Дослідники Crack SSL шляхом фішингу та спуфінга Цифровий сертифікації (CA)
Коли користувач відвідує сайт безпечної зашифрованою з SSL (Secure Sockets Layer, нині відоме як Transport Layer Security (TLS)) HTTPS протоколу, таких, як електронна комерція та інтернет-сайти банківського, більшість людей будуть відчувати, що сайт є більш достовірної, надійної та навряд чи можуть бути злонамереннимі або фішинг веб-сторінок. Тим не менш, безпека, пов'язані з SSL може бути речі минулого, як група дослідників з Каліфорнії, Centrum Wiskunde І Informatica (CWI) в Нідерландах, у Швейцарії EPFL і Ендховен технологічний університет (ТУ / д) в Нідерландах, показують, серйозний недолік у безпеці SSL протокол, та й поставив його в протягом 25 Хаосу Повідомлення конгресу (25C3) в Берліні.
Експлуатує уразливість помилку в MD5 криптографічний алгоритм хешірованія використовуються для створення деяких цифрових сертифікатів, що опубліковані сертифікації (ЦС). Крек працює, тому хешамі використовуються для створення цифрових "відбитків пальців", які, як передбачається, щоб однозначно ідентифікувати документ і може бути легко розрахований, щоб переконатися, що цей документ не був змінений в дорозі. Але брак MD5 алгоритм дозволяє створити дві різних документів, які мають однакові хеш-числові значення. Таким чином, кто-то може створити грубої цифровий сертифікат для фішинг-сайт, який має такий же відбиток, як свідоцтво про справжніх веб-сайту, ефективно розв'язати веб-сайтів щоб довести, що вони те, що вони стверджують, що, хоча в дійсності вони не .
Що близько 200 PlayStation 3 (PS3) господарств (її комірки процесора популярна з кодом молотки, оскільки добре виконують криптографічні функції), дослідники змогли створити ізгоїв сертифікації (CA), який є точною реплікації клон одного справжнього , і використовували його у видачі SSL сертифікати дійсні для будь-якого сайту, вони хотіли. Навіть з незаконним обманювати цифровим підписом CERT, кінцевих користувачів (або їх браузер) буде знати, що їх HTTPS: / / з'єднання знаходиться під загрозою в разі нападу.
До сих пір дослідники зуміли зламати VeriSign в RapidSSL.com сертифікації сайт і створити фальшиві цифрових сертифікатів для будь-якого веб-сайту в Інтернеті. CA Інші сайти, які використовують MD5 для створення цифрових сертифікатів VeriSign включати в японському, ТК TrustCenter AG, підрозділ EMC і RSA Thawte.
Ви можете переглянути грубої клонірованних CA сертифікат на HTTPS: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /
Однак, слабкість і вразливість, як очікується, не створюють значних ризиків, в якості фону для криптографічні атаки, не публікуються, і напад НЕ повторюваності без цієї інформації. Крім того, і, найголовніше, більшість сертифікації постачальників, що питання цифрових сертифікатів, які використовуються більш безпечним SHA-1 алгоритм.
Завантажити слайди 25 Хаос Повідомлення конгресу (25C3) Презентація по SSL MD5 експлуатувати тріщина: md5-зіткненнях-1.0.ppt
Читайте детальну інформацію про експлуатації на папір під назвою "MD5 вважається шкідливою сьогодні - Створення сертифіката CA-ізгоїв".
Увага: Ця сторінка машина переведена і надаються "як є" без гарантії. Машинний переклад може бути важким для розуміння. Будь-ласка, зверніться до Англійська оригінальні статті коли це можливо.
Статті по темі
- Cornell University Дослідники продемонстрував GPS Вразливість при спуфінга Заходи
- IE7 повільна реакція на XP і Vista Комп'ютерні Системи Завдяки фільтр фішингу
- Винахід говорити папери шведських дослідників
- Спам Cube Відгуки (протиракетної спаму і фішингу вірусу інструмент)
- Цифрова кінематографія Сканер для Перетворять аналогові Заперечні Фільми для цифрових фотографій
- Canon PowerShot SD40 Цифрові ELPH або Digital IXUS i7 збільшити Огляди та зіставлень
- Цифровий підпис реліз Нові Мінт 220 Цифрова музика станція
- Canon Digital IXUS 60 (Canon PowerShot SD600 Цифровий ELPH) Огляди
- Canon Digital IXUS 800 IS (Canon PowerShot SD700 IS Цифровой ELPH) Огляди
- Canon EOS 400D DIGITAL або Canon EOS Digital Rebel XTi Огляди та зіставлень
