Forskare Spricka SSL genom phishing och falska Digital certifieringsinstans (Kalifornien)
När användare besöker en säker webbplats krypteras med SSL (Secure Sockets Layer, som nu kallas Transport Layer Security (TLS)) HTTPS-protokollet, såsom e-handel och Internet Banking platser, de flesta människor känner att platsen är mer trovärdig, tillförlitlig och osannolikt att en skadlig eller phishing webbsidor. Men säkerheten är förknippade med SSL får saker i ett förflutet som ett team av forskare i Kalifornien, Centrum Wiskunde & Informatica (CWI) i Nederländerna, EPFL i Schweiz och Eindhoven University of Technology (TU / e) i Nederländerna visar en allvarlig säkerhet fel i SSL-protokollet, och presenterade den under 25 Chaos meddelande kongressen (25C3) i Berlin.
Säkerhetsproblemet utnyttjar en bugg i MD5 kryptografisk hashing algoritm används för att skapa några av de digitala certifikat publiceras av certifieringsmyndigheten (Kalifornien). Sprickan fungerar eftersom hashes används för att skapa en digital "fingeravtryck" som är tänkt att identifiera ett dokument och lätt kan beräknas för att kontrollera att dokumentet inte har ändrats under transporten. Men brist i MD5 algoritm gör det möjligt att skapa två olika dokument som har samma numeriska hashvärde. Alltså, någon kan skapa en grov digitalt certifikat för en phishing-webbplats som har samma fingeravtryck som bevis för en genuin webbplats effektivt tillåta webbplatser att bevisa att de är vad de påstår sig vara, men i själva verket de inte är .
Med cirka 200 PlayStation 3 (PS3) gård (sin Cell-processor är populärt med kod brytare eftersom det är bra på att utföra kryptografiska funktioner), forskarna lyckas skapa en skurkstat certifikatutfärdare (CA) som är en exakt kopiera klon av äkta en och använt det för att utfärda giltigt SSL-certifikat för varje plats de ville. Även med den illegala SPRATT digitalt signerade cert, slutanvändaren (eller deras webbläsare) skulle veta att deras https: / / anslutningen äventyras om attackeras.
Hittills har forskarna lyckats hacka VeriSigns RapidSSL.com Certifikatutfärdaren webbplats och skapa falska digitala certifikat för en webbplats på Internet. Övriga Kalifornien webbplatser som använder MD5 för att generera digitala certifikat innehålla VeriSigns japanska, TC TrustCenter AG, EMC RSA enhet och Thawte.
Du kan visa grov klonade Kalifornien certifikat på https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Men den svaghet och utsatthet inte förväntas medföra betydande risk, eftersom kryptografisk bakgrunden till attacken är inte offentliggjort, och attacken är inte upprepa utan denna information. Dessutom, och viktigast av allt, de flesta av de certifikatutfärdare säljare frågan digitala certifikat har använt säkrare SHA-1-algoritmen.
Ladda ner bilder av 25 Chaos meddelande kongressen (25C3) presentation om SSL MD5 utnyttja spricka: md5-kollisioner-1.0.ppt
Läs detaljerad information om de utnyttjar den papper titeln "MD5 anses skadliga dag - Skapa en skurkstat Kalifornien certifikat".
VIKTIGT: Sidan maskin översatt och levereras "som är" utan garanti. Maskinöversättning kan vara svårt att förstå. Se ursprungliga engelska artikeln när det är möjligt.
Relaterade artiklar
- Cornell University Forskare Visad GPS Säkerhetsproblem med Kapning Aktiviteter
- IE7 Långsam Svar på XP och Vista Computer System Eftersom nätfiskefiltret
- Uppfinning av Talking Papper av svenska forskare
- Spam Cube Recensioner (Anti Spam Virus och Phishing Redskap)
- Digital Film Scanner Konvertera Analog Negativa filmer för digitalfoton
- Canon PowerShot SD40 Digital ELPH eller Digital IXUS i7 zoom Översikter och jämförelser
- Digital signatur Offentliggöranden Nya Mint 220 Digital Music Station
- Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Översikter
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Digital ELPH) Översikter
- Canon EOS 400D Digital eller Canon EOS Digital Rebel XTi Översikter och jämförelser
