Wiadomości
EFF chce wzmocnić PKI
23 listopada 2011 13:30,
Antoni Steliński
Organizacja Electronic Frontier Foundation (EFF) zaproponowała rozszerzenie łańcucha certyfikacji SSL o nowe komponenty, których zadaniem będzie wzmocnienie bezpieczeństwa protokołów zabezpieczających wykorzystywanych w Internecie.
Zobacz też:
Jednym z głównych problemów obowiązującego dziś modelu infrastruktury klucza publicznego (Public Key Infrastructure, PKI) jest właśnie brak kontroli nad wydawcami certyfikatów i ich przedstawicielami. Na świecie działają obecnie setki organizacji zajmujących się wydawaniem certyfikatów dla domen. Co więcej - niektóre z nich są zarządzane przez lokalną administracją rządową, która niejednokrotnie stosuje różne formy cenzury czy monitorowania Internetu.
Klucze suwerenne mają rozwiązać ten problem - pozwolą właścicielom domen podpisywać wydane przez dostawców certyfikaty ich własnym, prywatnym kluczem (co zapewni dodatkowe bezpieczeństwo). Informacje o takich powiązaniach będą przechowywane na specjalnych serwerach (tzw. timeline servers).
Specyfikacja SK - dostępna na razie w fazie projektowej - przewiduje, że przeglądarki będą z definicji ufały jedynie najnowszym wpisom na serwerach timeline, zaś w razie jakichkolwiek problemów z bezpieczeństwem, właściciel klucza suwerennego będzie mógł łatwo odwołać lub zmodyfikować owe powiązania.
Dzięki takiemu modelowi funkcjonowania PKI, liczba potencjalnie narażonych na atak punktów spadnie z setek (liczba wystawców certyfikatów) do ok. 30 (bo tyle serwerów timeline przewiduje projekt przedstawiony przez EFF). Projekt przewiduje też, że w przypadku wykrycia na którymkolwiek z serwerów jakiejkolwiek złośliwej zawartości czy aktywności, będzie on automatycznie odłączany - (wszystkie maszyny wysyłające zapytania będą go ignorowały).
Od czasu głośnych włamań do firm Comodo oraz Diginotar wielu specjalistów zaczęło zastanawiać się, jak można usprawnić obowiązujący dziś system zabezpieczania transmisji danych w Internecie. Jednym z zaproponowanych rozwiązań jest tzw. public key pinning (zaprezentowany na konferencji Internet Engineering Task Force - IETF w Taipei), czyli system wykorzystujący specjalne nagłówki http informujące przeglądarki o przeznaczeniu i wystawcy certyfikatu. Powinien on w znacznym stopniu utrudnić przeprowadzanie ataków, ponieważ uniemożliwia przestępcom generowanie zaufanych certyfikatów - chyba, że zdołają oni włamać się do dostawcy z grupy zaakceptowanej przez atakowaną domenę.
To rozwiązanie ma jednak również pewne wady - działa jedynie w przypadku HTTPS, co znaczy, że nie można wykorzystać go do zabezpieczenia innych protokołów (np. SMTP over SSL, POP over SSL, IMAP over SSL czy XMPP). Krytycy zwracają też uwagę, że w systemie tym nie przewidziano transparentnego i prostego sposobu anulowania certyfikatów, których bezpieczeństwo naruszono.
System oparty na kluczach suwerennych ma również nie być obarczony problemem z błędnym rozpoznawaniem certyfikatów SSL (zarówno uznawaniem wadliwych za poprawne, jak i vice versa) pojawiającym sie w innym rozwiązaniu modelu PKI - Convergence. W Convergence przeglądarka próbująca nawiązać połączenie HTTPS sprawdza certyfikaty nie tylko u ich wystawcy, ale również w tzw. notariatach. Jeśli certyfikaty otrzymane przez przeglądarkę i notariat różnią się, jest to wyraźna przesłanka, że trwa właśnie atak typu man-in-the-middle i połączenie jest blokowane.
Moxie Marlinspike - autor Convergence - jest jednak nastawiony do propozycji EFF sceptycznie. Jego zdaniem ów projekt wymaga bowiem zbyt wielu modyfikacji obowiązującego dziś modelu SSL/TLS.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Microsoft Office 15 będzie obsługiwał standard ODF 1.2
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...