Złamany certyfikat, złamane zaufanie

W ręce badacze internetowego bezpieczeństwa z firmy F-Secure wpadł złośliwy program, który udaje legalną aktualizację oprogramowania Adobe. Aby uniemożliwić fałszowanie takich aktualizacji, są one zwykle cyfrowo podpisane. Ta też jest - podpis został złożony za pomocą certyfikatu (cyfrowej urzędowej pieczęci) wydanego przez instytucję będącą częścią rządu Malezji. Certyfikat ten został wykradziony, bądź złamany.
Złamany certyfikat, złamane zaufanie Uwaga na wirus z malezyjskim certyfikatem. W ręce badacze internetowego bezpieczeństwa z firmy F-Secure wpadł złośliwy program, który udaje legalną aktualizację oprogramowania Adobe. Aby uniemożliwić fałszowanie takich aktualizacji, są one zwykle cyfrowo podpisane. Ta też jest - podpis został złożony za pomocą certyfikatu (cyfrowej urzędowej pieczęci) wydanego przez instytucję będącą częścią rządu Malezji. Certyfikat ten został wykradziony, bądź złamany. Badacze skontaktowali się z przedstawicielami malezyjskiego rządu i dowiedzieli się, że ten certyfikat został skradziony już dawno, ale już jest nieważny. Tymczasem na bezpieczeństwie instytucji wydających cyfrowe pieczęcie opiera się bezpieczeństwo przesyłanych przez internet danych. System ten został skonstruowany z takim założeniem, że certyfikaty nie wpadną w niepowołane ręce. Coraz częściej jednak tak się dzieje, że przestępcy mają możliwość uzyskania certyfikatu w imieniu na przykład Microsoftu. Mogą wtedy podpisywać oprogramowanie (oczywiście - złośliwe), które Windows uruchomi bez żadnego ostrzeżenia, mają też wówczas możliwość przechwytywania kont w usługach Microsoftu, takich jak Hotmail. F-Secure dodało złośliwy program podpisany malezyjskim certyfikatem do bazy wirusów rozpoznawanych przez swoje oprogramowanie zabezpieczające, jednak to nie koniec. Branżowe pogłoski mówią, że malezyjski certyfikat nie został wykradziony czy wystawiony w trakcie włamania, ale, że złamano szyfr, na którym opiera się bezpieczeństwo internetowego szyfrowania. System internetowych certyfikatów szyfrujących ma coraz większe luki, ale nie ma też żadnej znanej alternatywy.

Badacze skontaktowali się z przedstawicielami malezyjskiego rządu i dowiedzieli się, że tak, ten certyfikat został skradziony już dawno, ale już jest nieważny, nie ma się o co martwić. Tymczasem na bezpieczeństwie instytucji wydających cyfrowe pieczęcie opiera się bezpieczeństwo przesyłanych przez Internet danych. System ten został skonstruowany z takim założeniem, że certyfikaty nie wpadną w niepowołane ręce. Coraz częściej jednak tak się dzieje, że przestępcy mają możliwość uzyskania certyfikatu w imieniu na przykład Microsoftu. Mogą wtedy podpisywać oprogramowanie (oczywiście - złośliwe), które Windows uruchomi bez żadnego ostrzeżenia, mają też wtedy możliwość przechwytywania kont w usługach Microsoftu, takich jak Hotmail. A jak jest możliwość uzyskania "pieczątki" pozwalającej przedstawić się jako Microsoft, to można od razu zrobić "pieczątki" dla Google, Skype, czy Yahoo!, co się komu zamarzy. A może od razu PayPal? Tam przecież użytkownicy trzymają pieniądze.

F-Secure dodało złośliwy program podpisany malezyjskim certyfikatem do bazy wirusów rozpoznawanych przez swoje oprogramowanie zabezpieczające, jednak to nie koniec. Branżowe pogłoski mówią, że malezyjski certyfikat nie został wykradziony czy wystawiony w trakcie włamania, ale, że złamano szyfr na którym opiera się bezpieczeństwo internetowego szyfrowania.

 

sejf

Bezpieczeństwo internetowego szyfrowania opiera się na trudnej matematycznej zagadce.

Nie jest to nic bardzo zaskakującego, bezpieczeństwo przeglądarkowej "kłódki" opiera się na trudnej matematycznej zagadce - łatwo pomnożyć dwie liczby ale bardzo trudno ustalić jakie liczby zostały pomnożone, jeśli zna się tylko wynik mnożenia. Nie jest to niemożliwe - ale właśnie na trudności tego zadania, które najsilniejszym komputerom zajmie wiele lat,opiera się moc szyfru. Jednak komputery robią się coraz silniejsze, moc obliczeniowa rośnie mniej-więcej dwukrotnie co każde półtora roku, więc szyfrowe zagadki muszą być coraz trudniejsze - jeśli łamał sobie na nich zęby komputer sprzed sześciu lat, teraz mogą okazać się za łatwe, bo przez ten czas komputery zrobiły się 16 razy mocniejsze. Rozwinęła się też możliwość zaprzęgania wielu komputerów do rozwiązywania jednego problemu - przestępcy mają dostęp do tysięcy komputerów niczego nie podejrzewających użytkowników, które można do takiego zadania zaprząc. A ci, którzy wystawiali malezyjski certyfikat, użyli do tego łatwej, prostej zagadki, która stanowiła problem dla komputerów sprzed 10lat, 64 razy słabszych od współczesnego peceta. Oprogramowanie sprawdzające "pieczątki" nie powinno tak słabego zabezpieczenia zaakceptować, jednak zasady weryfikacji wymagają tylko sprawdzenia daty ważności, nie mocy zabezpieczenia.

System internetowych certyfikatów szyfrujących ma coraz większe luki, ale nie ma żadnej znanej alternatywy.

W systemie certyfikatów pojawiają się coraz większe dziury. Niezależnie od tego czy fałszywy certyfikat wystawiono sobie w czasie włamania, czy złamano jego szyfr, weryfikacja certyfikatów jest zbyt słaba. A oprogramowanie weryfikujące jest częścią tysięcy innych programów (nawet polskiego "Płatnika"). Kiedy pojawi się alternatywa dla systemu certyfikatów, trudno będzie wprowadzić ją w te wszystkie miejsca. Ale żadnej alternatywy na razie nie ma.