`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Игорь Дериев

И снова о грустном…

+33
голоса

Под занавес уходящего года пришло еще одно неутешительное сообщение, касающейся нашей с вами безопасности. На недавнем мероприятии, с красноречивым названием Chaos Communication Congress, группа специалистов по криптографии продемонстрировала успешную атаку на сертификаты X.509, защищенные с помощью хеш-функции MD5.

Подобных инцидентов за год было немало и показательно, что большинство из них носили практический характер, т.е. (как и в данном случае) потенциальная уязвимость была доказана раньше, но впервые предлагался реальный метод ее использования. Как ни печально, но в значительной степени это становится возможным именно благодаря развитию информационных технологий, например, таких, как ускорение математических расчетов на современных GPU. Нынешний инцидент, в определенном смысле, не стал исключением: для демонстрации использовались 200 консолей PlayStation 3.

Вкратце суть проблемы состоит в том, что оказалось возможным создать поддельный SSL-сертификат, с такой же цифровой подписью как у оригинального, но с другим содержимым. Если данный метод попадет в руки злоумышленников, они смогут сравнительно легко имитировать легитимные сайты, скажем, банков или магазинов. Примечательно, что одной из первых обнародовала эту информацию Microsoft, хотя проблема напрямую не касается ее продуктов.

Как я уже говорил, функция MD5 уже давно находится под подозрением, и в большинстве случаев ее уже заменили на SHA-1, однако защищенные именно ею SSL-сертификаты до сих пор выпускаются RapidSSL и некоторыми другими компаниями. При этом они принимаются всеми современными веб-браузерами, поэтому рекомендуется использовать самые последние версии, поддерживающие Extended Validation (т.е. защиту на базе SHA-1), и, соответственно, доверять только EV-сайтам.

Updated 03.01.2009:

Оказывается, сертификатов "старого" типа совсем не мало - аж 14%. Вот источник.

+33
голоса

Напечатать Отправить другу

Читайте также

Не можу погодитись з тим що це сумна новина. Такий вже світ, що будь-що можна використати в неблагородних цілях. Маємо розвиватись далі, незважаючи на те, що у всіх медалей є дві сторони...

З Новим Роком Вас! Найкращих Вам новин та Найвдаліших досягнень!..

Статья в тему: http://ru.wikipedia.org/wiki/SHA-1. Прошу обратить внимание на постоянную "войну математиков". Одни придумывают, другие взламывают. :)

Также обратите внимание на http://ru.wikipedia.org/wiki/%D0%93%D0%9E%D0%A1%D0%A2_%D0%A0_34.11-94. При разработке проектов "под заказ" использование менее распространённых функций может быть хорошим решением (если, конечно, нет угрозы проблем с совместимостью или есть решения этих проблем).

>> Прошу обратить внимание на постоянную "войну
> математиков". Одни придумывают, другие взламывают. :)

не то слово! я и сам из них... ;)

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT