3) de fermă (său procesor Cell este popular cu cod spart, pentru că este bun la efectuarea funcţii criptografice), de cercetători a reuşit să creeze un certificat de autoritatea necinstiţi (CA), care este o clona reproduc exact de un autentic , şi a folosit-o pentru a elibera certificate SSL valabil pentru orice site au vrut. Chiar şi cu ilegală spoof semnat digital Cert, utilizatorul final (nici browser) pe care le-ar şti https: / / conexiunea este compromisă dacă atacat.

Până în prezent, cercetătorii au reuşit să hack Verisign a RapidSSL.com certificat de autoritatea site-ului şi crearea de false certificate digitale pentru orice site-ul Web de pe Internet. CA Alte site-uri care folosesc MD5 pentru generarea de certificate digitale include Verisign lui japoneză, TC TrustCenter AG, EMC RSA unitate şi Thawte.

Puteţi vedea dur clonat CA a semnat certificatul de la https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /

Cu toate acestea, de slăbiciune şi de vulnerabilitate nu este de aşteptat să pună risc semnificativ, ca fundal criptografice la atac nu este publicat, iar atacul nu este repetabile fără aceste informaţii. În afară de aceasta, şi, cel mai important, cea mai mare parte a certificat faptul că furnizorii de autoritatea emite certificate digitale au fost utilizaţi mai sigure SHA-1 algoritm.

Descarca de slide-uri de la 25 Chaos Comunicare Congresul (25C3) prezentare pe SSL MD5 exploateze crack: md5-collisions-1.0.ppt

Citiţi informaţii detaliate despre exploata la hârtie intitulat "MD5 considerate dăunătoare azi - Crearea unui pungăşesc CA certificat".

IMPORTANT: pagina este maşină de tradus şi "ca atare", fără garanţie. Machine traducere poate fi dificil de înţeles. Vă rugăm să original English articol ori de câte ori este posibil.

Articole

• Universitatea Cornell Cercetătorii au demonstrat GPS Vulnerability cu falsificarea Activităţi
• Ie7 Slow Răspuns pe XP şi Vista sistem Datorită Phishing Filter
• Inventia Talking Carte de suedez Cercetatori
• Spam Cube Recenzii (Anti Spam Virus şi Phishing Unealtă)
• Digital Film Scanner pentru a converti Analog Negative Filme pentru fotografii digitale
• Canon PowerShot SD40 Digital ELPH sau Digital IXUS I7 zoom Recenzii şi Comparisons
• Digital Semnătură Releases Nou Mint 220 Digital Music Station
• Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Reviews
• Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Reviews
• Canon EOS 400D Digital sau Canon EOS Digital Rebel XTi Recenzii şi Comparisons

This intrare was post on Joi, 1 ianuarie, 2009 la 2:09 şi este depusă în conformitate cu Securitate . Tu poţi a urma orice răspuns la spre this intrare prin RSS 2.0 hrană pentru animale. Puteţi un răspuns , Sau trackback de la al tău own site.