Kryptolodzy podrobili autentyczny certyfikat CA

2008-12-31 00:00:00 +0000


Zespół Aleksandra Sotirowa z politechniki w Eindhoven zademonstrował podrobiony certyfikat jednego z publicznych centrów certyfikacji. Fałszerstwo było możliwe dzięki wygenerowaniu kolizji w funkcji skrótu MD5, której używało zaatakowane centrum certyfikacji.

Badacze pobrali oryginalny certyfikat centrum certyfikacji, które jako jedno z niewielu nadal stosuje funkcje MD5. Następnie wygenerowali takie wartości fałszywego certyfikatu, które dawały identyczny skrót MD5 jak w certyfikacie podrabianym. Ponieważ podrabiany certyfikat był certyfikatem pośredniego, więc następnie skopiowali podpis roota do fałszywego certyfikatu. Dzięki zgodności skrótów przeglądarki weryfikowały go poprawnie.

Przeprowadzony atak jest wyłącznie atakiem na przestarzałą funkcję skrótu nadal stosowaną przez jedno z centrów certyfikacji (RapidSSL, własność VeriSign) pomimo, że od dawna wiadomo o jej słabościach. Do wygenerowania kolizji użyty został klaster dwustu komputerów Playstation 3S.

Niemal wszystkie centra certyfikacji stosują obecnie funkcję SHA1, która co najmniej przez kilka kolejnych lat powinna być odporna na kolizje typu preimage. W nadchodzących latach należy oczekiwać stopniowego przechodzenia na funkcje z rodziny SHA2, a następnie SHA3.

Z kryptograficznego punktu widzenia badacze przeprowadzili skuteczny atak preimage, generując kolizję dla już istniejącej wiadomości (certyfikatu). W 2005 roku zespół Arjena Lenstry z tej samej uczelni zaprezentował fałszywe certyfikaty stworzone dzięki znalezieniu zwykłej kolizji MD5.

Wkrótce potem Verisign poinformował o zaprzestaniu wydawania certyfikatów podpisanych z użyciem MD5.