扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Kaminsky在接下来的75分钟里演示了公共密钥架构VeriSign中的X.509加密体系,这种认证授权还在继续使用MD5和更糟的MD2哈希运算。他揭示说,通过x.509证书中的常见名称的简单变化,攻击者就可以欺骗SSL证书,并诱骗访问者认为他们正在访问合法网站。这次演讲几乎和Kaminsky在2008年的关于DNS严重漏洞的发现演说一样引起了关注, 反对X.509的声音吸引了业界人士,他们对研究人员所分享的内容感到焦虑不安。
Kaminsky在详细解释互联网的认证缺陷方面扮演了义勇军的角色,特别是针对X.509这种公共密钥证书、SSL和IPsec的密码认证体系标准。Kaminsky一直倡导使用DNSSEC(DNS Security Extensions)作为一年前他发现的缓存投毒漏洞的修复方式,他解释了使用针对陈旧的哈希功能MD5和MD2的原根攻击,创建任意X.509证书的常见方式。
难以置信的是,MD5在去年就受到了一些研究人员的抨击,但随后却仍被大部分的认证授权所使用。Kaminsky说他发现VeriSign使用比MD5 更早的MD2标记来它的核心根服务器。VeriSign拥有13个互联网根服务器中的两个,并控制.com域名。VeriSign说他们在2011年将会使用DNSSEC标记.com。
Kaminsky把他的发现与Mozilla、Apple和微软等浏览器厂商以及Red Hat和开放SSL项目等其他主要厂商共享了。这些厂商都同意停止使用MD2,或者正在进行不使用MD2的产品测试。VeriSign说会使用SHA-1重新发布证书。
Kaminsky说:“当MD2攻击发生后,就可以登录到任意系统中。”
不过Kaminsky也认为,由于完成攻击非常复杂,所以还不至于马上发生大面积混乱,目前也还不需要发布DNS漏洞的紧急补丁。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者