Erfolgreicher Angriff auf das SSL-Zertifikatsystem

Wie heise Netze berichtet, ist ein Angriff auf das SSL-Zertifikatsystem gelungen. Dieser ermöglicht es, für ein alle gängigen Browser gültiges Herausgeberzertifikat zu erstellen.

Dieses Herausgeberzertifikat ermöglicht es damit signierte, gültige SSL-Zertifikate zu erzeugen mit denen z.B. Man-in-the-Middle-Attacken für Bank-Websites und andere sicherheitskritische Anwendungen durchgeführt werden können.

Die betreffenden Forscher stellten das Demo-Zertifikat zur Verfügung, aber aus Sicherheitsgründen nur mit einem Ablaufdatum von 2004.

Der Angriff beruht auf einer erhöhten Kollisionswahrscheinlichkeit der MD5-Hashfunktion. Daher wird diese Hashfunktion auch nur noch von ca. 30% der sich im Umlauf befindenden Zertifikaten zur Absicherung des sog. Fingerprints verwendet.

Zur Überprüfung, ob die derzeit besuchte Seite von einem “angreifbaren” Zertifikat geschützt wird, existiert eine SSL-Blacklist. Diese wird von von dem Firefox Add-On SSL-Blacklist 4.0 verwendet, um den Benutzer zu warnen. Nach kurzem Test kam mir bisher noch kein problematisches Zertifikat unter. (Das Plugin meldet aber einen Fehler auf der Testseite: https://bad.codefromthe70s.org)

via: heise Netze: 25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *