Время нового доверия в Сети: фундаментальные проблемы в SSL

Discussion in 'Мировые новости. Обсуждения.' started by d3l3t3, 11 Aug 2011.

  1. d3l3t3

    d3l3t3 Banned

    Joined:
    3 Dec 2010
    Messages:
    1,771
    Likes Received:
    98
    Reputations:
    10
    "Доверительная сеть, созданная на основе сертификатов SSL, имеет фундаментальные проблемы, которые переходят на уровень безопасных расширений DNS (система доменных имен)", - поведал Мокси Марлинспайк, исследователь систем безопасности, присутствующим на съезде DefCon хакерам в пятницу.

    Поскольку ПО, использующее SSL, полагается на компании, чья обязанность подписывать сертификаты отзывается с трудом, технология уже не может с высокой скоростью реагировать на события, подобные взлому удостоверяющего центра Comodo, который произошел ранее в этом году, говорит Мокси Марлинспайк. Расширения безопасности системы доменных имен (DNS SEC), которые используют сертификаты в DNS-записях для дополнительной безопасности, имеют еще большие проблемы, поскольку вы не можете отозвать подпись root-провайдера, утверждает он.

    "Эта система действительно уменьшает скорость доверия", - сказал Марлинспайк своим слушателям, - "Сегодня я могу, конечно, удалить Verisign из списка удостоверяющих центров в моем браузере, но я лично ничего не могу сделать для того, чтобы Verisign перестал контролировать lookup в .com или .net".

    Марлинспайк предложил систему "коллективного доверия", названную Convergence, которая решает данные проблемы. Вместо удостоверяющих центров система использует notary (протоколирующие) серверы, которые проверяют, возвращается ли один и то же сертификат при запросе домена из других сетей и других географических точек, что уменьшает риск атаки типа "человек посередине".

    Технология, которую Марлинспайк внедрил в качестве плагина для Firefox, в отличие от сертификатов SSL отвечает двум критериям исследователя: во-первых - доверие одной конкретной организации не должно быть постоянным. Если организация оказывается ненадежной, пользователь должен иметь возможность отказать ей в доверии. "Существует множество организаций, которым я доверяю совершение моих транзакций", - рассказывает Марлинспайк, - "Но что мне кажется абсурдным [в случае с SSL], это то что я должен определять список организаций, которым я доверяю, непросто на данный момент, а навсегда". Вторая часть trust agility посвящена тому, чтобы дать пользователю полномочия изменить его мнение о доверии организации в дальнейшем. По информации Electronic Frontier Foundation, на данный момент существует около 650 организаций, выдающих сертификаты, включая правительства КНР и Кореи, что потенциально дает им возможность "подглядывать" за безопасными транзакциями.

    "В нашем все более глобализирующемся мире уже кажется невозможным, чтобы кто-то в одиночку принимал решение о доверии, касающееся всех остальных", - считает Марлинспайк. "Разные люди находятся в разных ситуациях и подвергаются разным угрозам".

    На данный момент существует немного notary, поддерживающих Convergence. Но каждый может настроить систему для себя, установив порог количества notary, необходимых для валидации идентичности веб-сайта.​

    Дата: 11.08.2011
    http://www.xakep.ru/post/56451/
     
Loading...