news

SSL złamane na potrzeby ogranów bezpieczeństwa

Sądzicie, że kłódeczka oznaczająca połączenie szyfrowane naprawdę zapewnia wam bezpieczeństwo? Że nikt nie przechwyci danych, które wysyłacie do banku lub sklepu internetowego? Jesteście w błędzie.

Kiedy komputer łączy się szyfrowanym połączeniem, np. z Gmail, PayPal lub eBay, przeglądarka sprawdza autentyczność certyfikatu na stronie. Okazuje się jednak, że niewielka firma  Packet Forensics opracowała sprzęt, który łamie te zabezpieczenia i chce je sprzedawać organom bezpieczeństwa USA.

Wygląda to tak: instytucja rządowa kupuje od licencjonowanego Dostawcy Certyfikatów sfałszowany certyfikat szyfrowanego połączenia. Następnie przechwytuje połączenia, oszukując obie zainteresowane strony.

Matt Blaze, specjalista od szyfrowania danych z Uniwersytetu w Pensylwanii, mówi, że nowa technologia ukazuje słabość istniejących zabezpieczeń. Blaze ostrzega przed wykorzystaniem jej przez mniej rządowe organizacje.

Blaze podkreśla, że niedoskonałość połączenia bierze się nie z możliwości złamania szyfru, lecz z funkcjonowania szyfrowanych połączeń w Sieci. Mówi też jednak: „Choć wiem, jak się włamać do mojego mieszkania, wciąż zamykam je na klucz”. [Wired]


podobne treści


  • kmank

    Ale gdzie tu zagrożenie dla Kowalskiego?
    1. łącze z bankiem – agenda rządowa i tak obejrzy nasz wyciąg, jeśli będzie chciała
    2. łącze z pocztą – szyfrowanie poczty nie odbywa się na poziomie łącza SSL
    3. dostawca świadomie sprzedaje sfałszowany certyfikat „osobie” nieupoważnionej – przestaje być dostawcą, na tym właśnie polega jego rola, on jest stroną zaufaną, więc żaden bank, czy inna szanująca się instytucja nie kupuje certyfikatu od „Jasia na rogu”