Μόλις χθες παρουσιάστηκε στο συνέδριο 25th Annual Chaos Communication Congress μία μέθοδος που καταφέρνει να δημιουργήσει πλαστά πιστοποιητικά αρχών πιστοποίησης (CA) εκμεταλλευόμενη τα collisions του hashing αλγορίθμου MD5. Συγκεκριμένα, οι ερευνητές κατάφεραν να ξεπεράσουν τους περιορισμούς που έθετε μια ανάλογη μέθοδος που είχε ανακαλυφθεί το 2007 για τη δημιουργία πλαστών πιστοποιητικών, επεκτείνοντας τη λειτουργία της και σε πιστοποιητικά CA.
Η συγκεκριμένη έρευνα εκτός των άλλων παρουσιάζει ορισμένα πολύ ενδιαφέροντα στοιχεία σχετικά με τα πιστοποιητικά που χρησιμοποιούνται σήμερα σε sites και ειδικότερα με τη χρήση του αλγορίθμου MD5 σε αυτά. Διαπιστώνεται λοιπόν ότι ενώ εδώ και μερικά χρόνια ο αλγόριθμος MD5 θεωρείται ανασφαλής, αρκετοί είναι αυτοί που εξακολουθούν να τον χρησιμοποιούν. Επίσης, εντυπωσιακό είναι το γεγονός ότι για την πειραματική μελέτη της μεθόδου χρησιμοποιήθηκε το Playstation Lab, μία συστάδα δηλαδή αποτελούμενη από 200 παιχνιδομηχανές Playstation 3.
Όπως γίνεται συνήθως σε τέτοιες περιπτώσεις, μερικοί έσπευσαν να δραματοποιήσουν την κατάσταση. Η δυνατότητα δημιουργίας πλαστών πιστοποιητικών, που φαίνονται ότι ανήκουν σε μεγάλες και γνωστές αρχές πιστοποίησης είναι φυσικά κάτι πολύ σοβαρό. Σε καμία όμως περίπτωση δε μπορεί κανείς να πει ότι έχει “σπάσει” το SSL, ούτε ότι έχει έρθει το τέλος του PKI, του ασφαλούς e-shopping ή οτιδήποτε άλλο σχετικό. Τρόποι αντιμετώπισης υπάρχουν αρκετοί, με πρώτο και καλύτερο τη μετάβαση στον, για την ώρα ασφαλέστερο, SHA-1, ενώ εκτιμούμε ότι οι browsers στις επόμενες εκδόσεις θα ενσωματώσουν κάποια μέθοδο προστασίας από τέτοιου είδους επιθέσεις.
Λεπτομέρειες για την επίθεση καθώς και όλα τα τεχνικά στοιχεία βρίσκονται εδώ, ενώ οι διαφάνειες της παρουσίασης στο CCC δίνουν μια πιο συνοπτική και λιγότερο τεχνική εικόνα της μεθόδου και των συνεπειών της. Μια πιο απλουστευμένη και επεξηγηματική ανάλυση παρέχεται και εδώ.
OWASP Greek Chapter 
Recent Comments