Thứ Năm, 3 tháng 11, 2011

Bằng chứng tiếp tục về thâm nhập cơ quan chứng thực CA


Further evidence of Certificate Authority break-ins
27 October 2011, 18:17
Bài được đưa lên Internet ngày: 27/10/2011

Trong số những thứ khác, sự gia tăng sắc nhọn trong những thu hồi chứng thực từ việc sử dụng các công nghệ mã hóa.
Nguồn: Quỹ Biên giới Điện tử EFF
Among other things, the sharp rise in certificate revocations has been caused by the increased use of encryption technologies.
Source: Electronic Frontier Foundation (EFF)
Lời người dịch: Đã có nhiều thu hồi chứng thực số trong 4 tháng trở lại đây tại các cơ quan chứng thực số CA. “CA thu hồi các chứng thực vì nhiều lý do - ví dụ, khi các khách hàng đóng bộ phận kinh doanh (ngừng hoạt động) hoặc đánh mất khóa bí mật (tổn thương khóa). Điều đáng lưu ý là bao gồm 248 trường hợp trong các CRL nơi mà lý do được nêu là CA có trách nhiệm đã bị tổn thương. Tới tháng 06/2011, chỉ 55 chứng thực đã bị thu hồi vì lý do này. Gần 200 chứng thực đã bị thu hồi kể từ đó đã được 5 CA khác nhau phát hành”. Xem thêm thông tin về CA ở đây.
Trong một bài báo đặc biệt về an ninh của SSL, Peter Eckersley từ EFF đã nói rằng ít nhất 5 cơ quan chứng thực CA đã bị tổn thương trong vòng 4 tháng qua. Eckersley đã trích thông tin này từ các danh sách thu hồi mà các CA đã đưa ra. Những “Danh sách Thu hồi Chứng thực” CRL này chứa các chứng thực có thể không còn được xem là hợp lệ nữa. CA thu hồi các chứng thực vì nhiều lý do - ví dụ, khi các khách hàng đóng bộ phận kinh doanh (ngừng hoạt động) hoặc đánh mất khóa bí mật (tổn thương khóa). Điều đáng lưu ý là bao gồm 248 trường hợp trong các CRL nơi mà lý do được nêu là CA có trách nhiệm đã bị tổn thương. Tới tháng 06/2011, chỉ 55 chứng thực đã bị thu hồi vì lý do này. Gần 200 chứng thực đã bị thu hồi kể từ đó đã được 5 CA khác nhau phát hành.
Điều này có nghĩa là, trong vòng 4 tháng, các tin tặc đã gây tổn thương cho ít nhất 5 CA để phát hành các chứng thực không hợp lệ. Và rằng điều này chỉ là tối thiểu tuyệt đối. Trong đa số các trường hợp - hơn 900.000 tổng số - nhà cấp phát CRL chọn không điền đầy trường nơi mà một lý do có thể được đưa ra. Những thâm nhập trái phép vào các CA là vấn đề vì bất kỳ CA tin cậy nào cũng có thể phát hành các chứng thực cho bất kỳ trang web nào. Các trình duyệt sẽ chấp nhận chúng mà không có yêu sách nào - và rằng áp dụng cho Gmail cũng nhiều như cho cơ sở ngân hàng trực tuyến của ngân hàng Deutsche Bank. Theo cơ quan Giám sát SSL, các trình duyệt tin cậy hơn 600 CA trong hơn 50 quốc gia.
In a feature article on the security of SSL, Peter Eckersley from the Electronic Frontier Foundation has said that at least five Certificate Authorities (CAs) have been compromised in the past four months. Eckersley extracted this information from the revocation lists that are released by the CAs.
These "Certificate Revocation Lists" (CRLs) contain certificates that can no longer be considered valid. CAs revoke certificates for a variety of reasons – for example, when customers close down a business division (cessation of operation) or lose their secret key (key compromise). What was notable was the inclusion of 248 cases in the CRLs where the stated reason was that the responsible Certificate Authority had been compromised. Up to June 2011, only 55 certificates were revoked for this reason. The nearly 200 certificates that have been revoked since then were issued by five different CAs.
This means that, within only four months, hackers compromised at least five CAs in order to issue unauthorised certificates. And that is only the absolute minimum. In the large majority of cases – over 900,000 in total – the CRL issuer chose not to fill in the field where a reason can be given. Such CA intrusions are problematic because any of the accredited Certificate Authorities can issue certificates for any web page. Browsers will accept them without complaint – and that applies to Gmail as much as to Deutsche Bank's online banking facility. According to SSL Observatory, our browsers trust more than 600 CAs in over 50 countries.
Dịch tài liệu: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.