Podrobiony certyfikat RapidSSL CA

Posted on 7 stycznia, 2009 by Radosław Frankowski

Pod koniec zeszłego roku, na konferencji 25th Chaos Communication Congress (25C3) miało miejsce ciekawe wystąpienie. Grupa specjalistów (Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molinar, Dag Arne Osvik i Benne De Weger) spreparowała fałszywy certyfikat firmy RapidSSL. Badacze wykorzystali znaną od 2004 roku słabość algorytmu MD5 polegającą na wygenerowaniu kolizji.  Mechanizm generowania kolizji opiera się  na znalezieniu dwóch wiadomości z taką samą wartością skrótu. Mając zatem oryginalny certyfikat i jego skrót należy spreparować fałszywy certyfikat tak aby dawał taką samą funkcję skrótu.

Znalezienie kolizji było możliwe m.in. dzięki wykorzystaniu Sony Playstation 3. Naukowcy mieli do dyspozycji „konsolową farmę” składającą się z ponad 200 połączonych maszyn. Zawsze wiedziałem że w konsolach drzemie ogromna moc „marnowana” na gry 🙂

Wracając jednak do certyfikatów to dziwi mnie fakt że RapidSSL należąca do Verisign  (podobnie jak marka GeoTrust  czy thawte) dalej używa przestarzałego algorytmu MD5 zamiast korzystać z SHA-1.

Minął ponad tydzień od publikacji informacji na temat sfałszowanego certyfikatu. Dziś sprawdziłem z samej ciekawości jak wygląda „wymiana” certyfikatów RapidSSL korzystających z funkcji MD5. Moje zaskoczenie było wielkie gdy na stronie RapidSSL znalazłem stary certyfikat, który jest w dalszym ciągu używany.

rapidssl_md51

Certyfikat ze strony RapidSSL

Idąc dalej sprawdziłem listę CRL – faktycznie jest ważny. Na naszym rodzimym podwórku jest różnie.  Przykładowo firma Gigaone zajmująca się sprzedażą certyfikatów RapidSSL posiada już nowy certyfikat na swojej stronie testowej.

rapidssl_sha11

Certyfikat ze strony Gigaone

Natomiast starym certyfikatem z MD5 posługuje się np. pasaż Otoli.

Jeszcze jedno. Jeśli chodzi o najczęściej wykorzystywany obecnie algorytm SHA-1 to już w 2005 roku niejaki prof. Xiaoyun Wang przedstawił teoretyczny sposób ataku różnicowego na ten algorytm. Na razie nie jest znana praktyczna próba ataku zakończona sukcesem. Wymaga to ogromnych mocy obliczeniowych. Biorąc jednak pod uwagę postęp technologiczny NIST zaleciła już w 2006 roku agencjom rządowym USA, aby zaprzestały używać algorytmu SHA-1 i wykorzystały algorytmy z rodziny SHA-2 uważane za znacznie bezpieczniejsze. Od 2010 żadna agencja rządowa USA nie może posługiwać się algorytmem SHA-1.

Filed under: PKI | Tagged: , , , , | 5 Komentarzy »