Home    Aktuelles    Kalender    Katalog    Anmeldung  
News u. Notiz
 Suche 

Home
News u. Notiz
Kalender
Info
Anmeldung
Kontakt

 Newsletter 
E-Mail-Info mit aktuellen News und Veranstaltungen
Zur Newsletter
Um-, Ab- u. Anmeldung

 Events 

 PDF, Audio, Video 

 LogIn 
UserName: 
Kennwort:  

Kennwort vergessen?
Neu Anmeldung

 Anmelden 


 News u. Notiz 
 

« zurück
SSL-CA-Zertifikat durch MD5-Kollision geknackt  (Archiv) 

Foto: Bredehorn.J
Archiviert: 19.01.2009
Wie nun beim Hacker-Kongress des CCC bekannt wurde, konnte ein Herausgeberzertifikat (CA-Zertifikat) für SSL geknackt werden. Damit wurde endlich in der Realität praktikabel bewiesen, was eigentlich schon länger bekannt ist, dass Zertifikate mit MD5-Hashes unsicher sind.


Das Problem sei schlimm, aber man werde es überleben. Ebenso könne der Einzelne wenig dagegen tun. Es sei weder ein Fehler im Browser noch sei das Protokoll kaputt. Die Problematik liege eher in der Verwendung des MD5- Algorithmus einiger CAs zur Überprüfung eines gültigen Zertifikats.

Der Angriff sei schwierig. Dennoch lassen sich theoretisch Zertifikate signieren. Somit sei deren Echtheit illegal bestätigt. Damit könnten sich perfekte Phishing-Seiten aufbauen lassen. CAs sollten schleunigst auf SHA1-Hashes umstellen. Es seien alle Dienste betroffen die SSL benutzen. Dazu gehören auch HTTPS, SSL VPNs und S-MIME.

Die Entdecker benutzten einen Cluster bestehend aus 200 Sony Playstation 3. Der Rechnerverbund brauchte ein paar Tage für die Attacke. Laut SANS könnte ein großes Botnetz diese Aufgabe schneller erfüllen.

Auch Microsoft: http://www.microsoft.com/technet/security/advisory/961509.mspx http://blogs.technet.com/msrc/archive/2008/12/30/information-on-microsoft-security-advisory-961509.aspx
und Mozilla:
http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/
befassen sich mit dem Problem.

Details dazu finden Sie hier:
Creating a rogue CA certificate
http://www.win.tue.nl/hashclash/rogue-ca/


Links:
http://events.ccc.de/congress/2008/Fahrplan/events/3023.en.html
http://events.ccc.de/congress/2008/

Webseite Fried, 07.01.2009

Thema: k.D.

Bitte vergeben Sie für diesen Artikel eine Note
zwischen +3 (lesenswert) und -3 (nicht lesenswert)

Artikel bewerten:
+3 +2 +1 0 -1 -2 -3

  Aktuelle Auswertung:
Gesamtbewertung (Alle Punkte): 3
 

Plus: 3, Neutral: 0, Minus: 0
  0 = neutral (Artikel zur Kenntnis genommen)


Leser-Beiträge
Hinterlassen Sie hier Ihre Informationen oder Anmerkungen, für andere Leser.
Jetzt ohne Anmeldung!

 neuen Eintrag erstellen 

Home | News | Kalender | Katalog | Anmeldung
Newsletter | Info | Impressum | Kontakt

diagramm.net - Alle Inhalte dienen der persönlichen Information.







Pub-Info