it-swarm-eu.dev

Warum ist es schwierig, ein SSL-Zertifikat zu fälschen?

In den Nachrichten aus dem Iran hören Sie, dass es dem Iran gelungen ist, gefälschte SSL-Zertifikate zu erstellen, damit er die Anmeldeinformationen des Google Mail-Kontos finden kann.

Einige Analysten sagen, dass dies möglich, aber schwierig ist. Ich frage mich, warum es schwierig ist, wo die Schwierigkeit liegt, warum Ihr ISP Ihnen das nicht antun kann.

23
user893730

Lassen Sie mich anhand eines praktischen Beispiels erklären.

Es gibt eine Reihe von Zertifizierungsstellen (Certificate Authorities, CAs), denen Browser implizit vertrauen. Sie können die Liste der vertrauenswürdigen Zertifizierungsstellen in Ihrem Browser anzeigen. Zum Beispiel. Die Zertifizierungsstellen, denen der Browser Chrome Browser) vertraut, finden Sie unter "Wrench-Menü> Einstellungen> Unter der Haube> HTTPS/SSL (Zertifikate verwalten)> Registerkarte" Berechtigungen "".

Das Zertifikat, das mail.google.com Ihrem Browser vorlegt, ist also von Thawte SGC CA "signiert". Diese Zertifizierungsstelle wird vom Browser implizit als vertrauenswürdig eingestuft. Diese Zertifizierungsstellen stellen Zertifikate erst nach gründlicher (und manueller) Überprüfung aus.

Sie und ich können Thawte oder Verisign nicht dazu verleiten, uns ein gefälschtes Zertifikat für Google zu unterschreiben. Obwohl solche Fälle passieren aber selten sind und meistens Insiderhilfe benötigen.

Jetzt können Sie auf Ihrem eigenen Computer Sie können Zertifikate erstellen angeben, dass sie von google.com stammen. Diese Zertifikate sind jedoch selbstsigniert und werden vom Browser nicht als vertrauenswürdig eingestuft, da die Zertifizierungsstelle (Sie) nicht in der Liste der vertrauenswürdigen Zertifikate aufgeführt ist. In diesem Fall zeigt Ihnen der Browser die Zertifikatwarnung an.

Um Ihre Frage zu beantworten, gibt es einige Möglichkeiten, wie gefälschte Zertifikate erstellt werden (oder funktionieren):

  • Wie oben erwähnt, kann eine Person eine Zertifizierungsstelle (die vom Browser als vertrauenswürdig eingestuft wird) dazu verleiten, Ihnen ein Zertifikat für eine Site auszustellen, die Ihnen nicht gehört. Aus diesem Grund entfernen Benutzer häufig manuell vertrauenswürdige Zertifizierungsstellen aus ihrer Liste. Gott weiß, welche Verfahren diese CA in diesem nie gehörten Land befolgt. Ich habe paranoide Leute gesehen, die Zertifizierungsstellen von der vertrauenswürdigen Liste des Browsers entfernt haben.

  • Die Zertifizierungsstelle wird gehackt (oder muss gefälschte Zertifikate ausstellen). In in einem solchen Fall können Sie nach Belieben Zertifikate ausstellen. Ganz zu schweigen davon, dass solche Zertifizierungsstellen sofort ihre Geschäftstätigkeit einstellen, sobald dies festgestellt wurde.

  • Sie können auch ein gefälschtes "selbstsigniertes" Zertifikat von google.com haben und dennoch die Browsersicherheitsprüfung umgehen, wenn Sie der vertrauenswürdigen Liste des Browsers explizit Ihre eigene Zertifizierungsstelle hinzufügen. Unternehmen können es schaffen. Ich habe Unternehmen gesehen (und bei ihnen gearbeitet), bei denen sie dies aus "Compliance-Gründen" offen tun. Da Ihre Desktop-Computer die Kontrolle über sie haben, installieren sie ihre eigene Zertifizierungsstelle im vertrauenswürdigen Speicher Ihres Browsers und legen dem Browser ein gefälschtes Google Mail-Zertifikat vor. Dieser Browser vertraut und sie fangen ALLE Ihre Konversationen/E-Mails gerne ab.

In allen Fällen - was erhalten Sie, wenn Sie ein Zertifikat fälschen: Sie können den Server und den Computer des Benutzers mit MITM (Man in the Middle) versehen und die SSL-Sitzung entschlüsseln.

Ich habe in meiner obigen Beschreibung viele feinere Nuancen der Zertifikatserstellung hinterlassen, um ein umfassendes Bild zu vermitteln. Sie können über Cert Patrol und Perspektiven lesen, um zu sehen, wie Sie verhindern können, dass Sie Opfer eines gefälschten Zertifikats werden, selbst wenn sich die Zertifizierungsstelle in der vertrauenswürdigen Liste des Browsers befindet.

Sie können auch über Anheften von Zertifikaten lesen, um solche Zertifikat-Hijacks zu verhindern.

24
CodeExpress

Es ist technisch nicht schwierig, ein SSL-Zertifikat für alles zu erstellen, was Sie möchten. Dieser Teil ist trivial.

Der schwierige Teil ist, dass Sie es von einem der vertrauenswürdigen Stammzertifikate, die beispielsweise in Ihrem Webbrowser enthalten sind, signiert oder signiert benötigen.

Diese gehören zu den verschiedenen Zertifizierungsstellen und sind durch eine starke kryptografische Authentifizierung geschützt. Dies bedeutet, dass es für jemanden rechnerisch unpraktisch ist, ein Zertifikat zu erstellen dem Ihr Browser vertraut ohne Zugriff auf geheimes Material der Zertifizierungsstelle schützt.

Der Trick besteht also nicht darin, das Zertifikat zu erstellen, sondern jemanden dazu zu bringen, ihm zu vertrauen.

7
Daniel Pittman

Sie können sich auch den Artikel über Digi Notar ansehen. Letztes Jahr gab es einige Aufregung, nachdem sie einen Verstoß hatten und gefälschte Zertifikate verteilten. Das Problem dabei ist, dass Computer so aufgebaut sind, dass sie Zertifikaten von qualifizierten Zertifizierungsstellen vertrauen. Wenn Sie also ein Zertifikat erhalten können, ist es schwierig sicherzustellen, dass jeder Computer auf der ganzen Welt sieht, dass es widerrufen wird.

http://en.wikipedia.org/wiki/DigiNotar

2
Robert