• Strona główna

---

• Aktualności
• Newsletter
• Nowe produkty
• Testy

• SIECI KOMPUTEROWE
• BEZPIECZEŃSTWO
• TELEKOMUNIKACJA
• APLIKACJE I SYSTEMY OPERACYJNE
• SERWERY I PAMIĘCI MASOWE
• RYNEK
• UPS I ZASILANIE
• ZARZĄDZANIE SIECIAMI

---

• PRZEGLĄD PRODUKTÓW SIECIOWYCH
• PORADY
• Opinie, Felietony, Wywiady
• Forum
• Programy
• Seminaria
• Whitepapers
• Suplementy
• Kompendium
• Archiwum
• Prenumerata

Naukowcy znaleźli sposób na fałszowanie certyfikatów

31 grudnia 2008 12:43

Józef Muszyński, IDG News Service

Z pomocą dwustu konsol Sony Playstation międzynarodowy zespół naukowców zajmujących się bezpieczeństwem IT wynalazł sposób podważenia wiarygodności algorytmu używanego do zabezpieczania witryn webowych.

Aby tego dokonać zespół wykorzystał błąd w certyfikatach cyfrowych używanych przez witryny WWW do potwierdzania ich "tożsamości". Wykorzystując znane luki w algorytmie funkcji skrótu MD5, używanym do tworzenia niektórych z tych certyfikatów, naukowcy zdołali stworzyć fałszywy ośrodek certyfikacji, wydający sfałszowane certyfikaty cyfrowe dla dowolnej witryny w internecie.

Skróty są używane do tworzenia "odcisku palca" dokumentu - liczby, która jednoznacznie identyfikuje dany dokument i jest łatwa do wyliczenia w celu sprawdzenia czy dokument nie został zmieniony podczas transportu. Jednak algorytm MD5 zawiera luki umożliwiające utworzenie dwóch różnych dokumentów z taka samą wartością skrótu. To pozwala na utworzenie certyfikatu np. dla witryny phishingu mającego ten sam "odcisk palca" jak certyfikat prawdziwej witryny.

Wyprowadzenie takiego ataku nie jest proste, ponieważ napastnik musi przekonać ofiarę do odwiedzenia złośliwej witryny WWW, która przechowuje sfałszowane certyfikaty cyfrowe. Można to jednak wykonać z pomocą techniki "man-in-the-middle". W sierpniu br. Dan Kaminsky pokazał jak można wykorzystać poważna lukę w internetowym DNS do wyprowadzenia tego rodzaju ataku.

Niezależni naukowcy Jacob Appelbaum i Alexander Sotirov oraz naukowcy z różnych ośrodków uczelnianych w Europie i Stanach Zjednoczonych, zbudowali fałszywy urząd certyfikacji, używając farmy maszyn Playstation 3, który mógł wydawać fałszywe certyfikaty, wiarygodne dla praktycznie każdej przeglądarki. Procesor Cell konsoli Playstation jest szczególnie dobry w wykonywaniu funkcji kryptograficznych i podobno często jest wykorzystywany do łamania haseł.

Wyniki tych prac mają być zaprezentowane podczas konferencji hakerów Chaos Communications Congres, który wystartowała wczoraj w Berlinie.

Chociaż naukowcy twierdzą, iż w świecie realnym atak wykorzystujący tę technikę jest mało prawdopodobny, to jednocześnie chcą zwrócić uwagę na to, że do generowania skrótu przez ośrodki wydające certyfikaty nie powinien być dłużej używany algorytm MD5. I tak np. ośrodek certyfikacji Verisign, RapidSSL.com, zamierza zaniechać wydawania certyfikatów MD5 z końcem stycznia 2009 r.

Komentarze

Redakcja NetWorld nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.

• dodaj komentarz |

Ta wiadomość nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...