it-swarm-tr.com

SSL sertifikasını taklit etmek neden zor?

İran'dan gelen haberlerde, İran'ın sahte SSL sertifikaları almayı başardığını duyuyorsunuz, böylece insanların gmail hesabı kimlik bilgilerini bulabiliyorlar.

Bazı analistler bunun mümkün olduğunu söylüyor ama zor, acaba neden zor, zorluk nerede yatıyor, ISS'niz bunu size neden yapamıyor?

23
user893730

Pratik bir örnekle açıklayayım.

Tarayıcıların dolaylı olarak güvendiği bir dizi Sertifika Yetkilisi (CA) vardır. Tarayıcınızda güvenilen CA'ların listesini görebilirsiniz. Örneğin. Chrome tarayıcısı tarafından güvenilen CA'lar "İngiliz Anahtarı Menüsü> Tercihler> Gelişmiş Seçenekler> HTTPS/SSL (Sertifikaları Yönet)> Yetkililer sekmesinde" bulunabilir.

Bu nedenle, mail.google.com'un tarayıcınıza sunduğu sertifika Thawte SGC CA tarafından 'imzalanmıştır'. Bu CA'ya tarayıcı tarafından dolaylı olarak güveniliyor. Bu CA'lar sertifikaları yalnızca kapsamlı (ve manuel) doğrulamadan sonra verir.

Siz ve ben Thawte veya Verisign'ı bize google için sahte bir sertifika imzalaması için kandıramayız. Bu gibi durumlarda olur ancak nadirdir ve çoğunlukla içeriden yardım ister.

Şimdi, kendi makinenizde, devam edip sertifikalar oluşturabilirsiniz google.com olduğunu belirtin. Ancak bu sertifikalar 'kendinden imzalı' ve CA (siz) güvenilir sertifikalar listesinde olmadığı için tarayıcı tarafından güvenilmeyecek. Bu durumda, tarayıcı size sertifika uyarısını gösterecektir.

Şimdi, sorunuzu cevaplamak için, sahte sertifikaların oluşturulmasının (veya çalışmasının) birkaç yolu vardır:

  • Yukarıda da belirttiğim gibi, bir kişi size ait olmayan bir site için size bir sertifika vermek üzere bir CA'yı (tarayıcı tarafından güvenilen) kandırabilir. Bu nedenle insanlar genellikle güvenilir CA'ları listelerinden manuel olarak kaldırır. Tanrı, CA'nın hiç duyulmamış bir ülkede hangi prosedürleri izlediğini biliyor. Paranoyak kişilerin CA'ları tarayıcıların güvenilir listesinden çıkardığını gördüm.

  • CA saldırıya uğrar (veya sahte sertifikalar çıkarmak için yapılır). böyle bir durumda isteğiniz üzerine sertifika verebilirsiniz. Bahsetmiyorum bile, bu tür CA'lar bir kez bulunduğunda hemen işten çıkar.

  • Ayrıca, sahte bir "kendinden imzalı" google.com sertifikasına sahip olabilir ve tarayıcınızın güvenilir listesine açıkça kendi CA'nızı eklerseniz tarayıcı güvenlik kontrolünü atlamayı başarabilirsiniz. Şirketler bunu yapabilir. Açıkça "Uygunluk nedenleriyle" yaptıkları şirketleri gördüm (ve çalıştım). Masaüstü makineleriniz kontrolünde olduğundan, tarayıcınızın güvenilir mağazasına kendi CA'larını yükler ve tarayıcıya sahte bir gmail sertifikası sunar - hangi tarayıcı güvenir ve TÜM konuşmalarınızı/e-postalarınızı mutlu bir şekilde ele geçirirler.

Her durumda - bir sertifika taklit ederek ne elde edersiniz: Sunucuyu ve kullanıcıların bilgisayarını MITM (ortadaki Man) ve SSL oturumunun şifresini çözebilirsiniz.

Geniş bir resim sunmak için yukarıdaki açıklamamda çok sayıda sertifika oluşturma nüansı bıraktım. CA'sı tarayıcıların güvenilir listesinde olsa bile, sahte bir sertifikanın kurbanının düşmesini nasıl önleyebileceğinizi görmek için Cert Patrol ve perspektifler hakkında bilgi edinebilirsiniz.

Ayrıca, bu tür sertifika kaçırmalarını önlemeye yardımcı olabilecek sertifika sabitleme hakkında bilgi edinebilirsiniz.

24
CodeExpress

İstediğiniz herhangi bir şey için bir SSL sertifikası oluşturmak teknik olarak zor değildir; bu kısım önemsiz.

Zor kısmı, örneğin web tarayıcınızın içerdiği güvenilir kök sertifika kümelerinden biri tarafından imzalanmış veya imzalanmış bir şey tarafından imzalanması veya imzalanması gerekir.

Bunlar çeşitli sertifika yetkililerine aittir ve güçlü kriptografik kimlik doğrulaması ile korunmaktadır, yani bir kişinin sertifika oluşturması hesaplamalı olarak pratik değildir tarayıcınız tarafından güvenilecektir gizli materyale erişim olmadan sertifika yetkilisi korur.

Yani, hile sertifikayı vermiyor, birisinin ona güvenmesini sağlıyor.

7
Daniel Pittman

Ayrıca, Digi Notar hakkındaki makaleye bir göz atabilirsiniz, geçen yıl bir ihlal ve sahte sertifikalar dağıttıktan sonra biraz heyecan oldu. Bunların sorunu, bilgisayarların nitelikli CA'lar tarafından sertifikalara güvenmek üzere oluşturulmuş olmasıdır, bu nedenle bir sertifika alabiliyorsanız, dünyadaki her bilgisayarın iptal edildiğini görmesini sağlamak zordur.

http://en.wikipedia.org/wiki/DigiNotar

2
Robert