<<< Comodo ügyKrasznay Csaba a kormányzati informatikáról >>>

MD5-re épülő tanúsítványok hamisítása2009-01-12
December 30-án jelent meg egy cikk a következő támadásról: A támadó - egy kutatócsoport, akik támadásukkal egy biztonsági hibára hívták fel a figyelmet - kerestek egy olyan CA-t, amelyiknek a root tanúsítványa széles körben elterjedt, sok böngésző elfogadja, és még mindig bocsát ki olyan tanúsítványokat, amelyek MD5-re épülő aláírásokat tartalmaznak. Generáltak egy kulcspárt, és PKCS#10 tanúsítványkérelem alapján igényeltek és kaptak a CA-tól egy legális végfelhasználói tanúsítványt. Az MD5 hibája miatt speciális PKCS#10-et tudtak konstruálni: A visszakapott legális végfelhasználói tanúsítványon lévő aláírás egyúttal egy másik, csaló tanúsítványhoz is helyes aláírás lett. Így létre tudtak hozni egy csaló CA tanúsítványt (MD5 Collisions Inc. néven) egy saját kulcspárhoz. Innentől, amit e kulcspár magánkulcsával aláírnak, azt a böngészők mind-mind elfogadják...

Itt próbálható ki, ennek az oldalnak van tanúsítványa a csaló CA-tól. (A csaló tanúsítványokat - különösen a csaló CA tanúsítványát - úgy bocsátották ki, hogy még véletlenül se fogadja el senki, ezért a weboldal kipróbálásához 2004 augusztusira kell visszaállítani a gép dátumát.)

A támadás önmagában véve nem új, az MD5-ről már régóta tudjuk, hogy nem biztonságos (reális mennyiségű erőforrás befektetésével előállítható két különböző őskép, amelyekhez azonos MD5 lenyomat tartozik). Ezen túl, már létezik két olyan tanúsítvány is, amelyhez azonos aláírás tartozik (így aki az egyik tanúsítványhoz aláírást szerez, az egyúttal a másik tanúsítványhoz is szerzett aláírást). A december 30-án bemutatott támadás e korábbi, elméleti támadásnak egy gyakorlati alkalmazása.

Az érintett hitelesítés szolgáltató a Verisign tulajdonában van, Tim Callan, a Verisign alelnöke a Securityfocus hasábjain reagál a támadásra. Elismeri a támadást, de a gyakorlati jelentőségét csökkenteni próbálja. Ezen kívül arról ír, hogy a támadás új volt, a kutatók nem léptek velük kapcsolatba, de a szolgáltató mégis nagyon gyorsan elhárította: beszüntette az MD5-re épülő tanúsítványok kibocsátását, és - habár senki nincs veszélyben - ingyen új tanúsítványt ajánlott fel az MD5-re épülő tanúsítványok birtokosainak.

Jómagam nem értek egyet azzal, hogy a támadás annyira váratlan lett volna: az MD5 biztonsági hibája már régóta ismert, Magyarországon például már egy ideje tilos MD5-re épülő (elektronikus aláírás létrehozására szolgáló) tanúsítványt kibocsátani. Azzal sem értek egyet, hogy a felsorolt óvintézkedésekkel megoldódna a probléma: az MD5-re épülő tanúsítványok birtokosai legfeljebb a tanúsítvány árát veszítik el, ha a böngészők végre úgy döntenek, hogy elutasítják az MD5-re épülő tanúsítványokat. A böngészőprogramok felhasználói vannak igazán kitéve a veszélynek, mert ők azok, akik automatikusan elfogadnák a hasonló csaló CA-k által kibocsátott tanúsítványokat. Ha a szolgáltató nem bocsát ki MD5-re épülő tanúsítványt, azzal csak azt gátolja meg, hogy esetleg további csaló CA-kat hitelesítsen felül. Esélye sincs annak ellenőrzésére, hogy nem jöttek-e létre más csaló CA-k, így nem sokat tehet ellenük.

A támadásban a szolgáltató annyit hibázott, hogy még nem vezette ki a rendszeréből az MD5-öt. Ezt remélhetőleg elősegítik a fentihez hasonló támadások, amelyek kárt nem okoznak, hanem csak felhívják a figyelmet az ismert biztonsági hibákra.

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.