Un equipo de investigadores y académicos de seguridad y académicos de seguridad ha roto una pieza central de tecnología de Internet. Hicieron públicos su trabajo en el 25º Congreso de Comunicación del Caos en Berlín hoy. El equipo pudo crear una Autoridad de Certificate Rogue y usarlo para emitir certificados SSL válidos para cualquier sitio que deseen. El usuario no tendría ninguna indicación de que su conexión HTTPS estuviera siendo monitoreada / modificada.
Este ataque es posible debido a un defecto en MD5. MD5 es un algoritmo de hash; Cada archivo distinto tiene un hash distinto. En 2004, un equipo de investigadores chinos demostró crear dos archivos diferentes que tenían el mismo hash MD5. En 2007, otro equipo mostró ataques teóricos que aprovecharon estas colisiones. El equipo se centró en los certificados SSL firmados con MD5 para su explotación.
El primer paso fue hacer algunas exploraciones amplias para ver qué autoridades de certificación (CA) emitieron certificados firmados MD5. Recogieron 30k Certs de Firefox Trusted CAS. 9k de ellos fueron firmados MD5. El 97% de los que vinieron de RapidSSL.
Habiendo seleccionado su objetivo, el equipo necesitaba generar su certificado pícaro para transferir la firma a. Emplearon el poder de procesamiento de 200 PlayStation 3S para hacer el trabajo. Para esta tarea, es el equivalente a 8000 núcleos de CPU convencionales o $ 20k de la época de Amazon EC2. La tarea lleva ~ 1-2 días para calcular. La parte desafiante fue conocer el contenido del certificado que sería emitido por RapidSSL. Necesitaban predecir dos variables: el número de serie y la marca de tiempo. Los números de serie de RapidSSL fueron todos secuenciales. Desde la prueba, sabían que RapidSSL siempre firmaría seis segundos después de que se reconociera la compra. Conocer estos dos hechos, pudieron generar un certificado en el avance y luego comprar el certificado exacto que querían. Comprarían certificados para adelantar el número de serie y luego comprarán en la hora exacta que calcularon.
El CERT se emitió a su dominio particular, pero debido a que controlaban el contenido, cambiaron las banderas para hacerse una autoridad de certificación intermedia. Eso les dio autoridad para emitir cualquier certificado que querían. Todos estos certificados “válidos” se firmaron utilizando SHA-1.
Si le devolvió el reloj hasta antes de agosto de 2004, puede probar su sitio de demostración en vivo. Esta vez es solo una medida de seguridad y seguridad para el ejemplo y esto funcionaría de manera idéntica con un certificado que no ha caducado. Hay un sitio de proyecto y un artículo mucho más completo que esto.
Para solucionar esta vulnerabilidad, todas las CAS ahora están utilizando SHA-1 para la firma y Microsoft y Firefox estarán en la lista negra de Black’s Rogue CA en sus productos de navegador.