» »

Izdajanje ponarejenih CA certifikatov

Izdajanje ponarejenih CA certifikatov

Slo-Tech - Kot je znano, so v zgostitvenem algoritmu MD5 že pred časom našli kolizijo, kar pomeni, da je mogoče najti dva različna niza znakov, ki vrneta isto MD5 kontrolno vsoto.

Kaj to pomeni v praksi, sta na predavanju na konferenci Eurocrypt 2005 predstavila Magnus Daum in Stefan Lucksen. Pokazala sta, da je mogoče originalni PostScript dokument modificirati tako, da bo ponarejeni dokument imel enako MD5 kontrolno vsoto. Mimogrede, enako je mogoče storiti z .exe programi, kar je pokazal Peter Selinger leta 2006.

Posledice pa so žal še resnejše. Kot je na na konferenci Chaos Communication Congress v Berlinu ravnokar prikazala skupina sedmih raziskovalcev, je mogoče z iskanjem MD5 kolizij izdelati ponarejen CA certifikat in z njim izdajati lažne certifikate za katerokoli spletno stran na internetu.

Tako lahko z vložkom približno 20.000 USD (strošek procesorskega časa na Amazon Cloud, zadostuje tudi 300 PS3 čez vikend) vsakdo ustvari vmesni CA certifikat, s pomočjo katerega lahko potem brez dodatnih stroškov izdaja nove certifikate za poljubne domene, ki jih želi napasti. Na ta način je mogoče izvesti MITM napad nad katerim koli SSL/TSL strežnikom na svetu.

Po tem, ko so pred kratkim odkrili, da nekateri nezanesljivi CA izdajatelji SSL certifikatov le-te izdajajo kar brez preverjanja, pa se je sedaj izkazalo, da je mogoče ponarejati tudi certifikate povsem zanesljivih CA izdajateljev, ki še vedno uporabljajo MD5. Na področju varnosti v spletu bo še veselo...

33 komentarjev

Gandalfar ::

Vse kar rabimo je zdaj se en cloud, ki ga poganjajo uporabniki oz. trojanci namescini na zombie PC-ji :)

poweroff ::

Ja, konec koncev pa se je izkazalo, da so PS3 konzole res široko uporabne - z njimi se bodo lahko igrali tudi "skriptni otročaji".
sudo poweroff

Beernarrd ::

collisions-at-home

root987 ::

Vse kar rabimo je zdaj se en cloud, ki ga poganjajo uporabniki oz. trojanci namescini na zombie PC-ji :)

Počak še kakšen teden :>
"Myths which are believed in tend to become true."
--- George Orwell

denial ::

Microsoftovo obvestilo: KLIK. Med prvimi itak. Zadnja leta se to pogosto dogaja. Tudi to nekaj pove.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Pyr0Beast ::

Hmm,, tole zna biti zelo uporabno [:D]
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Gandalfar ::

Most public Certificate Authority roots no longer use MD5 to sign certificates, but have upgraded to the more secure SHA-1 algorithm. Customers should contact their issuing Certificate Authority for guidance.

When visited, Web sites that use Extended Validation (EV) certificates show a green address bar in most modern browsers. These certificates are always signed using SHA-1 and as such are not affected by this newly reported research.


Ocitno ni taksne stale

phong ::

Kako pa vem, če je bil certifikat podpisan z md5?
In kaj sploh pomenijo barve v Firefox-u (polje levo od https://)?

Očitno ssl varnost le ni tako zelo varna, kot smo bili prepričani.

poweroff ::

Gandalf - poišči si posnetek predavanja. Problem je v tem, da so tisti CA-ji, ki uporabljajo MD5 precej razširjeni.
sudo poweroff

Zgodovina sprememb…

  • spremenilo: poweroff ()

denial ::

SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

root987 ::

Kako "precej"? Spletne banke so verjetno do nadaljnega varne?
"Myths which are believed in tend to become true."
--- George Orwell

BlueRunner ::

ABanka: PKCS #1 MD5 With RSA Encryption
NLB: PKCS #1 SHA-1 With RSA Encryption
SKB: PKCS #1 SHA-1 With RSA Encryption
GBKR: PKCS #1 SHA-1 With RSA Encryption

Kdo izstopa?

denial ::

Don't panic, SHA-1 is next to fall :)
SELECT finger FROM hand WHERE id=3;

Matevžk ::

@BlueRunner: Abanka, če sem pravilno obveščen, ne izdaja več svojih certifikatov. Jaz jo uporabljam s sigenovim, podpira pa tudi večino drugih slovenskih javnih CA-jev.
lp, Matevžk

BlueRunner ::

To je digitalno potrdilo na https://epoti.abanka.si/. Res je, da ta podpis nima zveze z njihovimi lastnimi digitalnimi podpisi, hkrati pa je čudno, da takšnega še vedno uporablja na drugi strani (kar ima tdu drugačne posledice). Če bi varnost resno jemali (to se navezuje na drugo temo), bi verjetno tudi to že uredili. Saj ni, da nimajo denarja za kaj takšnega.

Matevžk ::

Me je potem prešinilo, da nisem prav razumel, ja. Hm. A ta hash je del zahtevka za certifikat, ali ti ga da CA? Ker v slednjem primeru je "čuden" VeriSign ...
lp, Matevžk

BlueRunner ::

Predlaga ga lahko tisti, ki digitalni podpis zahteva. Tisti, ki pa podpis izda, pa lahko polje upošteva ali pa ne upošteva. Verisign to upošteva.

Lahko rečeš, da je čuden Verisign, ki takšen predlog sprejme, lahko pa rečeš, da je čuden tisti, ki takšen predlog da. Glede na to, da včasih obstajajo tehnični razlogi za uporabo MD5, razumem da Verisign pač naredi tisto, za kar ga stranka plača. Hkrati pa je odgovornost, skupaj z močjo, na strani tistih ljudi, ki so plačani za to, da to tehniko poznajo in jo tudi obvladajo.

Menim, da je ABanka v tem primeru bolj "čudna". Zato, ker ima ljudi, ki ne znajo dobro urediti niti takšne banalne malenkosti. Ampak sedaj sem pa že čisto dol iz teme zašel... Verisign je v kontekstu teme "bad boy", zato ker md5WithRSAEncryption sploh podpiše.

Sedaj samo še upam in čakam, da se bo v vseh mogočih kosih programja vse digitalne podpise, ki uporabljajo MD5 dokončno označili za ne-varne in ne-uporabne,

poweroff ::

Abanka ni nič čudna.

Problem Abanke je točno tak, kot je problem večine slovenskega IT-ja.

V Sloveniji imamo kar nekaj dobri IT inženirjev, ki obvladajo svoj posel. Žal vodstva firm tem ljudem ne da časa in možnosti za izobraževanje in sledenje novostim. Nekateri zato "zaspijo", drugi pa se izobražujejo na lastno pest. Vendar pa svojega znanja v firmi ne morejo uporabiti, saj za to nimajo podpore vodstva.

Vodstva podjetij - specifično: direktorji IT varnosti - se namreč na varnost spoznajo toliko kot zajec na boben. Živijo v svojem svetu prodajnih rešitev, kjer za vsak problem obstaja (bolj ali manj drag) produkt, ki problem rešuje. Živijo v svojem malem Windows svetu - vedo sicer, da obstajajo še drugi sistemi, vendar jih še niso preskusili. Verjetno jih tudi ne bodo. Vedo, da ima Windows napredne funkcije, vendar jih niso preskusili. Zakaj le - saj jim vse dela.

Z informacijsko varnostjo se ne ukvarjajo - informacijsko varnost upravljajo. To pomeni, da nekako ocenijo kakšna je verjetnost da pride do nekega incidenta, koliko bo ta incident v povprečju stal in s tem izračunajo povprečno letno škodo zaradi incidentov.

Na drugi strani računa so stroški nakupa novih produktov, izobraževanja in informiranja. Če je razlika negativna, se ti "nepotrebni" stroški zmanjšajo.

Zato ti direktorji ne spremljajo novic iz ITja. Leta 2005 niso videli, da je MD5 dokončno padel. Tudi če so to kje slučajno prebrali, niso razumeli kakšne bodo posledice. Tudi danes niso prebrali tele novice. Če pa so jo, pa ne razumejo, da bo tole v kratkem doletelo tudi njih.

Spletni prevaranti po drugi strani te stvari zelo dobro razumejo in tudi izkoriščajo. So kot volkovi, ki jih spustiš med ovce.

Sprašujem se le, kako to, da tak sistem lahko preživi toliko časa. In česa je treba, da bi te nesposobneže dokončno poslali tja, kamor sodijo.
sudo poweroff

overlord_tm ::

Zakaj v predstavitvi piše da so uporabili cluster 200 PS3, v novici pa 300?

Isto za amazon ... v predstavitvi piše da traja en dan na Amazon EC2 za 2000$

poweroff ::

Hmm, Slo-Tech uporablja Certificate Signature Algorithm: PKCS #1 MD5 With RSA Encryption... >:D
sudo poweroff

Gandalfar ::

A bomo merili koliko casa bo s-t, ki ima experta za varnost rabil, da se to pofixa? :)

BlueRunner ::

@Matthai(1): Za tisto splošno klimo se že strinjam. Ne strinjam pa se s tem, da bi bilo kaj narobe z "upravljanjem" varnosti. Težava je predvsem v temu, da jih veliko ne zna upravljati ničesar, kaj šele varnosti. Varnost v komercialnem okolju ni tehnična, temveč poslovna težava.

@Matthai(2): S-T ni finančna ustanova, kjer bi bila tehnična sredstva varovanja komercialno pomembna. Če vam jutri ukradejo celotno vsebino nezaščitene podatovne baze se še vedno ne bi počutil ogroženega.

A smo pobeginili že dovolj daleč od vsebine teme?;)

Pyr0Beast ::

Kako lepo disi po ironiji >:D
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

root987 ::

How fun, bo treba mal koga vprašat kdaj bo Abanka prešla na SHA-1.

Al pa banko zamenjat...
"Myths which are believed in tend to become true."
--- George Orwell

ender ::

Pri A-banki je večji problem kot uporaba MD5 podpisovanja v certifikatu uvedba navideznih varnostnih ukrepov za uporabo spletne banke. To je bil zame zadosten razlog, da sem banko zamenjal.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

poweroff ::

Gandalf, daj počakaj, da Primož pride iz Berlina... Sicer pa tole za ST ni tak problem. Brisat podatkov ne more nihče, niti z najvišjimi privilegiji (izbrisani podatki se samo označijo kot izbrisani, vidni pa so še vedno).
sudo poweroff

fiction ::

Matthai: V italicu si pozabil omeniti se Debian OpenSSL fiasko. Tudi s pomocjo tistega je bilo mogoce dobiti zaseben kljuc in se v koncni fazi izdajati za nekoga drugega.

Wang Yu napad iz leta 2005, se ni bil tako problematicen. Dalo se je zgenerirati dve nakljucni skupini 128 bajtov z istim MD5sumom. Fora je samo v blocnem delovanju MD5. Ce vsaki od teh datotek dodas na koncu enako vsebino, dobis se vedno isti hash.
Napadi takrat so izgledali tako, da je tisti enak del na koncu sprednji del uporabil kot pogoj za nek IF stavek. Torej exe je vedno vseboval dobro in zlobno kodo, kako se obnasa je dolocil na podlagi (razlicnega) zacetka datoteke.

Recimo pri postscript fajlih si se lahko izgonil temu, da ti je nekdo dal za podpisati datoteko (pri cemer si on lasti drugacno verzijo iste datoteke), tako da si samo za malenkost spremenil njeno vsebino preden si jo podpisal. In ne samo to, lahko si celo odkril drugo verzijo datoteke.

Ok, najvecji paranoiki so ze takrat odsvetovali nadaljnjo uporabo MD5, ampak v koncni fazi to se ni bil razlog za ne-uporabo MD5. Ne mores reci, da je MD5 takrat "padel".

Sele 2006 oz. uradno 2007 so odkrili moznost "choosen prefix" collisiona. Takrat je stanje postalo bolj alarmantno, a se nobeden tega ni zavedal.

Zmeraj mora priti neka prakticna moznost napada, da ljudje recejo, opa res gre za hud problem. To kar so izvedli na CCC namrec ni neko novo teoreticno odkritje, ampak le prakticna uporaba znanih dejstev in velike racunske moci.

Ocitno vecina ljudi tukaj ne razume narave napada!
Ce Abanka uporablja "PKCS #1 MD5 With RSA Encryption" cert to se ne pomeni, da lahko kdorkoli zgenerira svoj certifikat in se izdaja za Abanko oz. na kakrsenkoli nacin dobi zasebni kljuc od Abanke. Vsaj za enkrat to ni mozno izvesti v razumnem casu.
Torej za banko to NI varnostna ranljivost! Zakaj bi torej moral Slo-Tech ali Abanka karkoli spreminjati? Zakaj morajo ljudje zganjati paniko? Kar vecina ljudi tukaj sugerira je, da IT na Abanki ni dovolj sposoben in bi morali (za brezveze!) porabiti par 100 EUR, ja? Seveda to se ni izgovor za tisto bedarijo od "virtualne tipkovnice", ampak v tem primeru se moram postaviti na njihovo stran.

Napad se zgodi na CA. Poenostavljeno povedano: ti jim das za podpisati, da si www.lojze.si. Nazaj dobis podpisan certifikat in kar potem naredis, je, da njihov podpis "izrezes" in ga prilepis na ponarejeno potrdilo kjer pise "potrjujemo, da si www.janez.si".

Ce spet potegnem analogijo ti jim das za podpisati se eno stvar "potrjujemo, da si www.francka.si" samo zato, da dobis dober "papir" za ponarejeno potrdilo. Ta "papir" bo se vedno enak tudi ce www.francka.si nadomestis z www.janez.si in "prelepis" podpis s tistim z "www.lojze.si" potrdila.

Seveda na ta nacin lahko dobis tudi certifikat za "epoti.abanka.si", ampak to bi lahko tudi, ce bi Abanka uporabljala SHA-1!

Napad je precej tezko prakticno izvesti ker mora tisto drugo potrdilo (Francka) imeti tocno dolocen "serial number" in cas veljavnosti. To moras vedeti ze ko das CA-ju v podpis prvo potrdilo (Lojze cert) oz. ko zgeneriras dva "scollidana" zahtevka. Zato so raziskovalci napad omejili na RapidSSL, kjer izdajanje certifikata poteka avtomaticno in vse vrednosti lahko dokaj natancno previdis.

Lazje, kot da samo ponaredis potrdilo, da si Janez, je, ce vse skupaj izvedes tako, da ponaredis CA certifikat in postanes vmesni CA. Potem lahko brez tezav sam izdajas potrdila za karkoli hoces. Seveda pa se to v brskalniku vidi, ce pogledas podrobnosti certifikata (vedno bo tako RapidSSL oz. Equifax ROOT CA -> fake CA -> www.janez.si). Pri cemer ce ni "fake CA" to pomeni, da je napadalec vse naredil samo za www.janez.si. Drug indic je seveda MD5.

Porabil bi 20000$ na Amazon EC2 (ce bi ga uporabili tako kot so cluster PS3), medtem ko bi z optimizacijami teoreticno napadalec lahko prisel skozi ze z 2000$. Pri cemer kar nekaj denarja porabi tudi za nabavljanje poskusnih certifikatov.

Pozitivna stran napada je, da bo mogoce vse skupaj uporabiti tudi za podpisovanje kode in tako na konzole / telefone namestiti svojo programsko opremo.

denial ::

Nobena juha se ne poje tako vroča kakor se skuha...


Not all CAs using MD5 are broken. This is required:
- MD5 signed CA
- prediction of the Serial Number (RapidSSL increments by one)
- prediction of the certificate validity date (RapidSSL issues always 6 second after your press the button).
- A way to find collisions fast enough


Ja, to je že fiction povedal :)
SELECT finger FROM hand WHERE id=3;

fiction ::

- A way to find collisions fast enough
aka raw computing power. To nima veze s samim CA-jem. No edino, da pri SHA-1 to (se) ni mozno "dovolj hitro" :)

Za enkrat izgleda samo RapidSSL ranljiv (razen tega, da tudi drugi CA-ji se vedno dovolijo MD5). Meni se itak zdi cudno, kako lahko CA kar avtomatsko podpisuje. Kako pa preverijo istovetnost? Najbolj enostaven workaround je torej samo odstraniti Equifax root CA-je pa je.

Menjava certifikata za Slo-tech ali Abanko ni smiselna. V bistvu bi to povzrocilo precej zmede za ljudi ki poznajo star "fingerprint". Da ne govorimo o dodatnih stroskih za kvalificirano potrdilo.

denial ::

VeriSign statement


Q: These researchers have discussed their desire to maintain secrecy so that the hammer of legal action couldn't be used to prevent publication. Does VeriSign intend to sue these researchers?

A: Security researchers who behave ethically have no reason to fear legal action from VeriSign. Since its inception VeriSign has been one of the world's leading forces for online security, and the company has consistently used its resources and expertise to assist online security's progress. In fact, VeriSign is itself a white-hat security research firm (through our widely respected iDefense Labs), and we understand the concept of "ethical hacking." We're disappointed that these researchers did not share their results with us earlier, but we're happy to report that we have completely mitigated this attack.


Svaka čast!

EDIT:
... any customer who would like to do so can replace any MD5-hashed certificate free of charge.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

Phoebus ::

A bomo merili koliko casa bo s-t, ki ima experta za varnost rabil, da se to pofixa? :)

Ravno to je problem ki ga je že matthai izpostavil- lahko imaš največjega eksperta (ali pa tudi si največji ekspert) ampak če moraš delati vse drugo kot se ukvarjati s tem -ali pa si celo demotiviran za varnost in zanesljivost (poglej novico o zumu kjer se govori čez MS kako škrtarijo na testih)- ne bo veliko od tebe.
Nikomur pa ni v interesu da bo poleg X ur službe za službo porabil še Y ur pro bono da "bo zadeva ok".

Kar si šefi želijo, to dobijo...dobesedno :-)

Direkt na tvoj komentar je podobno- projektu A nič ne pomaga najboljša ekipa ekspertov v vesolju če za projekt A nimajo časa.

Zgodovina sprememb…

  • spremenil: Phoebus ()

fiction ::

Microsoftovo obvestilo: KLIK. Med prvimi itak. Zadnja leta se to pogosto dogaja. Tudi to nekaj pove.
Pohvalno, da so tako hitri. Samo ne razumem zakaj so sploh izdali varnostno obvestilo. Navsezadnje ne gre (niti posredno) za bug v njihovih produktih. Ze tisto ko vsaka Linux distribucija izda svoj security advisory za isto stvar mi je malo cudno, ampak ok recimo, da jih se razumem. Vsaka ima lahko drugacen nacin za updatanje paketov, svoje lastne popravke ali kaj takega. Ampak zadnje case je pa vcasih tako da ljudje objavljajo varnostna opozorila samo kot povzetke drugih opozoril.

VeriSign statement [...] Svaka čast!
Ack. iDefense je kul. Sicer je pa drza VeriSigna taka kot bi morala biti.

... any customer who would like to do so can replace any MD5-hashed certificate free of charge.

To so najbrz naredili zaradi verisign.co.jp. Ljudje znajo panicariti v stilu "omg MD5". Zato so se raje kot da bi prenasali slabo reklamo odlocili za tak korak.

denial ::

Pohvalno, da so tako hitri. Samo ne razumem zakaj so sploh izdali varnostno obvestilo. Navsezadnje ne gre (niti posredno) za bug v njihovih produktih.


V bistvu je zadeva dvignila veliko prahu, ljudje pa radi delamo paniko. IMHO zelo profesionalno, da se "veliki" odzovejo.

Poleg tega pa je Sotirov dejal, da je bil MS posrednik med njimi in CA-ji, s strani MSRC pa so dejansko dobili tudi veliko uporabnih informacij. V bistvu me sploh ne bi čudilo, če je bil MS o zadevi seznanjen veliko prej kakor VeriSign in ostali vpleteni CA-ji. Sinergija med MS-jem in varnostnimi raziskovalci ni nikakršna skrivnost.

Sotirov je tudi priznal, da je ekipa imela na razpolago celo četico pravnikov (vključno z "hudičevo advokatinjo" Jennifer Granick) ter PR-ov. Nič čudnega seveda. Alex Sotirov je pač rock zvezda.
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SHA1 hash - prevod

Oddelek: Programiranje
104196 (3853) darkolord
»

Napad z ničelno predpono na SSL/TLS certifikate že "v divjini"

Oddelek: Novice / Varnost
416416 (4794) McMallar
»

Nov, učinkovitejši napad na SHA1

Oddelek: Novice / Varnost
176196 (4760) fiction
»

Izdajanje ponarejenih CA certifikatov

Oddelek: Novice / Zasebnost
337694 (5553) denial
»

Zgostitveni algoritem SHA-0 razbit

Oddelek: Novice / Varnost
254260 (4260) darkolord

Več podobnih tem