นักวิจัยประสบความสำเร็จในการปลอมแปลงใบรับรองเหล่านี้โดยใช้พลังการคำนวณของ PS3 ในคำถามระบบการเข้ารหัส MD5
อินเทอร์เน็ตไม่แน่ใจอย่างแน่นอน กลุ่มนักวิจัยรวมถึงนักเข้ารอบสองคนจากโรงเรียน Polytechnic Lausanne ได้ค้นพบข้อบกพร่องที่สำคัญในกระบวนการรับรองของไซต์ที่มีความปลอดภัยที่เรียกว่า
ที่อยู่เริ่มต้นด้วย https ' นี่เป็นกรณีของการธนาคารหรือเว็บไซต์พาณิชย์อิเล็กทรอนิกส์ซึ่งมีการเรียกร้องความปลอดภัยในทางทฤษฎีโดยการค้นพบนี้ นักวิจัยได้จัดการเพื่อปลอมแปลงใบรับรองความปลอดภัยไฟล์ดิจิตอลเหล่านี้
ควรรับประกันตัวตนของไซต์ ในการทำเช่นนี้พวกเขาได้ใช้ประโยชน์จากช่องว่างในอัลกอริธึมการเข้ารหัสอย่างใดอย่างหนึ่งที่มักจะใช้ในการสร้างใบรับรองเหล่านี้ MD5 (ข้อความ Digest 5) ค้นพบเมื่อหลายปีก่อนข้อบกพร่องนี้สร้างสอง
อย่างไรก็ตามใบรับรองที่แตกต่างกันแสดงลายเซ็นเดียวกัน ในขณะเดียวกันก็แบ่งหลักการของการตรวจสอบความถูกต้องที่ไม่ซ้ำกัน
หน่วยงานรับรองที่ผิดพลาด
นักวิจัยผลักดันประสบการณ์ต่อไปโดยการจำลองหน่วยงานการรับรองที่ผิดพลาด (เอนทิตีที่ออกใบรับรอง): สิ่งนี้ได้รับการยอมรับว่าเชื่อถือได้โดยเบราว์เซอร์หลักในตลาด ในทางทฤษฎีแล้วศรัทธาอาจมีการอ้างถึงไซต์ที่เรียกว่า 'ปลอดภัย' หรือไปยังเซิร์ฟเวอร์การส่งข้อความ ที่'สามารถเปิดประตูไปได้
การโจมตีโดยการทำฟิชชิ่งไม่สามารถตรวจจับได้จริง 'ระบุโรงเรียนโพลีเทคนิคของ Lausanne ในก
แถลงการณ์.
'อินเทอร์เน็ตเบราว์เซอร์จะได้รับใบรับรองเท็จซึ่งจะเป็นที่รู้จักที่เชื่อถือได้และรหัสผ่านผู้ใช้รวมถึงอื่น ๆ
ข้อมูลส่วนบุคคลอาจตกอยู่ในมือที่ไม่ดี 'ไม่มีการเตือนภัยความปลอดภัยที่ประสบความสำเร็จโดยนักเข้ารอบ
(การนำเสนอที่นี่)ไม่สามารถทำซ้ำได้ด้วยนิ้วมือ ใช้เวลา 200 PlayStation 3 ซึ่งติดตั้งในกลุ่ม
('คลัสเตอร์') เพื่อรับกำลังการคำนวณที่จำเป็น โหมดปฏิบัติการไม่ได้เผยแพร่อย่างชัดเจน'การเปิดเผยใหม่นี้ไม่ได้เพิ่มความเสี่ยงอย่างมีนัยสำคัญ'ตอบโต้ Microsoft อย่างรวดเร็วต่อการประกาศความสำเร็จนี้ ใน
Avisความปลอดภัยที่ออกเมื่อวันที่ 30 ธันวาคมสำนักพิมพ์ระบุว่าเขา' ให้กำลังใจ 'เจ้าหน้าที่ของ
การรับรองเพื่อใช้อัลกอริทึมการเข้ารหัสอื่น SH-1
ข้อบกพร่องอื่น ๆ ที่ใหญ่กว่า
MD5 อยู่ในกรณีใด ๆ ที่น้อยกว่าและน้อยกว่าที่หน่วยงานรับรอง ที่สำคัญที่สุดของพวกเขา verisign
ยืนยันว่าเธอได้แยกเธอออกจากใบรับรองใหม่แล้วและเธอจะมี
ถูกเนรเทศอย่างแน่นอนเมื่อปลายเดือนมกราคม 2552 แต่ก็เสนอให้ลูกค้าที่มีใบรับรอง RapidsSL เก่าที่ลงนามโดย MD5 เพื่อแลกเปลี่ยนโดยไม่เสียค่าใช้จ่ายโดยใบรับรองที่ลงนามโดย SHA-1 หากพวกเขาต้องการ แจ้งให้เราทราบว่าระบบใบรับรองโดยใบรับรองนำเสนอข้อบกพร่องที่สำคัญอื่น ๆ อีกต่อไป ดังนั้นเขาไม่ได้
ไม่ซับซ้อนมากเพื่อรับใบรับรองพื้นฐานจากหน่วยงานรับรองขนาดเล็กซึ่งก็คือ
ตัวอย่างเช่นจะพึงพอใจกับหมายเลขซิตเพื่อ 'รับรองความถูกต้อง' ผู้เผยแพร่เว็บไซต์ นอกจากนี้เว็บไซต์จำนวนมากแสดงใบรับรองที่หมดอายุซึ่งยังไม่ได้รับการอัปเดตหลังจากวันหมดอายุ ผู้ใช้อินเทอร์เน็ตจึงถูก จำกัด ให้ยอมรับใบรับรองที่ได้รับการยอมรับโดยเบราว์เซอร์ของพวกเขา
เพื่อให้สามารถเข้าถึงเว็บไซต์ได้โดยไม่ต้องถามคำถาม นี่คือการละเมิดที่อัลกอริทึมที่ทรงพลังที่สุดไม่สามารถเติมเต็มได้
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
