Mananaliksik pumutok SSL sa pamamagitan ng Phishing at Spoofing Digital Certification Authority (CA)

Kapag gumagamit na pagbisita ng isang secure website encrypted sa SSL (Secure Sockets Layer, ngayon kilala bilang Transport Layer Security (TLS)) HTTPS protocol, tulad ng e-Commerce at Internet Banking mga site, ang karamihan sa tao ay nararamdaman na ang site ay mas mapagkakatiwalaan, maaasahan at malamang na hindi na maging isang may masamang hangarin o phishing na mga pahina ng web. Gayunman, ang seguridad na may kaugnayan sa SSL ay maaaring mga bagay-bagay ng isang nakalipas na bilang ng isang pangkat ng mga mananaliksik sa California, Centrum Wiskunde & Informatica (CWI) sa Netherlands, EPFL sa Switzerland, at Eindhoven University of Technology (TU / e) sa Netherlands bunyagan isang malubhang security lamat sa SSL protocol, at iniharap ito sa panahon ng 25th saligutgot Communication Kongreso (25C3) sa Berlin.

Ang kahinaan Pagsasamantala ng isang bug sa MD5 cryptographic hashing algorithm na ginamit upang lumikha ng ilan sa mga digital na sertipiko ng nai-publish sa pamamagitan ng sertipikasyon ng kapangyarihan (CA). Ang pumutok gumagana dahil hashes ay ginagamit upang lumikha ng isang digital "fingerprint" na pakunwari na natatanging kilalanin ang isang dokumento at madaling maaaring kalkulahin upang mapatunayan na ang mga dokumento ay hindi na mabago sa paglipat. Ngunit ang mga lamat sa MD5 algorithm posible upang lumikha ng dalawang magkaibang mga dokumento na may parehong bilang hash value. Samakatuwid, ang isang tao ay maaaring lumikha ng isang magaspang digital na sertipiko para sa isang phishing site na may parehong bilang ng mga tatak ng daliri sertipiko para sa isang tunay na Web site, mabisa payagan ang mga web site na patunayan na sila ay kung ano ang kanilang claim na, kahit na sa katotohanan sila ay hindi .

Sa pamamagitan ng mga 200 PlayStation 3 (PS3) sakahan (nito Cell processor ay popular sa mga breakers code na ito sapagkat ito ay mabuti at gumaganap cryptographic function), ang mga mananaliksik pamahalaan na lumikha ng isang sertipiko ng awtoridad haragan (CA) na kung saan ay isang eksaktong magtiklop I-clone ang mga tunay na isa , at ginagamit ito sa mga isyu na may-bisa ang SSL certificates para sa anumang mga site nila gusto. Kahit na sa mga iligal na madaya digitally sign cert, end user (o ang kanilang mga browser) ay alam na ang kanilang HTTPS: / / koneksyon ay kompromisong kung attacked.

So far, ang mga mananaliksik ay may pinamamahalaang sa tadtarin VeriSign's RapidSSL.com sertipiko ng awtoridad ng site at lumikha ng pekeng mga digital na sertipiko para sa anumang Web site sa Internet. Iba pang mga site na gumagamit ng CA MD5 upang makabuo ng mga digital na sertipiko isama VeriSign ng Hapon, TC TrustCenter AG, EMC RSA yunit at Thawte.

Maaari mong tingnan ang magaspang kopya CA-sign sertipiko sa https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /

Gayunpaman, ang kahinaan at ang kahinaan na ito ay hindi inaasahan na mag-ayos ng makabuluhang panganib, bilang cryptographic background sa atake na ito ay hindi nai-publish na, at ang mga atake ay hindi repeatable na walang impormasyon na ito. Bukod, at pinaka-mahalaga, ang karamihan ng mga sertipiko ng awtoridad vendor na isyu na mga digital na sertipiko na ito ay ang paggamit ng mas ligtas Sha-1 algorithm.

I-download ang mga slides ng 25th saligutgot Communication Kongreso (25C3) pagtatanghal sa SSL MD5 pagsamatalahan pumutok: MD5-collisions-1.0.ppt

Basahin ang mga detalyadong impormasyon tungkol sa mga maningning na tagumpay sa papel na pinamagatang "MD5 alang sa mapaminsalang ngayon - Paglikha ng isang pusong CA sertipiko".

MAHALAGA: Ang mga pahina ay makina isinalin at ibinigay "gaya ay" walang warranty. Machine translation ay maaaring mahirap maintindihan. Mangyaring tingnan ang orihinal na Ingles na artikulo hangga't maaari.

Mga Kaugnay na Akda

• Cornell University nananaliksik nagpakita GPS kahinaan sa Spoofing Aktibidades
• IE7 Mabagal Kasagutan sa XP at Vista Computer System Dahil sa Phishing na Filter
• Imbento ng magsalita sa pamamagitan ng Papel Swedish nananaliksik
• Spam kubo Review (Anti Spam Virus at Phishing Tool)
• Digital Film scanner sa convert analog Negatibong Films sa Digital Photos
• Canon PowerShot SD40 Digital ELPH o Digital IXUS i7 zoom Reviews at paghahambing
• Digital Signature Releases Bagong Mint 220 Digital Music Station
• Canon Digital IXUS 60 (Canon PowerShot SD600 Digital ELPH) Reviews
• Canon Digital IXUS 800 IS (Canon PowerShot SD700 AY Digital ELPH) Reviews
• Canon EOS 400D Digital o Canon EOS Digital rebeldeng XTi Reviews at paghahambing

Ang entry na ito ay nai-post sa Huwebes, ika-1 ng Enero, 2009 at 2:09 am at ito ay naisaayos sa ilalim ng Security . Maaari mong sundin ang anumang sagot na ang entry na ito sa pamamagitan ng RSS 2.0 feed. Maaari ninyong mag-iwan ng tugon , O Trackback mula sa iyong sariling site.