it-swarm-vi.com

Tại sao việc giả mạo chứng chỉ SSL khó khăn?

Trong tin tức xuất phát từ Iran, bạn nghe nói Iran đã thành công trong việc tạo chứng chỉ ssl giả, để họ có thể tìm thấy thông tin đăng nhập tài khoản gmail của mọi người.

Một số nhà phân tích đang nói điều này là có thể nhưng khó khăn, tôi tự hỏi tại sao nó khó khăn, khó khăn nằm ở đâu, tại sao ISP của bạn không thể làm điều đó với bạn?

23
user893730

Hãy để tôi giải thích thông qua một ví dụ thực tế.

Có một bộ Cơ quan Chứng nhận (CA) mà các trình duyệt hoàn toàn tin tưởng. Bạn có thể xem danh sách các CA đáng tin cậy trong trình duyệt của bạn. Ví dụ. có thể tìm thấy các CA đáng tin cậy bởi Chrome trình duyệt tại "Menu cờ lê> Tùy chọn> Dưới mui xe> HTTPS/SSL (Quản lý chứng chỉ)> tab Chính quyền".

Vì vậy, chứng chỉ mà mail.google.com xuất trình cho trình duyệt của bạn được 'ký' bởi Thawte SGC CA. CA này được ngầm tin tưởng bởi trình duyệt. Các CA này sẽ chỉ cấp chứng chỉ sau khi xác minh kỹ lưỡng (và thủ công).

Bạn và tôi không thể lừa Thawte hoặc Verisign để ký cho chúng tôi chứng chỉ giả cho google. Mặc dù những trường hợp như vậy xảy ra nhưng rất hiếm và chủ yếu cần một số trợ giúp nội bộ.

Bây giờ, trên máy của riêng bạn, bạn có thể tiếp tục và tạo chứng chỉ cho biết chúng là của google.com. Nhưng các certs này là 'tự ký' và sẽ không được trình duyệt tin cậy vì CA (bạn) không có trong danh sách chứng chỉ tin cậy của nó. Trong trường hợp này, trình duyệt sẽ hiển thị cho bạn cảnh báo chứng chỉ.

Vì vậy, bây giờ để trả lời câu hỏi của bạn, có một số cách mà chứng chỉ giả mạo được tạo (hoặc được thực hiện để làm việc):

  • Như tôi đã đề cập ở trên, một người có thể lừa CA (được trình duyệt tin cậy) cấp cho bạn chứng chỉ cho một trang web không thuộc về bạn. Vì lý do này, mọi người thường xóa thủ công các CA đáng tin cậy khỏi danh sách của họ. Trời mới biết CA làm thủ tục gì ở đất nước chưa từng nghe nói này. Tôi đã thấy những người hoang tưởng loại bỏ CA khỏi danh sách đáng tin cậy của trình duyệt.

  • CA bị hack (hoặc được thực hiện để phát hành certs giả). Trong trường hợp như vậy bạn có thể phát hành certs theo ý muốn của mình. Chưa kể, những CA như vậy ngay lập tức bị phá sản một khi điều này được tìm thấy.

  • Bạn cũng có thể có chứng chỉ "tự ký" giả mạo của google.com và vẫn có thể vượt qua kiểm tra bảo mật trình duyệt nếu bạn thêm rõ ràng CA của mình vào danh sách đáng tin cậy của trình duyệt. Các công ty có thể làm điều đó. Tôi đã thấy (và làm việc tại) các công ty nơi họ công khai làm điều đó vì "lý do tuân thủ". Vì các máy tính để bàn của bạn nằm trong tầm kiểm soát của chúng, chúng sẽ cài đặt CA của chúng vào cửa hàng đáng tin cậy của trình duyệt của bạn và đưa chứng nhận gmail giả cho trình duyệt - trình duyệt tin tưởng và chúng vui vẻ chặn TẤT CẢ các cuộc hội thoại/email của bạn.

Trong tất cả các trường hợp - bạn nhận được gì khi giả mạo chứng chỉ: Bạn có thể MITM (Người đứng giữa) máy chủ và máy tính người dùng và giải mã phiên SSL.

Tôi đã để lại nhiều sắc thái tốt hơn của việc tạo chứng chỉ trong mô tả của tôi ở trên để trình bày một bức tranh rộng. Bạn có thể đọc về Chứng nhận tuần traphối cảnh để xem làm thế nào bạn có thể ngăn nạn nhân của chứng chỉ giả ngay cả khi CA của nó nằm trong danh sách đáng tin cậy của trình duyệt.

Bạn cũng có thể đọc về ghim chứng chỉ có thể giúp ngăn chặn các vụ cướp chứng chỉ đó.

24
CodeExpress

Về mặt kỹ thuật không khó để tạo chứng chỉ SSL cho bất cứ điều gì bạn muốn; phần đó là tầm thường.

Điều khó khăn là bạn cần nó được ký bởi hoặc được ký bởi một thứ được ủy quyền và ký bởi một trong những bộ chứng chỉ gốc đáng tin cậy, ví dụ, trình duyệt web của bạn có chứa.

Những người thuộc về các cơ quan chứng nhận khác nhau và được bảo vệ bởi xác thực mật mã mạnh có nghĩa là không thực tế khi ai đó tạo chứng chỉ sẽ được trình duyệt của bạn tin cậy mà không truy cập vào tài liệu bí mật của cơ quan cấp chứng chỉ bảo vệ.

Vì vậy, mánh khóe không tạo ra chứng chỉ, nó đang khiến ai đó tin tưởng nó.

7
Daniel Pittman

Ngoài ra, bạn có thể xem bài báo về Digi Notar, đã có một số sự khuấy động vào năm ngoái sau khi họ vi phạm và phân phát chứng chỉ giả. Vấn đề với những điều này là các máy tính được xây dựng để tin tưởng các chứng chỉ bởi các CA đủ điều kiện, vì vậy nếu bạn có thể nhận được chứng chỉ thì khó có thể đảm bảo rằng mọi máy tính trên toàn cầu đều thấy rằng nó bị thu hồi.

http://en.wikipedia.org/wiki/DigiNotar

2
Robert