Google
researchers propose way out of the SSL dilemma
5 December 2011, 10:00
Bài được đưa lên
Internet ngày: 05/12/2011
Lời
người dịch: Việc các cơ quan chứng thực CA trong thời
gian vừa qua bị tấn công và lấy đi nhiều chứng thực
đã làm cho sự tin cậy vào các site trên Internet trở nên
khó tin hơn bao giờ hết. Để giải quyết vấn đề này,
Google đã đề xuất biện pháp mới để cải thiện cho
hạ tầng khóa công khai PKI với các HTTPS bằng việc đưa
ra một danh sách công khai tất cả các chứng thực từ
trước tới nay được tất cả các cơ quan chứng thực
CA phát hành để kiểm tra ngay tại thời điểm truy cập
Internet xem chứng thực đang sử dụng có còn hợp lệ hay
không. Nếu là không, thì các trình duyệt web sẽ lập tức
đối xử với chứng thực đó như là không hợp lệ. Xem
thêm: [01],
[02],
[03],
[04],
[05],
[06],
[07].
Trong một tài liệu
có đầu đề Khả năng kiểm toán và Sự minh bạch của
các Cơ quan Chứng thực, các nhà nghiên cứu của Google
Adam Langley và Ben Laurie đã đề xuất các biện pháp mới
cho việc cải thiện độ tin cậy của hạ tầng khóa công
khai (PKI) chống trụ cho HTTPS. Ý tưởng của các nhà
nghiên cứu là dựa vào một danh sách công khai của tất
cả các chứng thực từ trước tới nay được các cơ
quan chứng thực phát hành.
Có 2 vấn đề với
hệ thống hiện hành đối với các site web về an ninh.
Trước hết, nếu một kẻ tấn công có khả năng thâm
nhập trái phép bất kỳ một trong hơn 100 cơ quan chứng
thực (CA) nào và giành được một chứng thực đối với
một máy chủ như ebay.com, thì những người sử dụng đầu
cuối không có cách gì để xác định được sự giả
mạo cả. Thứ 2, cũng không có khả năng đối với một
công ty như eBay xác định rằng một CA đã phát hành một
chứng thực không được quyền cho các máy chủ của
mình.
Các nhà nghiên cứu
tin tưởng rằng một danh sách công khai có thể giúp làm
nhẹ bớt các vấn đề. Bất kỳ khi nào một trang web
HTTPS được truy cập, thì các trình duyệt có thể kiểm
tra chứng thực đó được máy chủ cung cấp nằm trong
các danh sách được công khai đó. Nếu chứng thực đó
không hiện diện, thì trình duyệt có thể hành xử với
nó như là không tin cậy. Các công ty cũng có thể có khả
năng giám sát tích cực các danh sách, cho phép họ phát
hiện ra bất kỳ chứng thực nào được phát hành ra một
cách giả mạo. Các tội phạm mà đã giành được các
chứng chỉ giả mạo có thể không bao giờ còn có khả
năng sử dụng được chúng nữa. Các cây chữ ký của
Merkle có thể được sử dụng để đảm bảo tính toàn
vẹn của các danh sách.
Liệu đề xuất này
sẽ có được triển khai hay không, và nếu có, thì khi
nào, vẫn còn chưa được xác định. Một tiếp cận lựa
chọn thay thế khác - ở dạng Hội tụ mở rộng của
Firefox - đang được chuyên gia an ninh Moxie Marlinspike theo
đuổi.
In
a paper entitled Certificate
Authority Transparency and Auditability, Google researchers Adam
Langley and Ben Laurie have proposed new measures for improving the
trustworthiness of the public key infrastructure (PKI) underpinning
HTTPS. The researchers' idea is based on a public list of all
certificates ever issued by certificate authorities.
There
are two problems with the current system for secure web sites.
Firstly, if an attacker is able to penetrate
any one of the more than 100 certificate authorities and obtain a
certificate for a server such as ebay.com, end users have no way of
spotting the fraud. Secondly, it is also impossible for a company
such as eBay to determine that a CA has issued an unauthorised
certificate for its servers.
The
researchers believe that a public list would help alleviate both
problems. Whenever an HTTPS web page was accessed, browsers would
check that the certificate supplied by the server was on one of these
public lists. If the certificate was not present, the browser would
treat it as untrusted. Companies would also be able to actively
monitor the lists, enabling them to discover any fraudulently issued
certificates. Criminals who managed to obtain fake certificates would
no longer be able to make use of them. Merkle
signature trees would be used to ensure the integrity of the
lists.
Whether
the proposal will be implemented and, if so, over what sort of
timescale, is still undetermined. An alternative approach – in the
form of the Firefox extension Convergence
– is being pursued by security expert Moxie Marlinspike.
(sno)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.