трънки и блогинки

TurkTrust: Поредната PKI драма

Написано на: 04.01.2013 · 5 коментара

Забавлявам се с поредната PKI сапунка, която показва колко малко доверие може да се има в настоящата системата за идентификация и защита на комуникациите онлайн.  Турският удостоверител TurkTrust издал „без да иска“ два междинни SubCA сертификата на неясно кого. На практика, това означава, че притежателите на тези междинни сертификати имат техническите средства да прихванат всяка комуникация, която уж трябва да е защитена чрез https. Тази възможност не е останала само на теория, а и така са ги усетили – издаден е бил сертификат на gmail.com.

Началното съобщение e от екипа на Google. Там работят Adam Langley и Ben Laurie,  ако темата ви е интересна – те са задължителни. Изявлението на Mozilla е кратко и ясно – вече не ви вярваме, няма и да ви вярваме за напред. Microsoft също издават advisory, което означава, че ще последват Chrome и Firefox. Подробно обяснение и коментар може да намерите от FreedomToThinker, от където може да стигнете и до версията на представител на TurkTrust.

По-труден е въпросът „Какво да се прави?“ Възможността е ясна, илюстрирана е с многозначителни примери, логично е да се очаква да е експлоатирана значително повече.  Лекцията  на 29c3, озаглавена Certificate Authority Collapse, съдържа интересни подробности около драмата с Diginotar, както и въпроси дали ЕС не трябва да се намеси. Може да прочетете и свързаната с нея публикация (да, сертификата на SSRN сигурно е ироничен). Друг конструктивен вариант е и предложението за Sovereign Keys, изложено на 28c3 от Peter Eckersley от EFF.

Някой да е срещал по-добри идеи?

Категория: всякакви

5 коментара ↓

  • Хубаво ми е, когато хората коментират. Чета внимателно всеки коментар и отговарям, когато имам какво да кажа.

  • Васил Колев на 04.01.2013г. в 20:29ч.

    Специално в internet-базирания случай, DNSSEC? Би трябвало да реши поне тоя проблем, че всеки, който може да подписва може да подписва всичко.

  • пейо на 05.01.2013г. в 10:27ч.

    @ Васил Колев
    Поне аз съм разбирал DNSSEC като още един канал, за същата информация, а не като начин да се оправи съществуващата PKI система.

  • Васил Колев на 05.01.2013г. в 14:31ч.

    Не мисля, че има особена надежда за текущата PKI система, понеже да се вкара сериозна промяна в нея значи да се променят твърде много неща, тва ще е почти като вкарването на ipv6. Не се сещам и за някакво съществуващо предложение, което да я замести…

  • Делян на 08.01.2013г. в 21:43ч.

    Има алтернатива. Писъл съм в блога ми:

    http://krustev.net/w/blog/SSL_authorities_must_not_be_trusted/

    DNSSec e flawed by design ..

  • Anonymous на 08.01.2013г. в 22:19ч.

    тук пуши ли се?