r   e   k   l   a   m   a
r   e   k   l   a   m   a

Słabość MD5 poważnym zagrożeniem dla SSL

Strona główna Aktualności

Podczas odbywającej się właśnie w Niemczech 25. edycji Chaos Communication Congress Alex Sotirov i Jacob Appelbaum zaprezentowali sposób na stworzenie fałszywego certyfikatu SSL wykorzystując słabość algorytmu kryptograficznego MD5. W tym celu wykorzystali moc klastra składającego się z 200 konsol PlayStation 3.

Pomyślne wykonanie ataku jest możliwe poprzez wykorzystanie tak zwanej kolizji MD5, która pozwala na identyfikowanie różnych danych przez tą samą sumę kontrolną. Grupa była w stanie wygenerować certyfikat imitujący jeden z tak zwanych root CA - głównych urzędów certyfikacji, których certyfikaty służące do podpisywania innych certyfikatów znajdują się na listach zaufania wszystkich przeglądarek.

Umożliwia to wygenerowanie i podpisanie certyfikatu witryny, który będzie nieodróżnialny od oryginalnego. Po wejściu na tak spreparowaną stronę, przeglądarka automatycznie uzna ją za bezpieczną - dane przesyłane będą poprzez połączenie szyfrowane (https), a na pasku stanu wyświetlana zostanie budząca zaufanie kłódka potwierdzająca autentyczność certyfikatu.

Według badaczy, połączenie kolizji MD5 z odkrytą parę miesięcy temu luką w systemie nazw DNS może mieć poważne konsekwencje. Użytkownicy będą mogli być przekierowywani na podrobione witryny banków podczas gdy przeglądarki nie zwrócą uwagi na ten fakt, gdyż witryny te identyfikować się będą rzekomo prawdziwymi certyfikatami SSL. Zdaniem Sotirova, urzędy certyfikacyjne muszą natychmiast zaprzestać wykorzystywać MD5 na rzecz SHA-1.

Szczegóły ataku dostępne są na stronie autorów Bardziej szczegółowe informacje przesłane zostały producentom przeglądarek internetowych. Również Microsoft w odpowiedzi na doniesienia o ataku opublikował biuletyn bezpieczeństwa. Póki co nie odnotowano prób wykorzystania luki, należy mieć jednak na uwadze że połączenie jej ze wspomnianą luką w systemie DNS może stworzyć bardzo realne i poważne zagrożenie, zaatakuje w przyszłym roku.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.