/ Forside/ Teknologi / Internet / Sikkerhed / Tip
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
HTTPS-sites truet af MD5 fejl!
Caine har modtaget 20 point for dette tip
Fra : Caine
Vist : 740 gange

Dato : 01-01-09 13:38

Hej

http://newz.dk/md5-svaghed-truer-sikkerheden-af-alle-https-sites#new


Citat
I 2004 demonstrerede kinesiske forskere, hvordan det var muligt at generere en kollision for MD5 hash-funktionen. Da dette angreb ikke var nok til at overbevise verden om, at MD5 burde udfases, har forskere fortsat arbejdet på at forbedre angrebet. Således demonstrerede et hold forskere i 2007, at de ud fra to valgte prefixes kunne konstruere hashkollisioner. Det nye angreb gjorde det muligt at konstruere kollisioner mellem næsten urelaterede inputs, hvilket var langt mere interessante end det oprindelige angreb fra 2004.
På trods af disse angreb er der stadigvæk certifikatudstedere, der bruger MD5 til signaturer. Derfor har et hold forskere fra Holland, Schweiz og USA nu demonstreret, hvordan en variant af angrebet fra 2007 kan bruges til at bryde sikkerheden i https for alle browsere, der stadigvæk tillader MD5.
Kort fortalt lavede de en kollision mellem et certifikat for et enkelt website og et mellemliggende CA-certifikat, der kan bruges til at udstede falske certifikater for alle websites. Certifikatet for det enkelte website fik de underskrevet af RapidSSL / Equifax. Men fordi de havde konstrueret en kollision, var samme signatur også gyldig for deres falske mellemliggende CA-certifikat.
Angrebet tillod forskerne frit at vælge gyldighedsperiode for deres falske certifikat, de valgte at lave et certifikat, der kun var gyldig i august 2004, for at det ikke direkte kunne misbruges. Men angrebet kunne ligeså vel bruges til at lave et certifikat, der er gyldigt i dag og kunne bruges til at udføre man-in-the-middle-angreb imod alle https-forbindelser.
For at gennemføre angrebet var det nødvendigt at forudsige tidspunktet for certifikatudsteddelsen og certifikatets serienummer. Det gjorde de ved at få udstedt et certifikat i begyndelsen af en weekend og efterfølgende havde de et cluster af computere til at beregne kollisionen og sende certifikatet til underskrivelse på et forudvalgt tidspunkt i slutningen af weekenden. Beregningerne blev udført på et cluster af Playstation 3-konsoller og standard pc'er.
Angrebet påvirker alle sites, uanset om de bruger MD5 eller ej, for så længe browsere tillader MD5-certifikater, kan angriberen konstruere et falsk MD5-baseret certifikat for et vilkårligt site.

Kilde: Newz.dk


// C a i N e

 
 
Kommentar

Fra : Caine


Dato : 01-01-09 13:47

Lige lidt mere detalje om selve problemmet

http://www.win.tue.nl/hashclash/rogue-ca/

Bedømmelse

Fra : nielsjs


Dato : 01-01-09 14:00

godt tip--men kan man gøre noget selv???

Kommentar

Fra : Caine


Dato : 01-01-09 14:22

Ja lad vær med at bruge MD5 i jeres certifikater

Bedømmelse

Fra : Pivili


Dato : 01-01-09 14:49



Bedømmelse

Fra : Lucia2008


Dato : 01-01-09 15:19

Spændende TIP

Bedømmelse

Fra : bevi54


Dato : 01-01-09 15:59

tak for Tip og Godt Nytår

Bedømmelse

Fra : Luke2000


Dato : 01-01-09 16:06




Kommentar

Fra : alimak


Dato : 01-01-09 22:58

Javel, nu ved jeg det, men hvad er md5? Det er vel ikke noget for almindelige brugere,kun de der programmerer?Eller hvad?

Du har følgende muligheder
Eftersom du ikke er logget ind i systemet, kan du ikke lave en bedømmelse til dette tip.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.
Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste