Viholliset varmennustodistukset herättävät kysymystä SSL-luotettavuudesta

Kuluttajina meille on opetettu luottaa selaimemme osoitepalkissa näkyvään riippulukkakuvakkeeseen. Meille on kerrottu, että se on merkki siitä, että tietomme verkkosivustolla on turvallista.

TurkTrust-yhtiö paljasti tällä viikolla, että elokuussa 2011 se antoi vahingossa kaksi pääkäyttäjää kahdelle "yhteisölle". Master-avaimet, joita kutsutaan välivarmistuksiksi, antavat yksiköille mahdollisuuden luoda digitaalisia varmenteita mille tahansa verkkotunnukselle Internetissä.

Digitaaliset varmenteet ovat todellisuudessa salausavaimia, joita käytetään varmistamaan, että verkkosivusto on se, mitä se sanoo. Esimerkiksi pankkitodistus tarkistaa selaimellesi, että olet itse puhunut pankkisi kanssa, kun teet verkkopankkitoimintaa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Sertifikaatteja käytetään salata myös sinun ja verkkosivuston välistä tietoa. Selaimen osoiterivin vihreä riippulukko tarkoittaa sitä. Selaimesi on yhteydessä verkkosivustoon Secure Sockets Layer -palvelun avulla sen aitouden tarkistamisen jälkeen.

Internetin väärinkäyttäjä, jolla on väärä todistus, joka voi siepata viestisi sinusta ja luotettavasta verkkosivustosta, saattaa hämätä selaimesi uskomalla siihen, että se on yhteydessä luotettavaan sivustoon ja kaapata viestintänne. Se on nimeltään "mies keskellä hyökkäys", koska varas istuu sinusta ja luotettavasta sivustosta.

Virhe vahvistettu, ongelma jatkuu

TurkTustin virhe löytyi Googlelta jouluaattona sen Chrome-selaimessa alusta, joka nostaa punaisen lipun Googlelle, kun joku yrittää käyttää alustaa jolla on luvaton varmenteita.

Todistuksen todistamisen jälkeen Google ilmoitti tilanteen TurkTrusta, samoin kuin Microsoft ja Mozilla, jotka ovat kaikki muuttaneet selaimissaan estää välivarmennusviranomaisen kanssa luodut väärennöstodistukset

Tämä varmenne on vain viimeisin merkki siitä, että nykyisten digitaalisten varmenteiden myöntämisjärjestelmä on parannettava. Esimerkiksi maaliskuussa 2011 sertifikaatin myöntävän viranomaisen Comodan kanssa solmittu yritys loukkaantui ja 9 väärennettyä sertifikaattia myönnettiin.

Seuraavana vuonna hakkerit rikkasivat hollantilaista varmentamisviranomaista DigiNotar ja myönsivät kymmeniä väärennettyjä todistuksia, joista yksi oli Google.

Wanted: Seuraavan sukupolven turvallisuus

Useita ehdotuksia on lähetetty todistuksia koskevien turvallisuusongelmien ratkaisemiseksi.

There is Convergence. Sallii selaimen saada toisen mielipiteen käyttäjän valitseman lähteen todistuksesta. "Se on loistava idea, mutta heti kun olet päässyt yritysverkkoon ja olet proxyn taakse tai verkkokääntäjän takana, se voi rikkoa", kertoi haastattelussa Cevel Wisniewski, turvallisuusneuvonantaja Sophosissa.

On DNSSEC. Se käyttää verkkotunnuksen nimeytysratkaisujärjestelmää - järjestelmää, joka muuttaa verkkosivujen yleiset nimet numeroiksi - luodaan luotettava linkki käyttäjän ja verkkosivuston välillä. Järjestelmä ei ole helppo ymmärtää, mutta sen toteuttaminen voi kestää vuosia.

"DNSSEC: n ongelma edellyttää uuden tekniikan ja infrastruktuurin koordinoidun päivityksen käyttöönottoa ennen kuin voimme hyödyntää sitä", Wisniewski sanoi. "Hyväksymisprosentit, joita olemme nähneet tähän mennessä, tarkoittaa, että meillä ei ole ratkaisua kymmenen tai 15 vuoden ajan. Se ei ole tarpeeksi hyvä."

Lisäksi ehdotetaan kahta "pinning" -tekniikkaa: Public Key Pinning Laajennus HTTP- ja Trusted Assertions for Certificate Key -työkaluille (TACK), jotka ovat samankaltaisia.

Ne sallivat verkkosivuston muuttaa HTTP-otsikkoa tunnistamaan varmenteen myöntävät viranomaiset. Selaimella tallennetaan nämä tiedot ja luodaan vain yhteys verkkosivustoon, jos se vastaanottaa verkkosivustolla luotettavan varmenteen allekirjoittaneen varmenteen.

Wisniewskin mukaan pylööintiehdotukset ovat todennäköisimmin hyväksytty sertifikaattiongelman korjaamiseksi. "Ne voitaisiin hyväksyä lyhyessä järjestyksessä", hän sanoi. "Ne sallivat ihmisten, jotka haluavat hyödyntää kehittynyttä tietoturvaa, tekevät niin heti, mutta se ei rikkoa olemassa olevaa verkkoselainta, jota ei ole päivitetty."

Mikä tahansa selaimen tekijät hyväksyvät varmenteen ongelman ratkaisemiseksi, he tarvitsevat tee se pian. Muussa tapauksessa snafus jatkaa lisääntymistä ja luottamus Internetiin voi vahingoittaa peruuttamattomasti.