folder Tahribat.com Forumları
linefolder Bilişim Güvenliği
linefolder Sertifikasyon Makamları"Nın(CA) Güvenilirliği Sarsıldı



Sertifikasyon Makamları"Nın(CA) Güvenilirliği Sarsıldı

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    r3dros
    r3dros's avatar
    Kayıt Tarihi: 17/Temmuz/2005
    Erkek

    Bu yıl içerisinde DNS servislerinde ve Internet Explorer'da çıkan iki önemli açıklığa ek olarak güvenilir Sertifikasyon Makamları tarafından imzalanmış gibi gözüken sertifikaların üretilmesinin mümkün olduğunu gösteren bir çalışma gerçekleştirildi. MD5 algoritması kullanılarak imzalanmış sertifikalar açıklığın temelini oluşturuyor.

    Web sayfalarına erişimde de kullanılan dijital sertifikaları içeren açık anahtar altyapısında bir açıklık 30 Aralık 2008 tarihinde Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik ve Benne de Weger tarafından yayınlanmıştır. Konseptin ispatı için yaygın olarak kullanılan web tarayıcılarında “güvenilir” olarak bilinen bir CA tarafından imzalanmış gibi görünen sahte bir sertifika üretilmiş ve uygulamalı saldırı senaryolarını gerçeklemişlerdir.

    Bu zayıflık MD5 kriptografik özet algoritmasının farklı mesajlardan aynı MD5 özeti üretmesine dayanmaktadır. 2004 yılında MD5 ın kırıldığı açıklanmış, 2007 yılında teorik CA saldırısı yayınlanmıştır. Yapılan açıklamada MD5 ile imzalanmış sertifikaların sahtelerinin üretilebileceği belirtilmiştir.

    Mevcut web tarayıcılarında bulunan “Güvenilir Kök Sertifikasyon Makamları” “Trusted Root Certification Authorities” arasında halen MD5 ile imzalanmış sertifikalar mevcuttur. Bu sertifikaların taklitleri ile imzalanmış sahte “diğer” sertifikaları web tarayıcıları asıllarından ayırt edemeyecek ve güvenilir web sitesiymiş gibi kullanıcıya sunacaktır.

    Açıklığı duyuran grup birçok web tarayıcısı üreticisine durumu ilettiklerini açıklamıştır. Web tarayıcısı üreticileri de çok kısa zamanda önlemlerini alacaklarını belirtmişlerdir. Şu an mevcut bir yama bulunmamaktadır. Fakat ilerleyen tarihlerde yayınlanacak yamalar için kullanıcıların işletim sistemi ve web tarayıcı programlarını güncel tutmaları gerekmektedir.

    Normal şartlarda kullanıcılar bağlandıkları web sayfasının kullandığı sertifikayı görebilirler,  üst sertifika sağlayıcılarının sertifikalarını da izleyebilirler. Aşağıdaki ekran görüntülerinde bir web sayfasının sertifikasının detaylarına nasıl bakılacağını göstermektedir. Bununla birlikte kimi sertifikalarda MD5 kullanımının tespiti bit seviyesinde yapılabilmektedir ve kullanıcı dostu bir arayüzle gözlemlenebilmesi mümkün değildir[1]. Dolayısı ile standart kullanıcının standart yöntemlerle bir şey fark etmesi %100 mümkün değildir. Bu hususta önleyici tedbirlerin alınması gereklidir. Bu tedbirler de sertifika makamları, web tarayıcısı ve işletim sistemi üreticileri tarafından alınmalıdır.

     

    Şekil 1. Microsoft IE 7.0 da sertifika detaylarının incelenmesi
    Şekil 2. Mozilla Firefox 3.0.3 te sertifika detaylarının incelenmesi
    Şekil 3. SHA1 ile imzalı sertifika örneği
    Şekil 4. MD5 ile imzalı sertifika örneği
    REFERANS:

    [1] MD5 considered harmful today, http://www.win.tue.nl/hashclash/rogue-ca/

    [2] Microsoft Security Advisory, http://www.microsoft.com/technet/security/advisory/961509.mspx

    [3] MD5 Weaknesses could lead to certificate forgery, http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/

    [4] MD5 Collisions Presentation, http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt

    [5] Demonstration, https://i.broke.the.internet.and.all.i.got.was.this.t-shirt.phreedom.org

    Kaynak:BilgiGüvenliği

  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    renegadealien
    renegadealien's avatar
    Üstün Hizmet Madalyası Savaş Madalyası Başarı Madalyası Üstün Hizmet Madalyası Developer Madalyası
    Kayıt Tarihi: 23/Mart/2003
    Erkek
    bi sertifikalar hacklenmemişti oda oldu :)

    10.05.2013 tarihli google arama sonucu : Aradığınız - "herşeyin hayırlısı rampanın bayırlısı" - ile ilgili hiçbir arama sonucu mevcut değil. Kendi özlü sözümdür, kaynak belirterek kullanınız.
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Master
    Master's avatar
    Kayıt Tarihi: 10/Nisan/2007
    Erkek

    SSL 32 ve üstü güvenlik sertifikalarının güvenliğinin çok daha önce geçilebildiğini biliyorduk bi de bu tamamdır artık.

    Sertifika ile güvenlikmi olur zaten :)


    Bilgi güçtür, düşmanını barışa zorlar.
Toplam Hit: 11809 Toplam Mesaj: 3