[ì¤íì¸í°ë·°]'ê°ìí ì¤í 리ì§'(IP SAN)ì ê´í 5ê°ì§ ê¶ê¸ì¦
해시가 사용되었습니다 주어진 문서를 고유하게 식별하고 문서가 전송 중에 수정되지 않았 음을 확인하기 위해 쉽게 계산되는 번호 인 문서에 대한 "지문"을 생성합니다. 그러나 MD5 해시 알고리즘에는 결함이있어 동일한 해시 값을 가진 두 개의 서로 다른 문서를 만들 수 있습니다. 이것은 실제 사이트의 인증서와 동일한 지문을 가진 피싱 사이트에 대한 인증서를 만들 수있는 방법입니다.
[추가 정보: Windows PC에서 맬웨어를 제거하는 방법]
그들은 화요일 베를린에서 개최 된 카오스 커뮤니케이션 콩그레스 해커 컨퍼런스에서 발견 한 내용을 발표 할 계획이다. 이 연구는 독립 연구원 Jacob Appelbaum과 Alexander Sotirov가 포함 된 국제 팀과 Centrum Wiskunde & Informatica, Ecole Polytechnique Federale de Lausanne의 컴퓨터 과학자들에 의해 수행되었습니다. 아인 트 호벤 대학교 (University of California), 버클리 대학교 (University of California, Berkeley)와 같은 과학 기술자들에 의해 개발되었습니다.
연구자들은 그들의 기술을 이용한 실제 공격은 거의 없다고 생각하지만 MD5 해싱 알고리즘은 더 이상 디지털 인증서를 발급하는 인증 기관 회사. "이것은 MD5를 여전히 사용하는 사람들에게 일어난 일입니다."프로젝트에 참여한 Berkeley 대학원생 David Molnar는 말했습니다.
Rapidssl.com, TC TrustCenter AG, RSA Data Security, Thawte 및 Verisign.co 외에도. 연구원들은 MD5가 MD5를 사용하여 인증서를 생성한다고 말하고있다.
공격을 시작하는 것은 어렵다. 왜냐하면 악의적 인 사람들은 먼저 가짜 디지털 인증서를 호스팅하는 악성 웹 사이트를 방문하도록 피해자를 속여야하기 때문이다. 그러나 이것은 man-in-the-middle 공격이라고 불리는 것을 사용하여 수행 할 수 있습니다. 지난 8 월, 보안 연구원 댄 카민스키 (Dan Kaminsky)는 인터넷의 도메인 네임 시스템 (Domain Name System)의 중대한 결함이 맨 - 인 - 더 - 미들 (man-in-the-middle) 공격을 발사하는데 어떻게 사용될 수 있는지를 보여 주었다. 이 최신 연구 결과에 따라 신뢰할 수있는 디지털 인증서를 사용하는 SSL (Secure Sockets Layer) 암호화를 사용하여 웹 사이트에 대한 이러한 유형의 공격을보다 쉽게 시작할 수 있습니다.
"kaminsky의 DNS 버그를 실제로 피할 수없는 피싱을받을 수 있습니다. "
이를 증명할 수있는 결과 "라고 BreakingPoint Systems의 보안 연구 책임자 인 HD Moore가 블로그에 게시했습니다.
산동이 팀을 이끄는 2004 년 이후 MD5의 보안에 대해 암호 전문가가 점차적으로 사라지고 있습니다. 대학의 왕 샤오윤 (Wang Xiaoyun)은 알고리즘의 결함을 시연했다.
암호화 전문가이자 BT의 수석 보안 기술 책임자 인 브루스 슈나이어 (Bruce Schneier)는 MD5에 대한 연구 현황을 감안할 때 인증 기관은 SHA-1 (Secure Hash Algorithm-1)과 같은보다 안전한 알고리즘으로 업그레이드해야한다고 말했다. RapidSSL.com은 1 월 말까지 MD5 인증서 발급을 중단하고 그 이후 고객들이 새로운 디지털 인증서로 이동하도록 유도하는 방법을 모색 중이라고 Verisign의 제품 마케팅 부사장 인 Tim Callan은 전했다.
그러나 먼저,이 회사는이 최신 연구를 잘보고 싶어합니다. Molnar와 그의 팀은 Microsoft를 통해 간접적으로 Verisign에 결과를 전달했지만 Verisign과 직접 이야기하지는 않았지만 회사가 자신의 대화를 청산하기 위해 법적 조치를 취할 수도 있습니다. 과거에는 기업들이 해킹 컨퍼런스에서 말하지 못하도록 법원 명령을 얻는 경우가있었습니다.
Callan은 Verisign에 더 많은 정보가 제공되기를 바랬다 고 말했습니다. "나는 블로거와 언론인들에게이 일에 대해 브리핑을 받고있는 것이 얼마나 실망 스러운지를 표현할 수는 없지만 실제로 응답해야하는 사람들이라는 점을 감안할 때 우리는 그렇지 않다"고 말했다.
슈나이어 (Schneier)는 이 최신 연구의 배경에는 인터넷에있어 훨씬 더 중요한 보안 문제가 있습니다. 예를 들어 민감한 정보의 대용량 데이터베이스를 노출하는 약점이 있습니다.
"가짜 MD5 인증서를받는다면 중요하지 않습니다. 어쨌든 당신의 인증서를 결코 확인하지 않기 때문에, "그는 말했다. "가짜를 만드는 방법은 수십 가지가 있으며 이것은 또 다른 방법입니다."
오늘의 버그 수정본은 이미 공격을 받고있는 일부 사용자를 포함하여 모든 Windows 사용자에게 치명적인 결함을 발생시킵니다.
오늘 발표 된 Microsoft의 9 건의 보안 게시판은 ActiveX 컨트롤, Windows Media 파일 및 Windows 버전 전체에 영향을주는 기타 소프트웨어와 관련된 다양한 보안 허점을 마무리지었습니다.
IBM은 현실과 공상 과학의 경계를 모호하게하고 있습니다. DNA의 골격에 자체 조립 칩을 만들어 현재의 제조 방법을 초월하려고 시도했다. 무어의 법칙은 더 작은 칩을 제조 할 수있는 기술을 능가하고 있으며 더 이상 처리 능력을 확장 할 수없는 이론적 최대치에 빠르게 접근하고있다. 기하 급수적으로 ... 적어도 전통적인 칩 제조 기술을 사용하지는 않습니다. IBM은 현실과 공상 과학의 경계를 모호하게 만들고 DNA의 골격에 자체 조립 칩을 만들어 현재의 제조 방법을 초월하려고 시도하고 있습니다. 무어의 법칙에 따르면 대략 단일 칩에 짜 넣은 트랜지스터의 수는 , 또는 CPU의 전체 처리 능력은 2 년마다 효과적으로 2 배로 증가하도록 기하 급수적으로 증가합니다. 이는 1958 년에 최초의 집적 회로가 개발 된 이래로 50 년 이상 동안 사실이었습니다. 무어의 법칙과 전자 장치를 더 작게 만드는 욕구의 결합은 칩 제조업체가 만들 수있는 한계를 뛰어 넘습니다. 현재, 22 나노 미터 기
IBM의 엔지니어들은 더 작은 전통적 제조 기술을 구축하고 22 나노 미터 한계를 넘어서기보다는 캘리포니아 공과 대학교 (California Institute of Technology) 과학자의 트릭을 빌려 DNA 자기 조립 구조를 만드는 데 사용할 수 있습니다. DNA 용액을 회로 템플릿에 적용한 다음 수백만 개의 나노 튜브 또는 나노 입자를 적용합니다. 다량의 정보를 통합하고 복잡한 구조를 형성하는 DNA의 고유 한 능력은 DNA와 통합 된 나노 기술을 집적 회로로 만듭니다.
타이밍 공격이 수백만 사용자가 사용하는 웹 응용 프로그램에 로그인 할 수 있음을 발견했습니다. 다가오는 보안 컨퍼런스에서이 문제를 논의 할 계획 인 보안 전문가 2 명에 따르면 수백만 명의 사용자가 사용하는 웹 응용 프로그램에 해커가 알려진 암호화 공격을 사용하여 웹 응용 프로그램에 로그인 할 수 있다고합니다.
Nate Lawson과 Taylor Nelson은 OAuth 및 OpenID 표준을 구현하는 소프트웨어에서 사용되는 것을 포함하여 수십 개의 오픈 소스 소프트웨어 라이브러리에 영향을 미치는 기본적인 보안 결함은 사람들이 웹 사이트에 로그인 할 때 암호와 사용자 이름을 확인하는 데 사용됩니다. OAuth 및 OpenID 인증은 Twitter 및 Digg와 같은 유명한 웹 사이트에서 허용됩니다.