黑帽大会上Kaminsky揭露X.509证书严重漏洞

日期: 2009-07-29 作者:Michael S. Mimoso翻译:Tina Guo 来源:TechTarget中国 英文

如果Dan Kaminsky受到了周二晚上在他的个人Web服务器上发现的攻击的打击(这次攻击暴露了密码、邮件信息和即时通讯聊天记录),你就不能不想到在周三的黑帽大会上为他精彩的开始而鼓掌会使他振作起来。

  Kaminsky在接下来的75分钟里演示了公共密钥架构VeriSign中X.509加密,而且认证授权还在继续使用MD5和更糟的MD2错误的哈希运算。他揭示说通过x.509证书中的常见名称的简单变化,攻击者就可以欺骗SSL证书,并诱骗访问者认为他们正在访问合法网站。
  
  虽然这次演讲几乎和Kaminsky在2008年的关于DNS严重漏洞的发现演说一样引起了关注, X.509的反对声音还是吸引了一些人对研究人员分享的内容焦虑不安。
 
  Kaminsky在详细解释互联网上的认证缺陷的方面扮演了义勇军的角色,特别是X.509这种公共密钥证书、SSL和IPsec的密码认证体系标准。Kaminsky一直倡导使用DNSSEC(DNS Security Extensions)作为一年前他发现的缓存投毒漏洞的修复方式,他解释了使用针对陈旧的哈希功能MD5和MD2的原根攻击创建任意X.509证书的常见名的方式。

  难以置信的是,MD5不仅在去年就受到了一些研究人员的打击,而且随后被大部分的认证授权使用,Kaminsky说他发现VeriSign使用比MD5 更早的MD2标记它的核心根服务器。VeriSign拥有13个互联网根服务器中的两个,并控制.com域名。VeriSign说他们在2011年就会使用DNSSEC标记.com。

  Kaminsky把他的发现和Mozilla、Apple和微软等浏览器厂商以及Red Hat和开放SSL项目等其他主要厂商共享了。这些厂商都同意停止使用MD2,或者正在进行不使用MD2的产品测试。VeriSign说会使用SHA-1重新发布证书。

  Kaminsky说:“当事情开始后就会变得很惨。当MD2攻击发生后,就可以登录到任意系统中。”

  但是,Kaminsky坚持认为由于完成攻击非常复杂,不会马上发生混乱,也不需要有DNS漏洞的紧急补丁。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Michael S. Mimoso
Michael S. Mimoso

TechTarget中国信息安全杂志(Information Security magazine)编辑

翻译

Tina Guo
Tina Guo

相关推荐