Further
evidence of Certificate Authority break-ins
27 October 2011, 18:17
Bài được đưa lên
Internet ngày: 27/10/2011
Trong số những thứ khác, sự gia tăng sắc nhọn trong những thu hồi chứng thực từ việc sử dụng các công nghệ mã hóa.
Nguồn: Quỹ Biên giới
Điện tử EFF
Among
other things, the sharp rise in certificate revocations has been
caused by the increased use of encryption technologies.
Source: Electronic Frontier Foundation (EFF)
Source: Electronic Frontier Foundation (EFF)
Lời
người dịch: Đã có nhiều thu hồi chứng thực số trong
4 tháng trở lại đây tại các cơ quan chứng thực số
CA. “CA thu hồi các chứng thực vì nhiều lý do - ví dụ,
khi các khách hàng đóng bộ phận kinh doanh (ngừng hoạt
động) hoặc đánh mất khóa bí mật (tổn thương khóa).
Điều đáng lưu ý là bao gồm 248 trường hợp trong các
CRL nơi mà lý do được nêu là CA có trách nhiệm đã bị
tổn thương. Tới tháng 06/2011, chỉ 55 chứng thực đã
bị thu hồi vì lý do này. Gần 200 chứng thực đã bị
thu hồi kể từ đó đã được 5 CA khác nhau phát hành”.
Xem thêm thông tin về CA ở
đây.
Trong một bài báo đặc
biệt về an ninh của SSL, Peter Eckersley từ EFF đã nói
rằng ít nhất 5 cơ quan chứng thực CA đã bị tổn thương
trong vòng 4 tháng qua. Eckersley đã trích thông tin này từ
các danh sách thu hồi mà các CA đã đưa ra. Những “Danh
sách Thu hồi Chứng thực” CRL này chứa các chứng thực
có thể không còn được xem là hợp lệ nữa. CA
thu hồi các chứng thực vì nhiều lý do - ví dụ, khi các
khách hàng đóng bộ phận kinh doanh (ngừng hoạt động)
hoặc đánh mất khóa bí mật (tổn thương khóa). Điều
đáng lưu ý là bao gồm 248 trường hợp trong các CRL nơi
mà lý do được nêu là CA có trách nhiệm đã bị tổn
thương. Tới tháng 06/2011, chỉ 55 chứng thực đã bị thu
hồi vì lý do này. Gần 200 chứng thực đã bị thu hồi
kể từ đó đã được 5 CA khác nhau phát hành.
Điều này có nghĩa
là, trong vòng 4 tháng, các tin tặc đã gây tổn thương
cho ít nhất 5 CA để phát hành các chứng thực không hợp
lệ. Và rằng điều này chỉ là tối thiểu tuyệt đối.
Trong đa số các trường hợp - hơn 900.000 tổng số - nhà
cấp phát CRL chọn không điền đầy trường nơi mà một
lý do có thể được đưa ra. Những thâm nhập trái phép
vào các CA là vấn đề vì bất kỳ CA tin cậy nào cũng
có thể phát hành các chứng thực cho bất kỳ trang web
nào. Các trình duyệt sẽ chấp nhận chúng mà không có
yêu sách nào - và rằng áp dụng cho Gmail cũng nhiều như
cho cơ sở ngân hàng trực tuyến của ngân hàng Deutsche
Bank. Theo cơ quan Giám sát SSL, các trình duyệt tin cậy hơn
600 CA trong hơn 50 quốc gia.
In
a feature article on
the security of SSL, Peter Eckersley from the Electronic Frontier
Foundation has said that at least five Certificate Authorities (CAs)
have been compromised in the past four months. Eckersley extracted
this information from the revocation lists that are released by the
CAs.
These
"Certificate Revocation Lists" (CRLs) contain certificates
that can no longer be considered valid. CAs revoke certificates for a
variety of reasons – for example, when customers close down a
business division (cessation of operation) or lose their secret key
(key compromise). What was notable was the inclusion of 248 cases in
the CRLs where the stated reason was that the responsible Certificate
Authority had been compromised. Up to June 2011, only 55 certificates
were revoked for this reason. The nearly 200 certificates that have
been revoked since then were issued by five different CAs.
This
means that, within only four months, hackers compromised at least
five CAs in order to issue unauthorised certificates. And that is
only the absolute minimum. In the large majority of cases – over
900,000 in total – the CRL issuer chose not to fill in the field
where a reason can be given. Such CA intrusions are problematic
because any of the accredited Certificate Authorities can issue
certificates for any web page. Browsers will accept them without
complaint – and that applies to Gmail as much as to Deutsche Bank's
online banking facility. According to SSL Observatory, our browsers
trust more than 600
CAs in over 50 countries.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.