Názory k článku Totálně nebezpečné certifikáty s MD5
-
trin (neregistrovaný)Kdyz si prectes svoji smlouvu s bankou, zjistis, ze pokud se banka mohla domnivat, ze sis penize vybral ty, tak zadnou nahradu nedostanes. Proste banka neruci za to, ze ji nekdo oklame a vybere si tvoje penize. To plati pro internetove bankovnictvi i osobni vyber z uctu.
Takze te to celkem zajimat musi :-) -
milan (neregistrovaný)hm, ved to, da sa proti tomu nejako branit?
akoze ani doteraz certifikaty neboli 100% bezpecne, hlavne ked niekto zrobil man in the midle attack(tak sa to vola?) s ssl klucmi. Ale to som bral tak, ze clovek si musi dat pozor na certifikaty a ked sa prehliadac opyta, ze ci akceptujem certifikat od banky, tak by som mal byt opatrny.
Ale teraz? Ked niekto zrobi uplnu kopiu certifikatu z banky, ako to zistim? Ako sa proti takymto technikam v danom stave branit? -
Leoš (neregistrovaný)Bránit se proti útoku na funkci MD5 lze jednoduše - prostě tuto funkci nepoužívat. Všechny CA co jsem teď rychle ověřil (Verisign, Thawte, česká 1. CA) podepisují dnes už v certifikátech SHA1 hash místo toho nebezpečného MD5 hashe. Ne že by SHA1 bylo nějak superbezpečné, ale aspoň na něj zatím nejsou publikované takové známé útoky jako na MD5.
-
milan (neregistrovaný)hm, netusim, ako to prelozili pani a damy z lokalizacneho oddelenia v ms, samozrejme, ze ie na stranky mimo intranetu nepouzivam a ked aj, nemam cesku ani slovensku verziu ie, takze ti nepomozem
v kazdom pripade vo firefoxe mi pri vsetkych certifikatoch vypisuje aj SHA1 aj MD5 -
yato (neregistrovaný)Fingerprint či miniatura je neco jineho - to se pocita az z hotoveho certifikatu a není jeho součástí. To co je napadnuto je Signature algorithm toho certifikátu: třeba v IE sha1RSA = Firefox: SHA-1 With RSA Encryption.
Jak v IE tak ve Firefoxu jsem nalezl i md5RSA podepsané certifikáty v seznamu autorit. -
Mikuláš Patočka (neregistrovaný)Nijak se netřeba bránit. Pokud si certifikát vyrobíš sám z náhodných čísel nebo ti ho vyrobí důvěryhodná banka, žádné nebezpeční nehrozí. Nebezpečí by hrozilo, kdyby ti certifikát vyrobil někdo nedůvěryhodný a pak ti ho dal (pak by si mohl současně s ním udělat potají několik klonů).
-
Mikuláš Patočka (neregistrovaný)Ono tohle by znamenalo nebezpečí pro certifikační autority --- pokud dejmetomu někdo pošle autoritě k podpisu certifikát na www.mojewwwstranka.cz, tak si paralelně s tím může potají vyrobit certifikát třeba na ib24.csob.cz, a ten podpis na něj bude platit též --- pak ho může pomocí man-in-the-middle podstrčit. Obrana proti tomu je při přístupu do banky kontrolovat ten fingerprint, nespoléhat se na to, že když je to podepsáno od nějaké autority, tak je to důvěryhodné.
Když se do té banky budeš hlásit "nebezpečným" způsobem bez jakékoli autority (s tím varovným oknem, že identitu serveru nelze ověřit --- fingerprint si ověříš např. telefonem), tak to bude paradoxně bezpečnější, protože WWW browser si uloží rovnou klíč banky, který nejde nijak naklonovat, a nebude spoléhat na žádnou autoritu.
Taky dotyčný útočník bude mít problém, že certifikační autorita bude znát jeho identitu (aby mu nějaký podpis vůbec vydala) a tak bude jednoduché ho najít a zavřít. -
papouch (neregistrovaný)nevim jestli jsem dobre pochopil, omluvte stareho cloveka...
Znamena to v praxi, ze kdyz mam certifikat, kde (treba ve Firefoxu) "algoritmus podpisu certifikace" = "PKCS #1 MD5 se šifrováním RSA", dal by se "naklonovat" tak ze se vsechny udaje zmeni a na spravny hash se to pak "dorovna" pomoci zmeny verejneho klice?
Jinak receno, kdyz je jeden opravdovy certifikat od Thawte, da se jich v ramci toho jednoho MD5 hashe vyrobit kolik kdo chce? -
Já si Vašeho názoru vážím, a navíc máte pravdu. Nicméně jsem se při psaní názvu musel nějak rozhodnout. Když se podíváte na diskusi, jde nakonec jen o peníze. Banky je potřeba držet ve střehu, MS aj. giganty taky. Podívejte se, jak dlouho trvá, než nějaký nebezpečný kryptografický nástroj vyřadí. Je potřeba, aby takové zprávy četli a vzdělávali se. Je to určeno taky uživatelům, aby se na základě toho ptali, jak je co bezpečné a byli také trochu ve střehu. Kdyby se to nedělalo, tak dodnes šifrujeme pomocí jednoduché substituce a na phishingové dopisy by naletělo 99% lidí místo dnešních několika procent. Takže titulek není zcela v pořádku, nicméně obsah a ta diskuse ano.
Zkusím jiný titulek: "Nový útok na MD5 není využitelný k nabourání se do internetbankingu České spořitelny, KB a dalších." Jenže tohle zrovna nemůžu tvrdit, protože nevím, jestli se ta vlastnost nedá nějak využít. A nemusí to jít ani přes certifikáty. Článek vlastně informuje o tom, co je na MD5 špatné a špatnější než dříve. Když se podíváte na to, co se dalo vymyslet za útoky s jedinou kolizí MD5, potom s možností je generovat pro různé IV (viz například "Dejte mi jakékoliv tři soubory a já Vám vrátím libovolné jiné tři se stejnou haší" na http://cryptography.hyperlink.cz/2004/kolize_hash.htm), tak tahle referovaná vlastnost bude mít určtitě ještě nějaké další "zajímavé" využití (na distribuci SW se zadními vrátky stačí ta předchozí...). Titulek jsem směroval na certifikáty, protože tady je demonstrováno, že jsou nabourány základní vlastnosti certifikátu.
Nejde ale jen o certifikáty. Hašovací funkce se používají mnoha způsoby (v kódu Windows bylo nalezeno 150 zdrojových kódů MD5). Každá vlastnost, která je odlišuje od náhodného orákula, je z teoretického hlediska odepisuje. MD5 byla teoreticky odepsána už mnohokrát. V praxi je to pořád jinak. Nejsem zavilý teoretik (živím se praxí) takže pro ty, kdo nemohou MD5 vyhodit (v různých HW, firmwarech apod.) a mohou jen volat funkci MD5, jsem dokonce navrhl konstrukci, aby i tak ještě nějakou dobu mohli s ní existovat. Všechny současné útoky na MD5 a mnoho dalších lze odvrátit konstrukcí MD5(IV, MD5(IV, const1,m), MD5(IV,const2,m) ) místo MD5(IV,m). Je to dvakrát pomalejší (u dlouhých zpráv) a cca třikrát u krátkých zpráv, ale můžete využít volání standardní funkce MD5 v knihovně, firmwaru apod. Zprávu m začnete hašovat dvakrát, jednou ji předřadíte konstantní blok const1, podruhé const2. Na zřetězení obou výsledků pak ještě jednou zavoláte MD5. -
--==[FReeZ]==-- (neregistrovaný)Nechapu jak se muze na takovem portalu, jako je root.cz objevit primo v clanku slovo "haš", kdyz pritom by to melo byt hash. To uz rovnou muze byt v clanku priste napsano neco jako "mesedž", "džouk", "njus letr", atp. Jinak zde neni zadny problem, MD5 lze nahradit napriklad za SHA1, ale muzeme pak pocitat se snizenim vykonu, protoze SHA1 je pomalejsi, nez MD5.
-
Nic si z toho nedělejte, já nechápu taky spoustu věcí. Haš se v českém jazyce používá jako synonymum hash. Hašovací funkce, hašovací kód, hašování, to vše je správně česky, můžete si to ověřit u Ústavu pro jazyk český. Tuto terminologii také učím studenty na MFF UK.
Pokud nepracujete přímo v oboru bezpečnosti IS/IT, zcela určitě se haš jeví divně. Uznávám, a vážím si toho, že o tom chcete seriózně diskutovat.
Naproti tomu zase enkrypce působí divně na mě, když máme české slovo šifrování. A přesto se enkrypce stala neologizmem a přejde do spisovné češtiny :-( Nicméně já ho používat nebudu. Podobně je to s haší, hašovacím kódem, hašovací funkcí, když se vám nelíbí, používejte: hash, hashovací kód, máme dvě hashe, nějaké hashovací funkce,... -
Jezz (neregistrovaný)Uz tady ten dotaz byl, ale ptam se znovu - jak je to tedy s hesly v linuxu sifrovanymi pomoci MD5?
Myslim, ze jsem pochopil, o jaky typ zranitelnosti se jedna, takze nehrozi prozrazeni supersilneho hesla, ale jak je nyni vypocetne narocne najit "text", ktery by odpovidal retezci v shadow? Imho by to melo byt ekvivalentni vyrobeni druheho "praveho" certifikatu. Je lepsi se vratit k 3DES, ktery ma omezenou delku pouzite casti hesla na 8 znaku, ci existuje jina varianta (SHA-1,...) pro hesla? -
K danému certifikátu neumíme efektivně najít druhý certifikát, jejichž těla mají stejný hašovací kód. K danému hašovacímu kódu neumíme efektivně najít zprávu, která na něj vede. Složitost takového postupu je dnes totiž řádově 2^128 pro MD5.
Něco jiného je kolize. Tam není nic daného, tam si útočník vše volí sám.
Jinými slovy, prolomit "jednocestnost" neumíme, prolomit "bezkoliznost" umíme.
Ukládání hesel pomocí MD5 tedy ohroženo není. Doporučuje se ovšem solení (obrana proti slovníkovému útoku) a mnohonásobné použití hašovací funkce (obrana proti útoku hrubou silou).
ČLÁNKY DO MAILU