웹의 SSL 보안 프로토콜

추가 정보: Windows PC에서 악성 코드 제거 방법

많은 브라우저가 SSL을 구현하는 방식과 사용 된 디지털 인증서를 관리하는 데 사용되는 X.509 공개 키 인프라 시스템에 문제가 있습니다

Moxie Marlinspike를 호출하는 보안 연구원은 자신이 null-termination 인증서를 사용하여 SSL 트래픽을 가로채는 방법을 보여주었습니다. 그의 공격을하기 위해, Marlinspike는 먼저 자신의 소프트웨어를 로컬 영역 네트워크에서 가져와야합니다. 일단 설치되면 클라이언트와 서버 간의 통신을 가로 채기 위해 SSL 트래픽을 찾아내어 null-termination 인증서를 제공합니다. Marlinspike의 공격은 SQL 주입 공격으로 알려진 다른 일반적인 공격과 현저하게 유사합니다. SQL 주입 공격은 특수하게 조작 된 데이터를 프로그램에 보내어이를 속이기를 희망합니다. 정상적으로하지 말아야 할 일을합니다. 그는 자신의 인터넷 도메인 용 인증서를 만든 경우 null 문자 (대개 0으로 표시됨)가 포함 된 프로그램을 만들면 일부 프로그램이 인증서를 잘못 해석하게됩니다.

일부 프로그램은 null 문자를 볼 때 텍스트 읽기를 중지하기 때문입니다. 따라서 www.paypal.com 0.thoughtcrime.org에 발급 된 인증서는 www.paypal.com에 속한 것으로 읽힐 수 있습니다.

Internet Explorer, VPN (가상 사설망) 소프트웨어에 영향을 미치는 문제는 널리 퍼지고 있다고 Marlinspike는 말했습니다., 전자 메일 클라이언트 및 인스턴트 메시징 소프트웨어 및 Firefox 버전 3이 포함되어 있습니다.

문제를 악화시키기 위해 Dan Kaminsky 및 Len Sassaman 연구원은 구식 암호화를 사용하여 발행 된 인증서에 많은 수의 웹 프로그램이 종속되어 있음을 발견했다고보고했습니다 오랫동안 안전하지 않은 것으로 여겨지 던 MD2 라 불리는 기술. MD2는 실제로 금이 나간 것은 아니지만 결정된 공격자에 의해 수개월 내에 깨질 수 있다고 카민스키는 말했다. MD2 알고리즘은 VeriSign이 13 년 전에 "핵심 루트 인증서 중 하나에 자체 서명" VeriSign은 5 월에 MD2를 사용하여 서명 인증서를 중단했다고 VeriSign의 제품 마케팅 부사장 인 Tim Callan은 설명합니다.

그러나 "많은 웹 사이트에서이 루트를 사용하므로 우리는 실제로 그것을 죽일 수 없거나 웹을 망칠 것 "이라고 말했다. 그러나 소프트웨어 제조사들은 자신의 제품에 MD2 인증서를 신뢰하지 말라고 말할 수있다. 그들은 또한 자신의 제품이 널 종료 공격에 취약하지 않도록 프로그램 할 수 있습니다. 그러나 현재까지 파이어 폭스 3.5만이 null-termination 문제를 패치 한 유일한 브라우저라고 연구진은 말했다.

지난 반세기 동안 SSL이 정밀 조사 대상이 된 것은 이번이 두 번째이다. 작년 말에 연구자들은 불량의 인증 기관을 만들 수있는 방법을 발견했는데, 이는 어떤 브라우저에서도 신뢰할 수있는 SSL 인증서를 발행 할 수있었습니다.

Kaminsky와 Sassaman은 SSL 인증서가 그들을 불안하게 만들었습니다. 모든 연구원은 SSL 인증서를 관리하는 데 사용되는 x.509 시스템이 구식이며 수정해야한다고 동의했습니다.