Výzkumníci vygenerovali falešný SSL certifikát VeriSign

16. 1. 2009

Sdílet

S pomocí 200 konzolí Sony PlayStation 3 dosáhla mezinárodní skupina výzkumníků dostatečného výpočetního výkonu na to, aby hackla algoritmus, jímž se v systému RapidSSL.com společnosti VeriSign vytvářejí certifikáty SSL.

Jedná se alespoň v principu o poměrně zásadní problém: falešný certifikát, který bude ale pokládán za pravý, může umožnit velmi účinné phishingové útoky. Uživatelé v takovém případě prakticky nemohou odhalit, že komunikují s podvodným serverem. Protokol SSL je mj. obvykle i jedním ze způsobů zabezpečení internetového bankovnictví a dalších on-line transakčních systémů.

Chyba, která umožňuje celý postup, se podle výzkumníků skrývá v hashovacím algoritmu MD5. Kvůli chybě je možné vygenerovat 2 různé dokumenty se stejnou hodnotou kódu hash. Phishingový server pak může mít stejný „otisk“/certifikát jako legitimní web. Výkon konzolí PlayStation dostačoval na prolomení schématu generování certifikátů a umožnil vytvořit falešnou certifikační autoritu.

Výsledky byly prezentovány v Berlíně na hackerské konferenci Chaos Communication Congress. Útoky tohoto typu ale údajně nebyly aktuálně zaznamenány a podle objevitelů nejsou ani zatím pravděpodobné. I s 200 konzolemi PlayStation 3 trvalo prolomení hashovacího mechanismu několik desítek hodin. Podvodníci by ke zneužití museli oběť každopádně nalákat na podvodný server - což ale lze prostřednictvím phishingu a/nebo nějakým útokem proti systému DNS. Jiní odborníci kombinovanou zranitelnost MD5 a DNS proto naopak pokládají za velmi závažnou.

Algoritmus MD5 by každopádně nadále neměl být používán pro generování certifikátů, ostatně jeho chyby jsou známy už od roku 2004. VeriSign oznámila, že změnu učiní do konce ledna, kromě společnosti VeriSign ale tento algoritmus dnes používají například i TC TrustCenter, EMC/RSA a Thawte.

ICTS24


Zdroj: Computerworld.com