Výskumníci Crack SSL by Phishing a falošnú identifikáciu Digital Certifikačná autorita (CA)
Keď užívateľ navštívi webovú stránku bezpečné šifrované s SSL (Secure Sockets Layer, teraz známej ako Transport Layer Security (TLS)) HTTPS protokol, ako je e-Commerce a internetové bankovníctvo lokalít, väčšina ľudí si myslí, že na mieste je dôveryhodný, spoľahlivý a nepravdepodobné, že by sa zlými úmyslami alebo phishingových webových stránok. Avšak, bezpečnosti spojené s SSL môže byť to, čo bolo v minulosti v tíme vedcov z Kalifornie, Centrum Wiskunde & Informatica (CWI) v Holandsku, EPFL vo Švajčiarsku, a Eindhoven University of Technology (TU / e) v Holandsku odhaliť vážnu bezpečnostnú chybu v protokole SSL, a je predložený v priebehu 25. Chaos oznámenie Congress (25C3) v Berlíne.
Zraniteľnosti zneužíva chybu vo MD5 šifrovací algoritmus hashing použitý k vytvoreniu niektorých z digitálne certifikáty vydané certifikačnou autoritou (CA). V bezva funguje, pretože hash sa používajú pre vytvorenie digitálnej "odtlačok", ktorý je vraj na jednoznačnú identifikáciu dokumentu a môže byť ľahko vypočítané pre overenie, že dokument nebol zmenený v tranzite. Ale chyba v MD5 algoritmus umožňuje vytvoriť dva rôzne dokumenty, ktoré majú rovnakú číselnú hodnotu hash. Preto niekto môže vytvoriť hrubý digitálny certifikát pre phishing mieste, ktoré má rovnaký ako odtlačok certifikátu pre skutočné webové stránky, účinne umožňujú webovej stránky, aby preukázal, že ste to, čo tvrdia, že sú, aj keď v skutočnosti nie sú .
S približne 200 PlayStation 3 (PS3) farmy (jeho Cell procesor je populárny s kódom ističe, pretože je dobrý na plnenie kryptografické funkcie), vedcov podarí vytvoriť taškář certifikačnou autoritou (CA), ktorý je presný Duplikátne klon skutočné jedna , a používa ju na vydanie platné SSL certifikáty pre všetky stránky, ktoré chcel. Dokonca s nelegálnym vtip digitálne podpísaný hotovka, koncovému užívateľovi (ani ich prehliadač) by vedieť, že ich https: / / pripojenie je ohrozená, keď napadol.
Zatiaľ výskumných podarilo zamrznúť VeriSign to RapidSSL.com certifikačnou autoritou stránky a vytvárať nepravé digitálne certifikáty pre všetky webové stránky na internete. CA iné weby, ktoré používajú MD5 vygenerovať digitálne certifikáty patrí VeriSign v japončine, TC TrustCenter AG, EMC a RSA jednotky Thawte.
Môžete zobraziť drsné naklonoval CA podpísané osvedčenie v https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Avšak, slabosť a zraniteľnosť sa neočakáva, že predstavujú významné riziko, ak kryptografickým pozadí útoku nie je zverejnená, a útok nie je opakovatelnou bez tejto informácie. Okrem toho, a čo je najdôležitejšie, že väčšina z certifikačnou autoritou predajcovia tému digitálne certifikáty, ktoré boli pomocou bezpecnejšie SHA-1 algoritmus.
Stiahnuť snímky z 25. Chaos oznámenie Congress (25C3) prezentácie na SSL MD5 crack využívať: md5-kolízie-1.0.ppt
Prečítajte si podrobné informácie o využití na Papier názvom "MD5 považované za škodlivé dnes - Vytvorenie taškář CA certifikát".
Upozornenie: Stránka je stroje preložené a poskytované "tak ako sú" bez záruky. Strojový preklad môže byť ťažké pochopiť. Obráťte sa prosím na Anglický originál článku kedykoľvek je to možné.
Súvisiace články
- Cornell University vedcov preukázala GPS Zraniteľnosť sa falošná identifikácia Aktivity
- IE7 Pomalý reakcie na XP a Průhled Počítačový systém Vďaka Phishing filter
- Vynález Hovoriace kniha od švédskej Výskumníci
- Spam Cube Recenzie (Anti Spam Virus a Phishing Tool)
- Digital Film Scanner pre prevod analógových Negatívny Filmy na digitálne fotografie
- Canon PowerShot SD40 Digital ELPH alebo Digital IXUS I7 zoom Recenzie a porovnanie
- Digitálny podpis správy Nové Mincovna 220 Digital Hudba Stanice
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Recenzie
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Recenzie
- Canon Digital EOS 400D alebo Canon EOS Digital Rebel XTi Recenzie a porovnanie
