?

Log in

No account? Create an account
md5 и ssl - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

md5 и ssl [Sep. 14th, 2009|05:04 am]
ArkanoiD
[Tags|, , ]

Уже который раз (например, тут или тут) встречаю рекомендации, что раз в MD5 легко находятся коллизии, то нужно взять свой список корневых сертификатов и удалить те из них, где signature algoritm установлен, как MD5. Конечно, браузер будет беспрерывно материться, зато у нас появится чуйство безопасности (от необходимости каждый раз тыкать в "accept this certificate", наверное).

А теперь включаем на минутку головной мозг. Как влияет на безопасность алгоритм, использованный для самоподписи уже хранимого у нас корневого сертификата? Да хоть crc32 там используй - никак. (*)

Я уже как-то рассказывал, что не так с TLS/SSL, а теперь я еще и примерно знаю, что с этим делать. Не с его отсутствием, а с кривыми сертификатами и проблемами валидации. По крайней мере, в корпоративной среде. Напишу потом.

(*) Капитан Очевидность говорит нам: это не алгоритм, которым CA подписывает сертификаты. Это именно алгоритм, которым подписан сертификат самого CA, причем т.к. это даже не кросс-сертификат, указывающий на альтернативную цепочку доверия, а именно самоподписанный сертификат, от него не зависит ничего вообще.
linkReply

Comments:
[User Picture]From: wizzard0
2009-09-14 03:39 am (UTC)
Any technology sufficiently advanced is indistinguishable from magic.

У врачей те же проблемы, да и у всех специалистов, технологии которых "пошли в массы".
(Reply) (Thread)
[User Picture]From: amarao_san
2009-09-14 03:39 am (UTC)
(задумчиво) подпись своего собственного сертификата нужна, как я понимаю, нужна только для того, чтобы никто не мог подменить сертификат на аналогичный с сохранением функционала, но изменёнными реквизитами (политиками и т.д.).
(Reply) (Thread)
[User Picture]From: reedcat
2009-09-14 06:47 am (UTC)
Капитан Очевидность говорит, что коллизия на MD5 может быть использована именно в этом случае...

P.S. Я удивлен... :(
(Reply) (Thread)
[User Picture]From: bormotov
2009-09-14 07:29 am (UTC)
хм, допустим вы смогли подобрать коллизию к подписи сертификата "AddTrust Qualified CA Root" (нашел у себя в FireFox). Каковы ваши дальнейшие действия, чтоб получить с меня хоть что-нибудь?
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2009-09-14 09:19 am (UTC)
Как?

UPD: мне приходит в голову только одна _теоретически_ возможная бага: если peer (в рамках TLS-сессии) выдал полную цепочку, заканчивающуюся сверху сертификатом, созданным с использованием коллизии, то можно себе представить реализацию, когда его подпись будет сверена и принята. Но в общем случае я не знаю, зачем ему работать таким образом и ни одна из популярных реализаций, по моим сведениям, так не работает.

Edited at 2009-09-14 09:58 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: reedcat
2009-09-14 03:54 pm (UTC)
Прислать его и предложить поставить _взамен_ существующего правильно.
50% народу просто поставит не читая, а для фанатов параноиков - у него даже имя будет совпадать - из-за реализованной коллизии... То есть, его проинсталлируют собственными руками 99% процентов пользователей.

А дальше - в меру фантазии организатора этого действа... :)
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2009-09-14 04:04 pm (UTC)
Так для этого и коллизия не нужна. Принятая практика замены сертификата - новый присылается в двух видах: 1) подписанный старым 2) self-signed, который ставится на замену. Собственно, наличие md5 в 1) и вызовет подозрения само по себе. А то, что старый уже был подписан md5 - не влияет никак. Что-то не рисуется _дополнительная_ дырка ;-)

К тому же, убедить меня, что я должен поменять корневой сертификат какому-нибудь Thawte потому, что тот заэкспайрился и поставить другой, _присланный мне по почте_, не вызвав подозрения - как ты себе это представляешь?

Edited at 2009-09-14 04:05 pm (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: reedcat
2009-09-16 11:43 am (UTC)
"Тебе" - никак...
А вот сколько людей идут на ссылки "Ситибанка", чтобы "подтвердить свой PIN-код" - имя им легион...

И вот у них подозрения в этот момент не возникнет никакого...
Да, что-то непонятное прислали поменять, оно еще и само готово поменять, только спрашивает "да или нет?", ну, кто-то даже и посмотрит на поля, да, даже имя фирмы совпадает...

И причем тут Thawte? Никому он не уперся, его подменять...
А вот разослать клиентам какого-нибудь банка "новый" сертификат банковского СА - да легко...
Сколько пользователей нынешних "мутных" банк-клиентов ничего не понимают в PKI? 80% как минимум...
То, что конкретный Арканоид на это не купится - да и фиг бы с ним... Это у него самомнение такое, что он считает себя потенциальной целью такого рода атак... Никому из аттакеров _ты_ - не нужен ну ни на минуту... :) У них своё плодородное поле, не из гиков... :)

(Reply) (Parent) (Thread)
[User Picture]From: dil
2009-09-14 06:48 am (UTC)
и это тоже одна из составляющих естественного отбора.

кстати, для MD5 уже найден способ генерации коллизий с заданным хэшем вообще и с частично заданным открытым текстом в частности?
(Reply) (Thread)
[User Picture]From: arkanoid
2009-09-14 09:59 am (UTC)
Да.
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2009-09-14 07:23 am (UTC)
Логика тут в том, что данный CA "uses MD5", а его юзать уже несекурно. Думаю, расчёт на то, что если явление уничитожения доверия к сертификатам с MD5 примет реально массовый характер, удостоверяющие центры быстрее начнут двигать свои ленивые задницы.
А пока эти сертификаты будут повсеместно в Trusted Root, хостерам будет плевать на то, что им выдали сертификат с MD5
(Reply) (Thread)
[User Picture]From: lionet
2009-09-14 08:30 am (UTC)
Хостерам выдаётся сертификат с SHA-1 при этом, не вижу проблемы.
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2009-09-14 08:37 am (UTC)
Если так - то да, проблемы нет.
Но вы уверены что всё именно так и обстоит?
(Reply) (Parent) (Thread)
[User Picture]From: lionet
2009-09-14 08:47 am (UTC)
Ну вот для примера я посмотрел на свой (истёкший) сертификат, выданный Thawte (подразделение Verisign).


(уменьшено в два раза, щёлкни для увеличения).

Мой домен подписан SHA-1, а рутовый сертификат Thawte в моём браузере — MD5.
(Reply) (Parent) (Thread)
[User Picture]From: trueblacker
2009-09-14 09:03 am (UTC)
Ну, что сказать. Пример удачный.
Но полная картина, имхо, не настолько очевидна.
(Reply) (Parent) (Thread)