it-swarm-eu.dev

Proč je předstírání SSL certifikátu obtížné?

Ve zprávách, které přicházejí z Íránu, uslyšíte, že Íránu se podařilo vytvořit falešné certifikáty SSL, aby mohli najít přihlašovací údaje osobního účtu lidí.

Někteří analytici říkají, že je to možné, ale obtížné. Zajímalo by mě, proč je obtížné, v čem spočívá problém, proč vám váš poskytovatel internetových služeb to nemůže udělat?

23
user893730

Dovolte mi to vysvětlit pomocí praktického příkladu.

Prohlížeče implicitně důvěřují sadě certifikačních autorit (CA). V prohlížeči můžete vidět seznam důvěryhodných CA. Např. certifikační autority, kterým důvěřuje prohlížeč Chrome prohlížeč, lze nalézt na stránce „Nabídka klíčů> Předvolby> Na poklopu> HTTPS/SSL (Správa certifikátů)> karta Autority“).

Certifikát, který mail.google.com představuje vašemu prohlížeči, je tedy podepsán společností Thawte SGC CA. Tento CA je prohlížečem implicitně důvěryhodný. Tyto CA vydávají certifikáty až po důkladném (a manuálním) ověření.

Ty a já nemůžeme podvádět Thawte nebo Verisign, abychom nám podepsali falešný certifikát pro google. Ačkoli takové případy to se stane , ale jsou vzácné a většinou vyžadují nějakou důvěrnou pomoc.

Nyní na vašem vlastním počítači můžete pokračovat a vytvářet certifikáty , které je uvádí jako stránky google.com. Ale tyto certifikáty jsou „podepsané sami sebou“ a prohlížeč jim nebude důvěřovat, protože CA (vy) nejsou v seznamu důvěryhodných certifikátů. V tomto případě vám prohlížeč zobrazí upozornění na certifikát.

Takže nyní, na odpověď na vaši otázku, existuje několik způsobů, jak se vytvářejí spoofed certifikáty (nebo jsou vytvořeny pro práci):

  • Jak jsem již zmínil výše, osoba může podvádět certifikační autoritu (která je prohlížečem důvěryhodná), aby vám vydala certifikát pro web, který vám nepatří. Z tohoto důvodu lidé často ručně odebírají důvěryhodné certifikační autority ze seznamu. Bůh ví, jaké postupy provádí CA v této nikdy neslyšené zemi. Viděl jsem paranoidní lidi odebírající CA z důvěryhodného seznamu prohlížečů.

  • Úřad CA je hacknut (nebo je nucen vydávat falešné certs). V takový případ můžete vydávat certs podle vaší vůle. Nemluvě o tom, že takové CA okamžitě přestanou fungovat, jakmile to bude nalezeno.

  • Můžete také mít falešný „self-signed“ certifikát google.com a přesto se vám podaří obejít kontrolu zabezpečení prohlížeče, pokud explicitně přidáte svůj vlastní CA do důvěryhodného seznamu prohlížeče. Společnosti to dokáží. Viděl jsem (a pracoval v) společnostech, kde to otevřeně dělají z „důvodů dodržování“. Protože vaše stolní počítače mají kontrolu, instalují do důvěryhodného obchodu svého prohlížeče vlastní certifikační autoritu a do prohlížeče předloží falešný certifikát gmail - který prohlížeč důvěřuje a šťastně zachytí VŠECHNY vaše konverzace/e-maily.

Ve všech případech - co získáváte paděláním certifikátu: Můžete server MITM (Man ve středu) počítač a uživatele a dešifrovat relaci SSL.

Ve svém popisu výše jsem nechal mnoho jemnějších nuancí vytváření certifikátů, abych představil široký obrázek. Můžete si přečíst informace o Cert Patrol a perspektivy , abyste viděli, jak můžete zabránit padání obětí falešného certifikátu, i když je jeho CA v důvěryhodném seznamu prohlížečů.

Můžete si také přečíst o připnutí certifikát , což může zabránit zneužití certifikátů.

24
CodeExpress

Není technicky obtížné vytvořit certifikát SSL pro cokoli, co potěšíte; ta část je triviální.

Nejdůležitější je, že ji musíte podepsat nebo podepsat něčím autorizovaným a podepsaným jedním z důvěryhodných sad kořenových certifikátů, které například váš webový prohlížeč obsahuje.

Patří k různým certifikačním úřadům a jsou chráněny silnou kryptografickou autentizací, což znamená, že je pro někoho z výpočtů nepraktické vytvořit certifikát kterému bude váš prohlížeč důvěřovat bez přístupu k tajnému materiálu certifikační autority chrání.

Trik tedy nevyrábí certifikát, je to od někoho, kdo mu důvěřuje.

7
Daniel Pittman

Můžete se také podívat na článek o společnosti Digi Notar, v loňském roce došlo k určitému rozruchu poté, co měli porušení a distribuovali falešné certifikáty. Problém spočívá v tom, že počítače jsou vytvořeny pro důvěryhodné certifikáty kvalifikovanými CA, takže pokud můžete získat certifikát, je obtížné zajistit, aby každý počítač na celém světě viděl jeho odvolání.

http://en.wikipedia.org/wiki/DigiNotar

2
Robert