立即领取|华润集团、宁德核电、东风岚图等 20+ 标杆企业数字化人才培养实践案例 了解详情
写点什么

MD5 缺陷可能损害 SSL 安全

  • 2009-01-07
  • 本文字数:845 字

    阅读完需:约 3 分钟

使用来自特定 CA 的 X.509 证书,会使基于 SSL 的安全措施即使在“安全”连接之下,也容易受到伪造 X.509 证书的欺骗而防范不住仿冒网站。近日在柏林举办的 Chaos 会议上,演讲者通过仿冒一份真实的证书演示了这一漏洞。

“让理论成为可能,有时候唯有这样才能推动变革,保障互联网的安全。”这番话是 2008 年 12 月 29 日第 25 届 Chaos Communication Congress 上一篇"MD5 Considered Harmful Today: Creating a rogue CA certificate"演讲的结论。演讲者介绍了他们如何用2004 年提出的理论上可行的MD5 签名攻击方法,构造出伪造的证书,从而实现对SSL 安全网站“完美的中间人攻击”。

攻击的原理是这样的:SSL 服务器用X.509 证书来证明自己的身份,证书由“受信任的证书签发机构”或称CA 发出。签发机构在证书上“签名”,用的是通过一种密码算法产生的散列值。而所用密码算法在设计上要使从两组不同数据得到同一个散列值——即“碰撞”——的概率极其小。

要实现攻击,攻击者需要先从使用MD5 算法签署证书的CA 购买若干SSL 证书。利用从这几张证书中得到的信息,有可能构造出貌似合格的伪造的证书。证书的签名来自先前购买的证书,内容却不同,并且添加了特别计算出来的数据块以制造碰撞 。因此MD5 算法会错误地认为签名与新内容是匹配的。效果上就好像在一份有真实签名的白纸上写上内容来伪造信件。

证书伪造出来后,就可以用在“中间人”攻击里。有了证书,就可以设置一个SSL 连接双方都认为合法的代理。通过这个代理,所有加密信息都可以被攻击者捕获并保存下来。

这种攻击要求很大的运算量,但技术进步和摩尔定律已经使碰撞证书运算成为可行的现实。在演讲者的例子中,运算大约需要在Amazon EC2 云花费$2000,也可以用 PS3 游戏机集群搭建的“家用超级计算机”解决。

这种攻击并不意味着整个互联网或者 SSL 安全已经被突破,但的确意味着厂商应该不再用 MD5 作为签名算法。演讲者提醒了几家仍然有 MD5 签名证书处于生效状态的签发机构。

查看英文原文: MD5 Exploit Potentially Compromises SSL Security

2009-01-07 19:351790
用户头像

发布了 225 篇内容, 共 63.4 次阅读, 收获喜欢 50 次。

关注

评论

发布
暂无评论
发现更多内容

生成式AI领先,实现客服机器人真智能

百度开发者中心

人工智能 机器人 生成式AI 文心一言

iOS上架审核宝典:注意事项与实用工具分享

雪奈椰子

ios打包 IPA上传

生成式AI助力文学艺术创作

百度开发者中心

人工智能 艺术 文心一言

校源行丨开放原子开源基金会赴吉林大学走访交流

开放原子开源基金会

何积丰:数智经济拥抱AI大模型

用友BIP

2023全球商业创新大会

用友Fast by BIP领先实践全景图公布!

用友BIP

Fast by BIP 2023全球商业创新大会

GaussDB技术解读:应用无损透明(ALT)

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 8 月 PK 榜

C和C ++ IDE代码编辑器CLion 2023 激活码最新v2023.2

mac大玩家j

代码编辑器 Mac软件 代码编辑 编辑代码

探索MySQL到SelectDB的实时数据同步技术

NineData

数据同步 SelectDB NineData 同步工具 数据延迟

校源行丨开放原子开源基金会赴哈尔滨工程大学走访交流

开放原子开源基金会

程序员常逛的17 个杀手级网站

专注前端开发

前端 大前端 网站

众智引领未来:2023中国高校计算机大赛——大数据挑战赛冠军揭晓

云智慧AIOps社区

人工智能 算法 日志分析 计算机 模型

软硬件双向驱动 英特尔加速AI on PC落地

E科讯

2023开源和信息消费大赛新闻发布会在京召开

开放原子开源基金会

业务需要咨询?开发遇到bug想反馈?开发者在线提单功能上线!

荣耀开发者服务平台

开发者 在线客服 工单 技术支持

Microsoft Outlook 2021 for mac v16.76.2中文版

mac

苹果mac Windows软件 Outlook2021

【华为云828企业节上福利】软件开发工具升级版免费套餐重磅上线

华为云PaaS服务小智

软件开发 华为云 CodeArts

宁高宁:数智企业,一流企业

用友BIP

2023全球商业创新大会

MD5缺陷可能损害SSL安全_安全_Charlie Martin_InfoQ精选文章