Nhà nghiên cứu của Crack SSL Phishing Spoofing và kỹ thuật số, chứng nhận Authority (CA)

Khi người dùng truy cập một trang web bảo mật mã hóa với SSL (Secure sockets lớp, bây giờ được gọi là lớp bảo vệ Giao thông Vận tải (TLS)) HTTPS giao thức, chẳng hạn như e-Ngân hàng Thương mại và Internet các trang web, hầu hết mọi người sẽ cảm thấy rằng các trang web đáng tin cậy hơn, tin cậy và không phải là một độc hại hoặc lừa đảo các trang web. Tuy nhiên, kết hợp với bảo mật SSL có thể được điều của một quá khứ như là một nhóm các nhà nghiên cứu ở California, centrum Wiskunde & Informatica (CWI) ở Hà Lan, EPFL tại Thụy Sỹ, và Trường Đại học Công nghệ Eindhoven (TU / e) ở Hà Lan tiết lộ một flaw an ninh nghiêm trọng trong giao thức SSL, và nó được trình bày trong thời gian 25. Chaos Đại hội Truyền thông (25C3) tại Berlin.

Các tổn thương khai thác một lỗi trong các MD5 cryptographic hashing thuật toán được sử dụng để tạo ra một số kỹ thuật số giấy chứng nhận công bố của chính quyền cấp giấy chứng nhận (CA). Các hoạt động vì crack hashes được sử dụng để tạo ra một kỹ thuật số "vân tay" có nghĩa là vụ để nhận ra duy nhất một tài liệu và có thể dễ dàng được tính toán để xác minh rằng các tài liệu chưa được sửa đổi trên đường vận chuyển. Nhưng flaw trong các thuật toán MD5 làm cho nó có thể để tạo ra hai tài liệu khác nhau mà có cùng một số giá trị hash. Vì vậy, một ai đó có thể tạo một rough kỹ thuật số cấp giấy chứng nhận cho một trang web lừa đảo mà có cùng một vân tay như là chứng chỉ cho một trang web chính hãng, có hiệu quả cho phép các trang web để chứng minh rằng họ đang yêu cầu bồi thường cho những gì họ được, mặc dù trong thực tế chúng không .

Với khoảng 200 PlayStation 3 (PS3) nông nghiệp (các bộ xử lý Cell là phổ biến với mã breakers vì nó được thực hiện tốt tại cryptographic chức năng), các nhà nghiên cứu quản lý để tạo ra một rogue có thẩm quyền cấp giấy chứng nhận (CA) là một chính xác tái clone của một trong những chính hãng , và được sử dụng nó để cấp giấy chứng nhận SSL hợp lệ cho bất kỳ trang web nào mà họ muốn. Ngay cả với những bất hợp pháp spoof digitally CERT ký, người sử dụng cuối cùng (và cũng không phải trình duyệt của họ) sẽ cho biết rằng họ HTTPS: / / kết nối đang được công nếu tấn công.

Cho đến nay, các nhà nghiên cứu đã được quản lý để hack Verisign của RapidSSL.com thẩm quyền cấp giấy chứng nhận và tạo các trang web giả mạo chứng chỉ kỹ thuật số cho bất kỳ trang web trên Internet. CA các trang web khác sử dụng MD5 để tạo ra các kỹ thuật số bao gồm các chứng chỉ Verisign của Nhật Bản, TC TrustCenter AG, EMC RSA và các đơn vị Thawte.

Bạn có thể xem rough cloned CA ký giấy chứng nhận tại https: / / i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org /

Tuy nhiên, sự suy nhược và dễ bị tổn thương có thể sẽ không phải pose đáng kể rủi ro, cryptographic như là nền tảng cho cuộc tấn công không phải là xuất bản, và các cuộc tấn công không phải là repeatable mà không có thông tin này. Bên cạnh đó, và quan trọng nhất là, hầu hết các nhà cung cấp có thẩm quyền cấp giấy chứng nhận rằng vấn đề kỹ thuật số đã được cấp giấy chứng nhận bằng cách sử dụng an toàn hơn thuật toán SHA-1.

Tải về các trang trình bày của 25. Chaos Đại hội Truyền thông (25C3) trình bày về việc khai thác SSL MD5 crack: md5-collisions-1.0.ppt

Đọc các thông tin chi tiết về việc khai thác trên giấy có tiêu đề "MD5 coi là nguy hại ngày hôm nay - Việc tạo một rogue CA cấp giấy chứng nhận".

Lưu ý: Các trang web là máy tính dịch và cung cấp "như là" mà không có bảo đảm. Máy dịch thuật có thể là khó hiểu. Xin vui lòng tham khảo bản gốc tiếng Anh bài viết bất cứ khi nào có thể.

Bài viết liên quan

• Có nhà nghiên cứu trường Đại học Cornell GPS Spoofing Vulnerability với hoạt động
• IE7 Slow Response XP và Vista trên máy tính hệ thống Do Phishing Filter
• Nói Giấy chế của nhà nghiên cứu của Thụy Điển
• Xem lại thư rác Cube (Chống Thư rác và virus Phishing Công cụ)
• Phim ảnh kỹ thuật số Máy quét để Chuyển đổi Analog Phủ định phim cho hình ảnh kỹ thuật số
• Canon PowerShot SD40 Digital ELPH hoặc kỹ thuật số Ixus i7 zoom Xem lại và So sánh
• Chữ ký chí kỹ thuật số mới 220 Mint Station Âm nhạc kỹ thuật số
• Kỹ thuật số Canon Ixus 60 (Canon PowerShot SD600 Digital ELPH) Xem lại
• Kỹ thuật số Canon Ixus 800 IS (Canon PowerShot SD700 IS Digital ELPH) Xem lại
• Canon EOS 400D hoặc kỹ thuật số Canon EOS Digital Rebel XTi Xem lại và So sánh

Mục nhập này đã được đăng trên Thứ năm, 1 tháng một, 2009 at 2:09 và là đệ dưới Bảo mật . Bạn có thể làm theo bất kỳ phản ứng để này thông qua các mục nhập RSS 2.0 nguồn cấp dữ liệu. Bạn có thể để lại một phản ứng , Hoặc Trackback từ trang web của riêng bạn.