Znajdź zawartość

Niezależni kalifornijscy specjaliści ds. bezpieczeństwa, we współpracy z ekspertami z holenderskiego Centrum Wiskunde & Informatica (CWI), uniwersytetu technicznego w Eindhoven (TU/e) oraz szwajcarskiego EPFL odkryli lukę w powszechnie wykorzystywanych w Internecie cyfrowych certyfikatach. Dziura umożliwia takie podrobienie certyfikatu, że zostanie on zaakceptowany przez każdą przeglądarkę. Pozwala to atakującemu na przygotowanie witryny lub serwisu pocztowego, który bez najmniejszego problemu podszyje się pod prawdziwą stronę. Przestępca może wówczas niezauważenie dokonać ataku phishingowego. Eksperci poinformowali o swoim odkryciu podczas odbywającej się właśnie w Berlinie konferencji 25C3. Mają nadzieję, że dzięki ich ostrzeżeniu upowszechnią się bezpieczniejsze algorytmy. Mowa tutaj o sytuacji, gdy korzystamy z powszechnie stosowanego protokołu https. Przeglądarka informuje nas o tym fakcie wyświetlając zamkniętą kłódkę, co oznacza, że witryna, którą odwiedzamy, została zabezpieczona szyfrowanym certyfikatem. W takich wypadkach stosuje się kilka algorytmów, a jednym z najpowszechniejszych jest MD5. I to w nim właśnie znaleziono lukę. O pierwszych problemach z MD5 poinformowali Chińczycy w 2005 roku. Byli oni w stanie znaleźć kolizję dla tego algorytmu i przeprowadzić atak polegający na wysłaniu dwóch różnych wiadomości chronionych tym samym podpisem cyfrowym. Chińska metoda była jednak bardzo trudna do wykonania. W maju 2007 roku uczeni z CWI, EPFL i TU/e pokazali, że podczas podobnego ataku można wykorzystać dowolne wiadomości. Obecnie ci sami eksperci dowiedli, że możliwe jest podrobienie dowolnego certyfikatu tak, że zostanie on zaakceptowany przez wszystkie popularne przeglądarki internetowe. Co więcej, do podrobienia certyfikatu wystarczy moc obliczeniowa ponad 200 współczesnych konsoli do gier. Specjaliści zwracają uwagę, że połączenie podrobionego certyfikatu ze znanymi słabościami systemu DNS pozwala na przeprowadzenie niewykrywalnego ataku phishingowego. Może on polegać na przykład na przekierowaniu użytkowników online'owych banków na fałszywe witryny, które będą wyglądały identycznie jak witryny banków, a przedstawione przez nie certyfikaty bezpieczeństwa zostaną zaakceptowane. Użytkownik, wierząc, że odwiedza witrynę swojego banku, nieświadomie prześle przestępcom wszelkie informacje, które będą im potrzebne do skutecznego wyczyszczenia jego konta z pieniędzy. Wspomniani na wstępie specjaliści poinformowali już firmy produkujące popularne przeglądarki o problemie. Odkrywcy luki uważają, że instytucje wydające certyfikaty bezpieczeństwa powinny zrezygnować z używania MD5 i korzystać z innych algorytmów, takich jak np. SHA-2.

Dzisiaj upływa termin składania propozycji nowej funkcji skrótu (Secure Hash Algorithm), służącej do zabezpieczania elektronicznych danych, na potrzeby amerykańskich agend rządowych. Nową funkcję, podobnie jak poprzednie SHA-1 i SHA-2 zamówił Narodowy Instytut Standardów i Technologii (NIST). Konkurs ogłoszono w ubiegłym roku, propozycje można składać do końca października 2008, ale nowa funkcja zostanie oficjalnie wybrana nie wcześniej niż w roku 2012. Obecnie używane funkcje SHA-1 i SHA-2 nie zostały złamane, jednak przeprowadzono już poważne ataki przeciwko nim. Wiadomo, że jedną z propozycji jest algorytm "Skein" opracowany przez Bruce'a Schneiera, Nielsa Fergusona, Stefana Lucksa, Douga Whitinga, Mihira Bellare'a, Tadayoshiego Kohno, Jona Callasa i Jesse Walkera. To znani specjaliści, którzy na codzień pracują w różnych miejscach, od Microsoftu, Intela i PGP, po Bauhaus-Universitata Weimar, BT Group, Hifn, University of California czy University of Washington. Skein to rodzina algorytmów o długości od 256 do 1024 bitów. Skein-256 jest przeznaczony dla mało wydajnych systemów komputerowych, a Skein-1024 ma trafić tam, gdzie wymagany jest największy poziom bezpieczeństwa. Wiadomo, że oprócz Skeina zgłoszono jeszcze około 40 innych projektów. W przyszłym roku NIST rozpocznie publiczną debatę nad propozycjami. Zakończy się ona w 2012 roku, kiedy to zostanie wyłoniony zwycięzca - algorytm, który zyska największe uznanie specjalistów z całego świata.