外星人正在使用“月球” | K姐探秘
为此,他们利用了一个漏洞网站使用的数字证书证明他们是他们自称的人。通过利用MD5散列算法中已知的缺陷创建一些这些证书,研究人员能够破解Verisign的RapidSSL.com证书颁发机构,并为互联网上的任何网站创建假数字证书。
使用了散列为文档创建一个“指纹”,这个数字应该能够唯一标识给定的文档,并且很容易计算出来以验证文档在传输过程中没有被修改。然而,MD5散列算法存在缺陷,因此可以创建两个具有相同散列值的不同文档。这就是为什么某些人可以为与真正站点的证书具有相同指纹的钓鱼网站创建证书。
使用其Playstation 3游戏机场研究人员构建了一个“流氓证书颁发机构”,然后颁发几乎任何浏览器都会信任的伪造证书。 Playstation的Cell处理器在破解代码方面很受欢迎,因为它特别擅长执行密码功能。
他们计划在周二在柏林召开的混沌通信大会黑客会议上发表他们的发现,发布会已经成为主题这项研究工作是由一个国际团队完成的,这个团队包括独立研究人员Jacob Appelbaum和Alexander Sotirov,以及来自Centrum Wiskunde&Informatica的计算机科学家,洛桑联邦理工学院(Ecole Polytechnique Federale de Lausanne) Eindhoven科技大学和加州大学伯克利分校
虽然研究人员认为使用他们的技术的真实世界攻击是不可能的,但他们说他们的工作表明MD5散列算法不应该被颁发数字证书的证书颁发机构公司。 “对于那些仍在使用MD5的人来说,这是一个警钟,”David Molnar是一名伯克利研究生,他参与了该项目。“除了Rapidssl.com,TC TrustCenter AG,RSA Data Security,Thawte和Verisign.co。研究人员表示,jp都使用MD5来生成他们的证书,
发起攻击很困难,因为坏人必须先诱骗受害者访问承载伪造数字证书的恶意网站。然而,这可以通过使用所谓的中间人攻击来完成。去年8月,安全研究人员Dan Kaminsky展示了如何利用互联网域名系统中的一个主要缺陷发起中间人攻击。通过这项最新研究,现在变得更容易对网站发起这种类型的攻击,并使用基于可信数字证书的SSL(安全套接字层)加密。
“您可以使用kaminsky的DNS错误,并结合此“Molnar说,”这不是一个关于可能发生的事情或者某人可能做什么的天空谈话,这是他们实际上做了什么的示范“BreakingPoint Systems安全研究主管HD Moore在一篇博文中写道,”自2004年以来,密码技术人员逐渐削减了MD5的安全性,当时一个由山东领导的团队大学的王晓云在算法中表现出缺陷。
鉴于MD5的研究状况,证书颁发机构应该在几年前升级到更安全的算法,如SHA-1(安全散列算法-1),“着名密码学专家兼BT首席安全技术官Bruce Schneier说。 。
RapidSSL.com将在1月底之前停止颁发MD5证书,并正在研究如何鼓励其客户在此之后转向新的数字证书,Verisign产品营销副总裁Tim Callan说。但首先,该公司希望仔细研究这一最新研究。 Molnar和他的团队通过微软间接地向Verisign发送了他们的调查结果,但他们并未直接与Verisign进行沟通,因为担心该公司可能会采取法律行动来消除他们的谈话。过去,公司有时获得法院命令,以防止研究人员在黑客会议上发表言论。
卡伦表示他希望Verisign获得更多信息。 “我不能表达我多么失望,博客和记者都被告知了这一点,但我们并没有这么做,因为我们是需要真正回应的人。”
虽然Schneier说他对他说,在互联网上已经存在更为重要的安全问题 - 例如,暴露大型敏感信息数据库的弱点
“如果您获得假MD5证书并不重要,因为你永远不会检查你的证书,“他说。 “有几十种方法可以伪造,而这又是另一种。”