mboost-dp1

No Thumbnail

MD5-svaghed truer sikkerheden af alle https-sites

- Via NY Times Bits - , redigeret af Emil , indsendt af Emil

I 2004 demonstrerede kinesiske forskere, hvordan det var muligt at generere en kollision for MD5 hash-funktionen. Da dette angreb ikke var nok til at overbevise verden om, at MD5 burde udfases, har forskere fortsat arbejdet på at forbedre angrebet. Således demonstrerede et hold forskere i 2007, at de ud fra to valgte prefixes kunne konstruere hashkollisioner. Det nye angreb gjorde det muligt at konstruere kollisioner mellem næsten urelaterede inputs, hvilket var langt mere interessante end det oprindelige angreb fra 2004.

På trods af disse angreb er der stadigvæk certifikatudstedere, der bruger MD5 til signaturer. Derfor har et hold forskere fra Holland, Schweiz og USA nu demonstreret, hvordan en variant af angrebet fra 2007 kan bruges til at bryde sikkerheden i https for alle browsere, der stadigvæk tillader MD5.

Kort fortalt lavede de en kollision mellem et certifikat for et enkelt website og et mellemliggende CA-certifikat, der kan bruges til at udstede falske certifikater for alle websites. Certifikatet for det enkelte website fik de underskrevet af RapidSSL / Equifax. Men fordi de havde konstrueret en kollision, var samme signatur også gyldig for deres falske mellemliggende CA-certifikat.

Angrebet tillod forskerne frit at vælge gyldighedsperiode for deres falske certifikat, de valgte at lave et certifikat, der kun var gyldig i august 2004, for at det ikke direkte kunne misbruges. Men angrebet kunne ligeså vel bruges til at lave et certifikat, der er gyldigt i dag og kunne bruges til at udføre man-in-the-middle-angreb imod alle https-forbindelser.

For at gennemføre angrebet var det nødvendigt at forudsige tidspunktet for certifikatudsteddelsen og certifikatets serienummer. Det gjorde de ved at få udstedt et certifikat i begyndelsen af en weekend og efterfølgende havde de et cluster af computere til at beregne kollisionen og sende certifikatet til underskrivelse på et forudvalgt tidspunkt i slutningen af weekenden. Beregningerne blev udført på et cluster af Playstation 3-konsoller og standard pc’er.

Angrebet påvirker alle sites, uanset om de bruger MD5 eller ej, for så længe browsere tillader MD5-certifikater, kan angriberen konstruere et falsk MD5-baseret certifikat for et vilkårligt site.





Gå til bund
Gravatar #1 - Norrah
1. jan. 2009 11:48
Årets første nyhed er trist.
Æv.

Men venter du stadig på min første mail i det nye år, før jeg begynder at blive nervøs,
Gravatar #2 - Troffel
1. jan. 2009 12:19
lort.. Men virker meget omfattende, så virker ikke som noget jeg (pt) bør skide i bukserne over, hver gang jeg sætter tillid til https sites.

Men enig med #1 >_>
Gravatar #3 - Coney
1. jan. 2009 12:31
Det er simpelthen skræmmende at det er nødvendigt med forskning i flere år, før folk fatter at en sikkerhedsrisiko er en sikkerhedsrisiko! Uanset hvor lille og ubetydelig den er... Kan den udnyttes så er det noget lort! Håber det her får konsekvenser...
Gravatar #4 - jopsen
1. jan. 2009 12:32
#1
Trist... Det betyder vel at browser udviklerne snart får øjnene op for at md5 ikke kan bruges mere...
Jeg synes det er god nyhed... Det ville være trist hvis det var blackhats der havde lavet tricket...
Gravatar #5 - Logifire
1. jan. 2009 12:34
Så bør man vel heller ikke bruge MD5 i forbindelse med authentication når man benytter VPN
Gravatar #6 - Sugardad
1. jan. 2009 12:37
Synes det er dumt at de forklarer hvordan de har gjort det, det er jo lige som at hjælpe folk der vil misbruge det, nu ved de i hvert fald blevet ledt i retningen af hvor de skal finde fejlen... gg
Gravatar #7 - Dijkstra
1. jan. 2009 12:42
Er der ikke lige en flink nørd der fortæller hvordan man slår MD5 fra på de forskellige standard browsere: IE, FF, Safari, Crome (m.fl.)?
Gravatar #8 - knasknaz
1. jan. 2009 13:07
Øyjj hvor besværligt. Så er der vel alt muligt der skal laves om nu!?
Gravatar #9 - kasperd
1. jan. 2009 13:26
Norrah (1) skrev:
Årets første nyhed er trist.
Nyheden er egentlig to dage gammel, så se på den som den sidste nyhed fra 2008, hvis det kan gøre dig i bedre humør. :-)

Troffel (2) skrev:
Men virker meget omfattende, så virker ikke som noget jeg (pt) bør skide i bukserne over, hver gang jeg sætter tillid til https sites.
Det er omfattende, men når man først har gennemført det stå man jo med en underskrevet blankocheck der giver mulighed for at udføre lige så mange angreb man har lyst til imod vilkårlige https sites. Så lidt nervøs er der grund til at være, specielt hvis man bruger https til noget vigtigt. Hvis ikke der hurtigt bliver gjort noget ved det tror jeg vi i 2009 vil se eksempler på forsøg på at misbruge det til økonomisk kriminalitet.

jopsen (4) skrev:
Det betyder vel at browser udviklerne snart får øjnene op for at md5 ikke kan bruges mere...
Nogle browsere kan tilsyneladende slå algoritmer til og fra via preferences, så det drejer sig måske bare om at ændre default setting for nogle MD5 baserede algoritmer.

Jeg synes det er god nyhed... Det ville være trist hvis det var blackhats der havde lavet tricket...
Indeed. Men strengt taget kan vi jo ikke vide, om der er blackhats der har lavet tricket.

Logifire (5) skrev:
Så bør man vel heller ikke bruge MD5 i forbindelse med authentication når man benytter VPN
Det kommer nok lidt an på, hvad MD5 bruges til i den forbindelse. Bliver det brugt til signaturer/certifikater, så bør man nok undgå det. Bruges det kun til kodning af passwords, så tror jeg ikke man behøver være mere nervøs på grund af de svagheder der indtil videre er fundet i MD5. Men som altid skal man selvfølgelig bruge gode passwords.

Sugardad (6) skrev:
Synes det er dumt at de forklarer hvordan de har gjort det, det er jo lige som at hjælpe folk der vil misbruge det, nu ved de i hvert fald blevet ledt i retningen af hvor de skal finde fejlen...
Det har været kendt i 4½ år, at MD5 har en svaghed. Og det angreb der bliver demonstreret her er ikke ret forskelligt fra det der blev demonstreret i 2007. Så nyheden er primært at der er forskere som har besluttet at demonstrere at det kan anvendes i praksis imod PKI infrastrukturen. For at gennemføre angrebet var de nødt til at forbedre lidt på angrebene imod MD5, men detaljerne om det har de ikke publiceret endnu.

Det vil sige at som tingene ser ud nu er det mindre arbejde at lukke for hullet end det ville være for et uafhængigt team at gennemføre et tilsvarende angreb. Alt hvad der skal til for at lukke for hullet er at skifte fra MD5 til en af de bedre algoritmer som allerede er tilgængelige. Mange certifikatudstedere har allerede skiftet.

Dijkstra (7) skrev:
Er der ikke lige en flink nørd der fortæller hvordan man slår MD5 fra på de forskellige standard browsere: IE, FF, Safari, Crome (m.fl.)?
Jeg har ikke afprøvet det, men browsere i Mozilla familien har en indstilling kaldet security.ssl3.rsa_rc4_128_md5 som man kan ændre fra true til false.

Gravatar #10 - arne_v
1. jan. 2009 14:19
#6

Det ville ikke tjene noget formål at holde det hemmeligt.

De virkeligt skrappe black hats viste det allerede (problemerne med MD5 er velkendte) og de almindeligt småt begavede black hats finder nemmere veje end denne.
Gravatar #11 - arne_v
1. jan. 2009 14:28
kasperd (9) skrev:
Jeg har ikke afprøvet det, men browsere i Mozilla familien har en indstilling kaldet security.ssl3.rsa_rc4_128_md5 som man kan ændre fra true til false.


Så i FF:
about:config
find den
toggle den
?
Gravatar #12 - Sugardad
1. jan. 2009 15:43
problemet er jo så bare, at sikkerheden allerede i dag er for dårlig, fordi folk ikke tager browser opdateringer og andet sikkerheds software seriøst, så tror det her også er et aktuelt problem om 5 år
Gravatar #13 - sKIDROw
1. jan. 2009 16:20
Så det eneste MD5 reelt kan bruges til, er til at checke for overførselsfejl i downloads. Men selv der kan man lige så godt, skifte til SHA1, når man jo også må checke for KOMPROMITERING af ens downloiads.

Ak ja RIP MD5... ;)
Gravatar #14 - arne_v
1. jan. 2009 16:22
#13

Hvis du har valget, så synes jeg at du skulle hoppe direkte til SHA-256. Der er en formodning om at SHA1 ikke holder så længe.
Gravatar #15 - sKIDROw
1. jan. 2009 16:39
#14

Du har ret. Burde bare have skrevet SHA*, for selvfølgelig ville det være mest optimalt at hoppe direkte til SHA256. Men som modtager vælger jeg jo ikke, hvilke digests udviklerne bruger.

Men mod ikke den her annoncering, bliver dråben der får de sidste til at indse at det er tid.
Gravatar #16 - Taxwars
1. jan. 2009 18:52
Hm.. var det skrevet på dansk?
Gravatar #17 - Shorts
1. jan. 2009 22:22
Altså jeg ser mig selv som sådan nogenlunde nørdet og med god all-round viden indenfor IT, men efter at have læst denne nyhed og alle indlæggene ved jeg stadig ikke hvad dælen et sådant angreb kan bruges til, andet end det lyder slemt... Nogen der gidder forklare hvad dælen der står i nyheden, så almindelige dødelige også kan forstå det?
Gravatar #18 - TheAvatar
2. jan. 2009 03:18
Sådan som jeg har forstået det, så er problemet faktisk ikke så stort igen i forbindelse med websites i hvert fald.
Allerede udstedte certifikater kan ikke påvirkes, folk med de ramte (ikke så mange) certifikater kan gratis få dem udskiftet med SHA-krypterede certifikater i stedet.
RapidSSL (VeriSign) mv udsteder fra i forgårs ikke MD5-certifikater længere.
I forbindelse med websites, så, hvis jeg har forstået det rigtigt, er problematikken uendeligt lille. Hvis vi tager PayPal som eksempel, så kører de selvfølgelig SSL, har certifikat osv. Hvis nu deres var et MD5-certifikat (hvilket det ikke er), ville en ondsindet person være i stand til at udstede sig selv et certifikat identisk med PayPals. PayPals eget certifikat er stadigvæk gyldigt og i orden og uberørt.
Hvis du går ind på www.paypal.com er du sikker på, at du kommer ind på PayPals side (tjek hængelåsen i browseren). Hvis du tværtimod dobbeltklikker på et link i en email som burde henvise dig til PayPal, men ikke gør det, du tjekker hængelåsen som umiddelbart viser et gyldigt certifikat og du logger ind - så er der problemer.
Så hvis man tænker sig om, og ondsindede personer ikke er i stand til at f.eks. hijacke DNS-servere (eller bare udvalgte zoner) på f.eks. pengefølsomme sites, så er problemet altså ikke så stort igen.
Er jeg helt way off?
Gravatar #19 - kahe
2. jan. 2009 04:13
Bruce Schneier forklarer på sin blog hvorfor det her er rimelig ligegyldigt: Der er alt for mange sites med rod i deres SSL-certifikater alligevel og ingen (heller ikke ham selv) checker dem.

SSL-certifikater er med andre ord lige til at lukke op og skide i og det her ændrer ikke en pind på det. SSL er dog stadig brugbart til at undgå man-in-the-middle angreb og til at holde ens trafik væk fra nysgerrige øjne, hvis man sidder på et ukrypteret trådløst netværk.

EDIT: fix jeres kode... jeres knap til at indsætte link fungerer ikke efter hensigten, hvilket burde være tydeligt at se af mit indlæg.
Gravatar #20 - Anders Fedеr
2. jan. 2009 10:15
Shorts (17) skrev:
Altså jeg ser mig selv som sådan nogenlunde nørdet og med god all-round viden indenfor IT, men efter at have læst denne nyhed og alle indlæggene ved jeg stadig ikke hvad dælen et sådant angreb kan bruges til, andet end det lyder slemt... Nogen der gidder forklare hvad dælen der står i nyheden, så almindelige dødelige også kan forstå det?

Jeg syntes ikke umiddelbart det var ret svært at forstå, men det kan være du lige skal slå termer som 'certifikat' op først hvis du ikke er helt stiv i kryptering i forvejen.

I SSL bruger man certifikater til at sikre at et givent website nu virkelig er det website som det udgiver sig for at være. Et certifikat skal være signeret af en pålidelig udbyder for selv at kunne betragtes som pålideligt. Det nyheden handler om er at det nu er muligt at forfalske sådanne signaturer, og altså dermed underminere sikkerheden i SSL.
Gravatar #21 - Chillyskye
2. jan. 2009 10:16
#19
Jeg har flere gange benyttet [ url] tagget, også her på newz.dk, og har aldrig oplevet problemer med det, spørgsmålet er, har du anvendt det korrekt?

Her er 2 eksempler på typisk brug af BBCode [ url] tagget.
http://en.wikipedia.org/wiki/BBCode
BBCode
Gravatar #22 - kasperd
2. jan. 2009 15:23
TheAvatar (18) skrev:
Sådan som jeg har forstået det, så er problemet faktisk ikke så stort igen i forbindelse med websites i hvert fald.
Allerede udstedte certifikater kan ikke påvirkes,
Den del har du misforstået. Det er ligegyldigt hvordan et websites nuværende certifikat er underskrevet. Ved at bruge det her angreb kan man konstruere et alternativt certifikat, som ikke har nogen sammenhæng med det ægte certifikat for sitet. Selvom et site anvender et SHA baseret certifikat kan en angriber konstruere et MD5 baseret certifikat, og browseren vil acceptere det.

folk med de ramte (ikke så mange) certifikater kan gratis få dem udskiftet med SHA-krypterede certifikater i stedet.[/qoute]Ja, men formålet med at få dem udskiftet er ikke at beskytte sig imod angreb. Derimod er formålet, at deres site stadig vil virke hvis browsere holder op med at understøtte MD5.

[quote]RapidSSL (VeriSign) mv udsteder fra i forgårs ikke MD5-certifikater længere.
Ifølge
http://www.win.tue.nl/hashclash/rogue-ca/#sec71 er de ikke helt holdt op endnu. De er begyndt på en udfasning, startende med den gren angrebet blev demonstreret imod. Planen er at helt holde op inden udgangen af januar.

I forbindelse med websites, så, hvis jeg har forstået det rigtigt, er problematikken uendeligt lille. Hvis vi tager PayPal som eksempel, så kører de selvfølgelig SSL, har certifikat osv. Hvis nu deres var et MD5-certifikat (hvilket det ikke er), ville en ondsindet person være i stand til at udstede sig selv et certifikat identisk med PayPals.
En ondsindet person kunne stadig konstruere et MD5 baseret certifikat. Du er nødt til at checke hver gang du går ind på siden om det stadigvæk er det rigtige certifikat. Din browser vil ikke advare dig hvis det nuværende certifikat bliver udskiftet med et MD5 baseret.

PayPals eget certifikat er stadigvæk gyldigt og i orden og uberørt.
Hvis du går ind på www.paypal.com er du sikker på, at du kommer ind på PayPals side (tjek hængelåsen i browseren).
Forbindelsen kunne hijackes på forskellige måder, f.eks. DNS poisoning, åbne access points, mm.

Hvis du tværtimod dobbeltklikker på et link i en email som burde henvise dig til PayPal, men ikke gør det, du tjekker hængelåsen som umiddelbart viser et gyldigt certifikat og du logger ind - så er der problemer.
Hvis du følger tilfældige links som peger på forkerte sites hjælper det selvfølgelig ikke ret meget at din browser fortæller dig, at du er på det site den siger du er på. Hvis man vil være på den sikre side har man et bookmark med https.

Så hvis man tænker sig om, og ondsindede personer ikke er i stand til at f.eks. hijacke DNS-servere (eller bare udvalgte zoner) på f.eks. pengefølsomme sites, så er problemet altså ikke så stort igen.
Er jeg helt way off?
For nogle måneder siden blev det påvist, at DNS poisoning er nemmere end det burde være. Det er desuden ikke den eneste måde at hijacke din forbindelse på.
Gravatar #23 - TheAvatar
2. jan. 2009 21:04
#22 Hvis hele din færden på nettet er så usikker og "poisened", så er ens problem helt ærligt ikke at folk i et pt tænkt eksempel forfalsker et certifikat. Så tror jeg man har nogle markant større problemstillinger, som man burde kigge på først.

Og så vidt jeg ved, så _burde_ hele internetverdenen vel snart have reageret på det DNS sikkerhedshul, som kom frem for et par måneder siden - så vidt jeg ved, er der i hvert fald sikre DNS-servere, som kan anvendes - og disse kan vel bruge roothints direkte, hvis man er ekstremt paranoid?
Gravatar #24 - arne_v
2. jan. 2009 21:09
#23

Det er et hul som den enkelte internet bruger selv kan lukke ved en indsats på ca. 20 sekunders arbejde i FF.
Gravatar #25 - kasperd
2. jan. 2009 22:16
TheAvatar (23) skrev:
#22 Hvis hele din færden på nettet er så usikker og "poisened", så er ens problem helt ærligt ikke at folk i et pt tænkt eksempel forfalsker et certifikat.
DNS poisoning foregår ikke på klienten, det foregår på DNS serveren. Der er ikke noget man selv kan gøre for at forhindre ens udbyders servere i at blive poisoned. Læs evt. http://en.wikipedia.org/wiki/DNS_cache_poisoning hvis du har brug for at vide lidt mere om DNS poisoning.

Desuden er DNS poisoning langt fra den eneste måde en forbindelse kan blive hijacket på.

Så tror jeg man har nogle markant større problemstillinger, som man burde kigge på først.
Hvis man baserer hele sin sikkerhed på at ens udbyders DNS servere aldrig kan blive poisoned, så har man et problem.

Og så vidt jeg ved, så _burde_ hele internetverdenen vel snart have reageret på det DNS sikkerhedshul, som kom frem for et par måneder siden
Ja, det burde de, men har de? Og hvis man har en laptop med sig og bruger den på diverse access points undervejs, så kan man ikke stole på at samtlige de netværk har en kompetent administrator. Det kunne sågar tænkes, at administratoren af et af de netværk netop er den person man har brug for at beskytte sig imod.

- så vidt jeg ved, er der i hvert fald sikre DNS-servere, som kan anvendes - og disse kan vel bruge roothints direkte, hvis man er ekstremt paranoid?
Hullet demonstrerer jo netop at det ikke er tilfældet.
Gravatar #26 - kasperd
5. jan. 2009 12:26
kasperd (9) skrev:
Jeg har ikke afprøvet det, men browsere i Mozilla familien har en indstilling kaldet security.ssl3.rsa_rc4_128_md5 som man kan ændre fra true til false.
Nu har jeg omsider fundet et svar på om den ændring hjælper. Og svaret er, at det gør den ikke. Den vil slå md5 fra for nogle anvendelser, men check af certifikater er ikke en af dem. Tilsyneladende skal der foretages ændringer i koden for at slå md5 fra. Hvis I vil læse mere, så var det her jeg fandt de oplysninger: http://lwn.net/Articles/313134/
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login