- •Знакомство с ssl
- •Цифровые сертификаты
- •Типы сертификатов
- •Аутентификация на стороне клиента или сервера
- •Файл ключей и файл со списком доверенных источников
- •Ssl и WebSphere Application Server
- •Ssl и Integrated Solutions Console
- •Какие преимущества дает использование ssl?
- •2. От теории к практике: взлом ssl
- •От теории к практике
- •3. Найдена дыра в протоколе ssl
- •4. Взлом ssl. Перехват паролей в зашифрованных соединениях.
- •Руководство
- •5. Войны в песочнице — Часть 2. Обход https
- •Secure Sockets Layer
- •Пассивное наблюдение
- •Man in the middle
- •Пользовательские интерфейсы
- •Как пользователь использует ssl?
- •Завершение истории
- •6. Критическая уязвимость в ssl вышла из разряда теоретических: исследователи выпустили программу для взлома шифрования
- •Криптографический троян
- •Mozilla и OpenSsl: просто ужасно, не так ли?
- •7. Повышение защищенности протокола https при помощи прокси-сервера
От теории к практике
В общем случае, специалисту потребуется два подобранных префикса. Один из них – это законный CSR для домена, который на самом деле принадлежит атакующему. Вторым префиксом будет CSR на получение сертификата промежуточной сертификации, не требующего подписи со стороны основного центра сертификации, поскольку сертификаты промежуточных центров могут быть использованы для выдачи удостоверения кому угодно, а доверяют им потому, что они содержат ссылку на корневой центр сертификации.
К каждому из этих CSR прикрепляется просчитанный суффикс, обеспечивающий идентичность хешей MD5. После этого легальный CSR отсылается в центр сертификации, который заверяет его надлежащим образом. После этого легальный CSR в выпущенном сертификате заменяется на CSR промежуточного центра сертификации.
Поскольку хэши одинаковы, такая процедура не нарушает целостности сертификата. Это означает, что у эксперта на руках оказывается полностью функциональный и доверенный сертификат центра промежуточной сертификации, при помощи которого он может в дальнейшем создавать какие угодно сертификаты. Показав такую атаку, специалисты в области безопасности наглядно продемонстрировали, как теоретическая возможность может иметь практическую ценность, доказав, что подобранных префиксов вполне достаточно для того, чтобы сделать подкоп под системы, опирающиеся на MD5.
Сертификат промежуточного центра можно использовать для подделки сертификата того же amazon.com и осуществления MITM атак, поскольку проблема невозможности предоставления гарантий аутентичности в этом случае исчезает. Браузер клиента поверит сертификату amazon.com и не поднимет тревоги.
По правде сказать, в действительности процесс создания поддельного Intermediate CA несколько более сложен, поскольку корневой центр сертификации, прежде чем подписать CSR, добавляет в него некоторое количество дополнительной информации. Тем не менее, экспертам удалось найти такой центр сертификации, который добавляет в CSR весьма предсказуемые данные, что в свою очередь выливается в необходимость создания нескольких сотен суффиксов, соответствующих всем возможным вариантам добавленной информации. Однако это вполне решаемая задача, например кластеру из трехсот PS3 на ее выполнение требуется лишь день или два.
Поэтому, использование MD5 в сертификатах может гарантированно привести к взлому, и теория в этом случае будет иметь практическую отдачу. И хотя большинство центров сертификации больше не использует в своих сертификатах MD5 (предпочитая полагаться на более безопасные алгоритмы типа SHA-1), экспертам удалось обнаружить, что многие из находящихся в данный момент в обращении удостоверений по-прежнему работают с MD5. Более того, каждый третий проверенный ими сертификат был подписан при помощи MD5. Подавляющее большинство таких сертификатов принадлежит одному и тому же центру сертификации RapidSSL, который, как нам кажется, и послужил подопытным кроликом в экспериментах по созданию поддельного сертификата.
Те центры сертификации, с которыми связывались эксперты, обозначили свои намерения по прекращению использования MD5 в сертификатах. Таким образом, данную конкретную уязвимость вскоре закроют. Помимо всего прочего, выпускающим удостоверения организациям следует убедиться в том, что та информация, которую они добавляют при подписывании CSR, не будет легко угадана. Это позволит защититься как от текущих атак, так и от нападений, схемы реализации которых еще неизвестны.
Со своей стороны, эксперты не раскроют подробностей процедуры генерации суффиксов до тех пор, пока, по их мнению, это не станет полностью безопасным.
Но если рекомендации центрам сертификации очевидны, то дать какой-либо определенный совет простым людям гораздо труднее. Несмотря на то, что все крупнейшие разработчики браузеров уже в курсе дела, ни один из них пока не заявил ни о каких конкретных шагах. Самым грубым решением вопроса могло бы стать удаление сертификатов, использующих MD5, это позволило бы решить проблему, но в то же время нанесло бы ущерб действительно законным удостоверениям. Но даже если такие действия не будут предприняты, пользователи всегда могут прекратить доверять корневым центрам сертификации, в том случае, конечно же, если они готовы смириться с неудобствами, которые могут возникнуть в связи с такими действиями.
Сертификаты с улучшенной ратификацией (во многих браузерах они отмечены в адресной строке золотым или зеленым цветом) также защищены от этой проблемы, поскольку использование в них MD5 запрещено. В любом случае, наличие иконки замка в браузере уже не гарантирует, что удаленный сервер действительно безопасен.
На будущее индустрии безопасности необходимо усвоить этот важный урок и впоследствии не пренебрегать "теоретическими" атаками. Более традиционные уязвимости, такие как переполнение буфера, будучи обнаруженными, считаются опасными по умолчанию, пока не доказано обратное и поэтому патчи для них выпускаются своевременно. В свете этого наплевательское отношение к проблемам в криптографии выглядит еще более странно.