Władze mogą podsłuchiwać szyfrowaną komunikację SSL

SSL (ang. Secure Socket Layer) to protokół zaprojektowany w celu zapewnienia bezpiecznego przesyłania danych w Internecie. W przeciwieństwie do wielu stosowanych rozwiązań, zapewnia on poufność oraz integralność całej transmisji. Wbrew powszechnej opinii, głównym zadaniem protokołu SSL nie jest wyłącznie zapewnienia szyfrowanego połączenia, ale również uwierzytelnienie (zweryfikowanie tożsamości) komunikujących się stron. Dzięki temu, odwiedzając za pomocą bezpiecznego połączenia serwis Gmail lub też korzystając z internetowej bankowości, mamy pewność, że dany serwis należy do określonej organizacji. Czy aby na pewno?

Okazuje się, że w wyniku ataku ochrzczonego przez swych pomysłodawców mianem compelled certificate creation attack, władze są w stanie przechwycić dowolną komunikację zabezpieczoną za pomocą SSL. Co więcej, powstały już pierwsze komercyjne urządzenia zdolne do sprzętowego wsparcia tego typu działalności.

U podstaw bezpieczeństwa SSL leży specjalny system hierarchicznych certyfikatów. Kluczowe znaczenie mają tu urzędy certyfikacji (ang. certificate authority, CA), których zadaniem jest wydawanie certyfikatów poświadczających tożsamość poszczególnych instytucji. Poszczególne certyfikaty zostają podpisane należącym do CA certyfikatem głównym. Certyfikat zawiera więc zbiór danych jednoznacznie identyfikujących pewną jednostkę oraz jest potwierdzony przez jedną z grona zaufanych organizacji CA, co właśnie ma zapewniać bezpieczeństwo całego systemu.

Problem w tym, że każda z organizacji CA jest uznawana za równie zaufaną. Natomiast każda z wiodących przeglądarek internetowych (korzystając z własnego lub systemowego zbioru) rozpoznaje i w pełni akceptuje setki certyfikatów głównych i w konsekwencji powszechnie akceptowane są również wszystkie certyfikaty podpisane przez poszczególne urzędy CA.

Co najgorsze, z technicznego punktu widzenia, w pełni możliwe jest wystawienie certyfikatu poświadczającego tożsamość dowolnej organizacji przez dowolną organizację CA. Możliwe jest więc, by np. rosyjski urząd certyfikacji wystawił fałszywy certyfikat dla tożsamości mail.google.com! Z technicznego punktu widzenia taki zabieg jest banalny, wystarczy bowiem tylko w całym procesie przyznawania certyfikatu pominąć etap weryfikacji tożsamości ubiegającego się o jego wystawienie. Taki certyfikat, jeśli tylko certyfikat główny rosyjskiego CA będzie znany przeglądarce użytkownika, pozwala natomiast bez większego problemu na wykonanie ataku typu Man-in-the-Middle, czyli pośredniczenie w komunikacji użytkownika z usługą Gmail w celu przechwycenia całej komunikacji! Użytkownik nie zauważy niczego podejrzanego, ponieważ transmisja będzie zabezpieczona za pomocą certyfikatu wystawionego dla mail.google.com oraz potwierdzonego znanym certyfikatem głównym…

Compelled certificate creation attack polega więc na zmuszeniu przez władze lub służby specjalne (np. za pomocą nakazu sądowego, wywierania presji, gróźb itd.) lokalnego urzędu CA do wystawienia fałszywego certyfikatu poświadczającego tożsamość określonej organizacji, w celu przechwycenia komunikacji SSL prowadzonej przez lokalnych użytkowników z tą właśnie organizacją za pomocą ataku typu Man-in-the-Middle. Oczywiście crackerzy, a nawet duże organizacje przestępcze, prawdopodobnie nie są w stanie wykonać tego typu ataku, ponieważ nie znajdą sposobu na zmuszenie urzędu CA do wydania fałszywego certyfikatu.

Czy tego typu ataki są już obecnie stosowane? Okazuje się, że istnieją przesłanki mogące o tym świadczyć. Packet Forensics, amerykańska firma z Arizony, produkuje bowiem urządzenia niemal stworzone z myślą o przeprowadzaniu ataku typu compelled certificate creation attack.

Urządzenia te pozwalają na zautomatyzowane przechwytywanie szyfrowanych transmisji z wykorzystaniem kopii właściwego certyfikatu lub też fałszywego certyfikatu poświadczającego tożsamość określonej organizacji…

Skuteczna obrona przed tego typu atakami jest trudna, a w pewnych przypadkach może być praktycznie niemożliwa. W miarę skuteczną strategią obronną wydaje się być polityka kontrolowania certyfikatów typu Trust-On-First-Use (TOFU). Oznacza to przyjęcie założenia, że podczas pierwszego korzystania z określonej usługi jej certyfikat był prawidłowy. Monitorując więc za każdym razem jakiekolwiek zmiany certyfikatu tej organizacji, będziemy w stanie wykryć, że zmienił się przykładowo urząd CA poświadczający prawdziwość certyfikatu. Takie wykrycie będzie prawdopodobnie oznaczać zaistnienie ataku (pomimo, że oba urzędy CA w świetle zasad rządzących komunikacją SSL są zaufane). Co jednak w momencie, gdy władze określonego kraju wymuszą na dostawcy usługi udostępnienie w celach śledczych kopii głównego certyfikatu usługi? W takim przypadku internauci nie będą w stanie zauważyć jakiejkolwiek ingerencji w bezpieczne połączenie SSL…

żadnych reklam, sama wiedza.

Zarejestruj się na BEZPŁATNY NEWSLETTER i raz w tygodniu otrzymuj najważniejsze wiadmości
ze świata IT, nowych technologii i kryptowalut.

Bez reklam.

  1. Awatar abcman
    abcman

    Dobrze wiedzieć że są takie przypadki przymuszanie urzędów certyfikacyjnych przez rządy lub służby specjalne do „poświadczenia nieprawdy”. Okazuje się, że SSL, DNSSEC, itd. są warte maksymalnie jednego funta kłaków jeśli atak nazywa się „government in the middle”…

    1. Awatar hcsl.pl
      hcsl.pl

      O przypadkach przymuszania CA nic nie pisałem, bo chyba nie ma na chwilę obecną żadnych dowodów. Skoro jednak firma Packet Forensics wyraźnie nastawia się na dostarczanie swych urządzeń służbom:

      Powerful Solutions for […] Law Enforcement, Defense & Intelligence

      to chyba jednak mają jakichś klientów?

      1. Awatar skiter
        skiter

        Z sprzedawania frytek pewnie nie da sie wyzyc na poziomie.

    2. Awatar trasz
      trasz

      @abcman: Podstawowym celem istnienia zabezpieczen jest ochrona przed "zlymi ludzmi", nie przed odpowiednio usankcjonowanymi dzialaniami instytucji panstwowych.

      1. Awatar eee
        eee

        Podstawowym celem istnienia CBA jest odpowiednio usankcjonowane działanie, a nie zabawa w "złych ludzi".

      2. Awatar Szczur
        Szczur

        A skąd pewność, że te działania są "usankcjonowane"? A nawet jeśli to skąd pewność, że na podstawie prawdziwych dowodów? Pewnie słyszałeś (słyszałaś?) o "usankcjonowanych" podsłuchach wydawanych na podstawie 100 stronicowych akt, których nikt (sędzia) w godzinę nie przeczyta a w których tak na prawdę nic nie ma.

  2. Awatar Majki-Fajki
    Majki-Fajki

    No to słitaśnie. Potem się powie tłuszczy (przepraszam, wyborcom:), że należy walczyć z pedofilią/terroryzmem w internecie i cały proces się dopiero rozbuja.

  3. Awatar Sławek
    Sławek

    Nie wydaje mi się, by czyniąc proces przyznawania certyfikatów bardziej scentralizowanym udałoby się uniknąć takich praktyk. W każdym razie, to auto się pomylił. Władza nie może podsłuchać każdej komunikacji. Zawsze mogę sobie samemu wystawić certyfikat dla serwera(usługi), z którego tylko ja będę chcieć korzystać.

    1. Awatar hcsl.pl
      hcsl.pl

      Nie zawsze jest tak, że musisz chcieć z czegoś skorzystać. Istnieje wiele ataków (np. DNS poisoning) pozwalających na "zachęcenie" użytkownika do odwiedzenia określonego (np. fałszywego) serwera.

      1. Awatar Sławek
        Sławek

        Przecież rozpoznam fałszywy serwer po własnym certyfikacie 😉 .

        1. Awatar hcsl.pl
          hcsl.pl

          Fałszywy serwer może mieć certyfikat identyczny z tym prawdziwym, było o tym we wpisie. Wystarczy tylko, że władze otrzymają od dostawcy usługi kopię oryginalnego certyfikatu dla celów "śledczych"…

        2. Awatar ktos
          ktos

          Hmmm… ale przecież zdobycie "kopii" certyfikatu serwera nie stanowi wielkiego problemu…

        3. Awatar jarek
          jarek

          Hcsl.pl, skup sie na chwile, on mowi o wlasnym serwerze z wlasnorecznie
          wygenerowanym certyfikatem, bez udzialu "osob trzecich".

        4. Awatar jarek
          jarek

          A chyba wiem o jakim ataku mowa, przychodza smutni panowie z nakazem
          do dostawcy hostingu i "otwieraj pan serwerownie, bedziem certyfikaty
          z serwerow zczesywac".

        5. Awatar Staszek
          Staszek

          hcsl, ależ bredzisz nieznośnie… Po co władze mają od kogoś otrzymywać kopię certyfikatu od jakiegoś niejasnego dostawcy usług do jakichś niezrozumiałych celów śledczych, skoro certyfikat udostępniany jest przez serwer przy każdym połączeniu?

          Odróżniasz w ogóle certyfikat od klucza prywatnego?!?

  4. Awatar AdamK
    AdamK

    Czemu tylko SSL?

    To nie jest atak na protokół – taki atak można przeprowadzić na dowolną technologię bezpieczeństwa opartą na tym że czemuś ufamy – w tym momencie certyfikatowi głównemu.

    Tak samo jest w przypadku web of trust i wzajemnemu podpisywaniu kluczy – im większa sieć zaufania tym większa szansa że dostanie się do niej ktoś z niecnymi zamiarami.

    1. Awatar a
      a

      Akurat im większa sieć zaufania tym *mniejsza* szansa, że ktoś z niecnymi zamiarami cokolwiek zdziała. Na tym polega sens tworzenia dużej sieci zaufania (np. w infrastrukturze GnuPG).

  5. Awatar s
    s

    Co jednak w momencie, gdy władze określonego kraju wymuszą na dostawcy usługi udostępnienie w celach śledczych kopii głównego certyfikatu usługi?

    Ale bzdura, przecież określone służby mogą iść do dostawcy (o ile jest w kraju) i zażądać dostępu bezpośrednio do serwera. Nie trzeba żonglować certyfikatami, routingiem, kupować drogiego sprzętu, czy robić DNS poisoning. Najprostsza i najtańsza metoda.

    Oczywiście jak serwer jest za granicą, oryginalne CA jest jeszcze gdzie indziej, to trzeba iść do lokalnego trusted root CA i "poprosić" o swój certyfikat.

    1. Awatar trasz
      trasz

      @s: I tak sie robi. Tyle, ze serwer czesto/zwykle jest w innym kraju.

  6. Awatar lamer
    lamer

    Luz ludzie. Jest dodatek do FF3, "Certificate Patrol", który daje sobie radę z tym problemem. Jeśli ktoś wymieni ważny certyfikat na inny ważny certyfikat, pokaże się okno z informacją że certyfikat danej strony uległ zmianie. Polecam.

    Kolejny powód, aby nie używać pieprzonej Opery.

  7. Awatar Tomasz Woźniak
    Tomasz Woźniak

    A jak to się ma do prawa bankowego?

    1. Awatar Karl
      Karl

      Wcale się nie ma!
      Po prostu zabezpieczenie SSL opiera się na _zaufaniu_, że kawałek kodu potwierdza czyjąś tożsamość, bo _jakaś_ _organizacja_ to _zweryfikowała_. Nie ma absolutnie _żadnej_ możliwości, żeby to potwierdzić samodzielnie, zwłaszcza podczas podłączania się do jakiejkolwiek usługi zabezpieczonej przez SSL.
      Podsumowując: kolejny raz okazuje się, że cały system jest tylko tak bezpieczny, jak jego najsłabsze ogniwo – w tym wypadku, tradycyjnie, jest nim człowiek…

    2. Awatar trasz
      trasz

      @Tomasz Woźniak: Coraz wiecej bankow wymienia metody autoryzacji transakcji opierajace sie na zaufaniu SSL-owi (i w zwiazku z tym wrazliwe na man-in-the-browser czy man-in-the-middle metoda opisana powyzej) na jakies lepsze.

      1. Awatar jarek
        jarek

        Jakie daj nazwy do wygooglania.

        1. Awatar trasz
          trasz

          @jarek: Jesli nie potrafisz wyguglac bez nazwy, to nazwa niespecjalnie pomoglaby ci w zrozumieniu tematu.

  8. Awatar dzikus
    dzikus

    Jest dodatek do Firefox'a o nazwie "Certificate Patrol", ułatwia on TOFU.

  9. Awatar shadowofeclipse
    shadowofeclipse

    Zagrożenie jest szczególnie widoczne na rządowych stronach które posługują się własnymi certyfikatami.
    Firefox od razu wyświetla komunikat.

    Przykład strony:
    https://nsp2011.spis.gov.pl/form/

  10. Awatar Jacquiline Kina
    Jacquiline Kina

    This blog seems to recieve a good ammount of visitors. How do you get traffic to it? It offers a nice unique twist on things. I guess having something authentic or substantial to say is the most important thing.

  11. Awatar Neely Salata
    Neely Salata

    ya whole pay check is spent on food

  12. Awatar Rubin Neuenfeldt
    Rubin Neuenfeldt

    Greetings! I know this is kinda off topic but I’d figured I’d ask. Would you be interested in exchanging links or maybe guest writing a blog article or vice-versa? My blog addresses a lot of the same subjects as yours and I feel we could greatly benefit from each other. If you’re interested feel free to shoot me an e-mail. I look forward to hearing from you! Terrific blog by the way!

  13. Awatar HCG Drops
    HCG Drops

    Thanks for the publish. My partner and i have often seen that the majority of people are eager to lose weight because they wish to look slim along with attractive. However, they do not constantly realize that there are additional benefits just for losing weight as well. Doctors say that obese people are afflicted by a variety of diseases that can be perfectely attributed to their own excess weight. Thankfully that people that are overweight as well as suffering from diverse diseases are able to reduce the severity of their particular illnesses by losing weight. It’s possible to see a gradual but noticeable improvement with health as soon as even a bit of a amount of losing weight is realized.

  14. Awatar Car Insurance Guru
    Car Insurance Guru

    While I tend to agree with the post I strongly believe that car insurance has become too complex for the average policy holder. Just like any serious purchase however you must perform due diligence and research the insurance companies before you purchase.

  15. Awatar Highmore Fire Departments
    Highmore Fire Departments

    There is obviously a lot to know about this. I think you made some great points in this post.

  16. Awatar Find A Math Tutor
    Find A Math Tutor

    Oh my goodness! an amazing article dude. Thank you Nonetheless I am experiencing challenge with ur rss . Don’t know why Unable to subscribe to it. Is there anyone getting an identical rss problem? Anybody who knows kindly respond. Thnkx

  17. Awatar free movies anytime
    free movies anytime

    Nice work!

  18. Awatar Coupon Codes
    Coupon Codes

    I enjoy you because of your entire hard work on this site. Gloria loves going through research and it’s obvious why. Most people learn all regarding the powerful means you provide priceless tips and tricks by means of this website and in addition increase contribution from website visitors on this area of interest then my daughter is undoubtedly learning a lot of things. Take pleasure in the rest of the new year. You have been conducting a fantastic job.

  19. Awatar Slides Preservation
    Slides Preservation

    You have some helpful ideas! Maybe I should consider doing this by myself.

  20. Awatar Wasserbett
    Wasserbett

    All of us require a lot more this sort of online marketers just like you on the web and also a lot fewer spammers.

  21. Awatar Madison County Passport Offices
    Madison County Passport Offices

    I usually don’t leave blog comments but your blog forced me to, amazing work.

  22. Awatar vakantiehuis beieren
    vakantiehuis beieren

    The opening credits to the film may have actually been more enjoyable than the film itself.

  23. Awatar praca nieruchomości poznań
    praca nieruchomości poznań

    Took me time to read all the comments, but I really enjoyed the article. It proved to be Very helpful to me and I am sure to all the commenters here! It’s always nice when you can not only be informed, but also entertained!

  24. Awatar Wii Homebrew
    Wii Homebrew

    Wii gamers have been able to download the favorite virtual console games from your Wii Shop channel and also install them as channels however menu for a when now, but each download costs some lots of points and everyone believes those points aren’t totally free.

  25. Awatar VLC Player Download
    VLC Player Download

    There’s been a lot of todo’s in my iteranary daily, but I really try to return here and browse a few of your records. Engaging and highly recommended, you might be one of the greatest you can find.

  26. Awatar news
    news

    Beautiful Submit.thank you for have..added hang on .. ;)…

  27. Awatar vakantiehuis zwarte woud
    vakantiehuis zwarte woud

    So much for a well rounded education.

  28. Awatar bike games
    bike games

    Superstition is to faith what astrology is to astronomy the mad daughter of a wise mother. These daughters have too long dominated the earth.

  29. Awatar Audrie Vind
    Audrie Vind

    Nice post I was looking for Great Idea Like That for a While !!!

  30. Awatar colon cleanser
    colon cleanser

    I’ve to admit that i sometimes get bored to read the whole thing but i think you’ll be able to add some value. Bravo !

  31. Awatar news
    news

    Your house is simply valueble on behalf of me. Regards!…

  32. Awatar רישום דומיין
    רישום דומיין

    קידום אתרים עושים רק בחברת קידום אתרים מקצועית כמו חברת נט-סטייל . צרו עמנו קשר על מנת לרכוש שרות של קידום אתרים בגוגל בדרך הטובה ביותר.

  33. Awatar colon cleanse
    colon cleanse

    Very efficiently written information. It is going to be valuable to anybody who usess it, together with myself. Sustain the nice work – for positive i will try more posts.

  34. Awatar Elsie Goodman
    Elsie Goodman

    I am looking forward to diggin more of your great articles.

  35. Awatar Shanika Lagrenade
    Shanika Lagrenade

    Cool

  36. Awatar Wilmington NC Home Remodeling
    Wilmington NC Home Remodeling

    I’m also writing to let you be aware of of the fabulous encounter my cousin’s daughter went through studying the blog. She figured out some pieces, which include what it’s like to possess a great giving mood to get folks effortlessly comprehend a number of grueling things. You actually surpassed our expected results. Thank you for producing those priceless, trusted, revealing and even unique thoughts on that topic to Sandra.

  37. Awatar auto dealer supplies
    auto dealer supplies

    Great site here. Many blogs like this cover subjects that can’t be found in magazines and newspapers. I don’t know how we got by 10 years ago with just magazines and newspapers.

  38. Awatar Andrew Pelt
    Andrew Pelt

    Didn’t know that the right would be that ridiculous but you know sometimes thats what happens and has to happen for you to know

  39. Awatar colon cleanser
    colon cleanser

    What i find troublesome is to find a blog that may seize me for a minute but your weblog is different. Bravo.

  40. Awatar mobile detail supplies
    mobile detail supplies

    Great blog you have here. Lots of websites like this cover subjects that aren’t found in magazines. I don’t know how we got by 15 years ago with just magazines and newspapers.

  41. Awatar Gloria A. Dalton
    Gloria A. Dalton

    Very helpful

  42. Awatar Wasserbett
    Wasserbett

    Good stuff, thanks for posting. I was in fact looking for another thing and this site came up lol

  43. Awatar driving instructor training
    driving instructor training

    How do you fancy getting your personal boss, choosing your own operating hours and meeting new people every day? Would you prefer to make beneficial funds and have the satisfaction of helping persons learn about a thing new? It is quick to determine why a great number of folks from just about every walk of life wish to be a driving instructor.

  44. Awatar central heating pump problems
    central heating pump problems

    This website is known as a stroll-through for the entire information you wished about this and didn’t know who to ask. Glimpse here, and you’ll definitely discover it.

  45. Awatar Michael Ramirez
    Michael Ramirez

    This is certainly a well written article. My only issue is I am seeing an issue with your RSS feed . For some reason I am unable to subscribe to it. Is there anybody have an similar RSS problem? If anybody else is having the same issue please let me know Bragg435@gmail.com.

  46. Awatar breast cancer
    breast cancer

    Like other cancers, the cause of prostate cancer is not really known; it appears to be more common in African american men and men which includes a family history of alcoholism.

  47. Awatar gender predictor quiz
    gender predictor quiz

    Thanks bro

  48. Awatar colon cleanse
    colon cleanse

    Congratulations on possessing certainly one of one of the most subtle blogs Ive arrive throughout in a while! Its simply amazing how a lot you’ll be capable to take into account away from a factor principally merely due to how visually stunning it is. Youve place collectively an incredible weblog web site space –nice graphics, motion pictures, layout. That is certainly a must-see website!

  49. Awatar Christening gifts
    Christening gifts

    Great thanks

  50. Awatar Andra Save
    Andra Save

    I much prefer a place where I could take all muscle building information from one source. Don’t get me wrong, this article is great. I’m going to link this on my site and refer it to others.

  51. Awatar colon cleanse
    colon cleanse

    I’ve recently began a blog, the information you provide on this site has helped me tremendously. Thank you for all of your time & work.

  52. Awatar Sonya Muth
    Sonya Muth

    I’m impressed, I must say. Really hardly ever do I encounter a blog that’s both educative and entertaining, and let me inform you, you might have hit the nail on the head. Your concept is excellent; the difficulty is something that not sufficient persons are talking intelligently about. I am very joyful that I stumbled across this in my search for one thing regarding this.

  53. Awatar here
    here

    Greetings! Very helpful advice on this article! It is the little changes that make the biggest changes. Thanks a lot for sharing!

  54. Awatar coins pictures
    coins pictures

    With an exciting and distinct history, British sovereigns are sought-after by numismatists and collectors.

  55. Awatar Wynajem Autobusu Gdańsk
    Wynajem Autobusu Gdańsk

    I think youve produced some actually interesting points. Not as well many people would truly think about this the way you just did. Im really impressed that theres so a lot about this subject thats been uncovered and you did it so properly, with so very much class. Very good one you, man! Seriously good things here.

  56. Awatar Autobusy Gdańsk
    Autobusy Gdańsk

    We are moved by the way you handled this topic. It’s not frequently I encounter a internet with engaging content articles like yours. I will interest to your feed to remain up to date with your forthcoming revisions. Just striking and do continue up the solid work.

  57. Awatar colon cleanse reviews
    colon cleanse reviews

    My partner and I actually loved studying this weblog submit, I used to be just itching to know do you commerce featured posts? I’m always trying to find somebody to make trades with and merely thought I would ask.

  58. Awatar news
    news

    Your place is without question valueble in my situation. Thanks a bunch!…

  59. Awatar Novella Olano
    Novella Olano

    What i discover troublesome is to find a blog that may seize me for a minute however your blog is different. Bravo.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *