Podrobiony certyfikat RapidSSL CA

Pod koniec zeszłego roku, na konferencji 25th Chaos Communication Congress (25C3) miało miejsce ciekawe wystąpienie. Grupa specjalistów (Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molinar, Dag Arne Osvik i Benne De Weger) spreparowała fałszywy certyfikat firmy RapidSSL. Badacze wykorzystali znaną od 2004 roku słabość algorytmu MD5 polegającą na wygenerowaniu kolizji.  Mechanizm generowania kolizji opiera się  na znalezieniu dwóch wiadomości z taką samą wartością skrótu. Mając zatem oryginalny certyfikat i jego skrót należy spreparować fałszywy certyfikat tak aby dawał taką samą funkcję skrótu.

Znalezienie kolizji było możliwe m.in. dzięki wykorzystaniu Sony Playstation 3. Naukowcy mieli do dyspozycji „konsolową farmę” składającą się z ponad 200 połączonych maszyn. Zawsze wiedziałem że w konsolach drzemie ogromna moc „marnowana” na gry 🙂

Wracając jednak do certyfikatów to dziwi mnie fakt że RapidSSL należąca do Verisign  (podobnie jak marka GeoTrust  czy thawte) dalej używa przestarzałego algorytmu MD5 zamiast korzystać z SHA-1.

Minął ponad tydzień od publikacji informacji na temat sfałszowanego certyfikatu. Dziś sprawdziłem z samej ciekawości jak wygląda „wymiana” certyfikatów RapidSSL korzystających z funkcji MD5. Moje zaskoczenie było wielkie gdy na stronie RapidSSL znalazłem stary certyfikat, który jest w dalszym ciągu używany.

rapidssl_md51

Certyfikat ze strony RapidSSL

Idąc dalej sprawdziłem listę CRL – faktycznie jest ważny. Na naszym rodzimym podwórku jest różnie.  Przykładowo firma Gigaone zajmująca się sprzedażą certyfikatów RapidSSL posiada już nowy certyfikat na swojej stronie testowej.

rapidssl_sha11

Certyfikat ze strony Gigaone

Natomiast starym certyfikatem z MD5 posługuje się np. pasaż Otoli.

Jeszcze jedno. Jeśli chodzi o najczęściej wykorzystywany obecnie algorytm SHA-1 to już w 2005 roku niejaki prof. Xiaoyun Wang przedstawił teoretyczny sposób ataku różnicowego na ten algorytm. Na razie nie jest znana praktyczna próba ataku zakończona sukcesem. Wymaga to ogromnych mocy obliczeniowych. Biorąc jednak pod uwagę postęp technologiczny NIST zaleciła już w 2006 roku agencjom rządowym USA, aby zaprzestały używać algorytmu SHA-1 i wykorzystały algorytmy z rodziny SHA-2 uważane za znacznie bezpieczniejsze. Od 2010 żadna agencja rządowa USA nie może posługiwać się algorytmem SHA-1.

Reklamy

Podpis elektroniczny – nowy projekt ustawy

Kika dni temu na stronach Ministerstwa Gospodarki ukazał się projekt ustawy o podpisach elektronicznych. Wprowadzone zmiany w stosunku do wersji z 28-go października są dość istotne. Patrząc na ostatnią wersję projektu nasuwa mi się kilka spostrzeżeń i uwag:

  1. Duży wpływ na projekt nowej ustawy miał The Austrian E-Government Act. Dobrze że rząd bierze przykład ze sprawdzonych rozwiązań i nie wprowadza na siłę „własnych rozwiązań”.
  2. Można zauważyć że Ministerstwo Gospodarki (wraz z MSWiA?) wpadło na pomysł jak wykorzystać dowód elektroniczny pl.ID jako nośnik e-podpisu. „Dla potrzeb elektronicznych dokumentów tożsamości wprowadzony został podpis urzędowy weryfikowany przy pomocy certyfikatów urzędowych.” Obecnie cena wydania certyfikatu bezpiecznego podpisu elektronicznego wynosi od 160 do 220 złotych, a jego roczne uaktualnienie od 90 do 95 złotych. To główny hamulec rozpowszechnienia się usług wykorzystujących e-podpis. Jeśli więc podpis urzędowy będzie darmowy i znajdzie się od razu na każdym dowodzie to jest szansa na jego wykorzystanie w szerszej skali.
  3. Projekt wprowadza większą ilość, lepiej dopasowanych e-podpisów co powinno skutkować obniżeniem ich ceny. Przykładem nowego rodzaju podpisu elektronicznego może być podpis urzędowy. „Ustawa przewiduje rozszerzenie listy usług certyfikacyjnych, a zwłaszcza katalogu dostępnych rodzajów podpisu elektronicznego, co umożliwi lepsze dostosowanie narzędzi oraz ich ceny do potrzeb administracji publicznej oraz przedsiębiorców.”
  4. W projekcie ustawy śladem rozwiązań austriackich odchodzi się od pojęcia bezpiecznego podpisu elektronicznego na rzecz jego odpowiednika w nomenklaturze wspólnotowej, którym jest podpis kwalifikowany (qualified aignature). Czyli w okresie przejściowym będziemy mieli pojęcia równoznaczne: bezpieczny podpis elektroniczny = podpis kwalifikowany.
  5. Dziwny jest trochę zapis art. 2 pkt 15 „Bezpieczne urządzenie do składania podpisu elektronicznego jest to urządzenie do składania podpisu elektronicznego, spełniające wymogi dyrektywy 1999/93/WE i ogólnie uznane normy ustalone na podstawie art. 10 tej dyrektywy oraz uznane za takie przez Agencję Bezpieczeństwa Wewnętrznego lub właściwy podmiot w państwie obowiązanym do stosowania tej dyrektywy (bezpieczne urządzenie).” Przecież dyrektywa definiuje twór prawny, a nie techniczny! Zapewne ukaże się rozporządzenie do ustawy, które będzie opisywać jakie są wymagania dotyczące bezpiecznego urządzenia do składania podpisu elektronicznego (SSCD Secure Signature-Creation Device).

ZAŁĄCZNIK III – Dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE

Wymogi dotyczące bezpiecznych urządzeń służących do składania podpisu elektronicznego

1. Bezpieczne urządzenia służące do składania podpisów muszą przez właściwe środki techniczne i proceduralne zapewnić co najmniej, że:

a) dane użyte do złożenia podpisu praktycznie stykają się tylko raz oraz zapewniona jest ich poufność w rozsądny sposób;

b) można mieć wystarczającą pewność, że dane służące do składania podpisu użyte do złożenia podpisu nie mogą, być pozyskane poprzez dedukcję oraz podpis jest chroniony przed fałszowaniem za pomocą aktualnie dostępnej technologii;

c) dane użyte do złożenia podpisu mogą być chronione przez uprawnionego podpisującego przed użyciem przez innych w sposób godny zaufania.

2. Bezpieczne urządzenia służące do składania podpisu nie mogą zmieniać danych które mają być podpisane ani nie mogą uniemożliwiać, by dane te zostały przedstawione podpisującemu przed złożeniem podpisu.

CDN.

Warto zobaczyć:

http://www.piit.org.pl/piit2/index.jsp?place=Lead02&news_cat_id=19&news_id=4268&layout=2&page=text

http://www.id.ee/?lang=en

 

PKI Smart Cards GigaCon 2008

gigacon_2008Już po raz piąty w Warszawie odbędzie się konferencja GigaCon. W tym roku konferencja nosi nazwę PKI Smart Cards GigaCon 2008 i została podzielona na dwa tematy: infrastruktura klucza publicznego i karty inteligentne. Organizatorem konferencji jest wydawnictwo Software –  wydawca Software Developer’s Journal i Boston IT Security Review.  

Akurat w tym czasie będę w Warszawie więc z chęcią zobaczę co ciekawego powiedzą/przedstawią rodzime firmy. Więcej informacji na temat konferencji znajdziecie na stronie http://www.pkismartcards.gigacon.org.

Czytaj dalej