Mögliche Schwäche in SSL/TLS-Sicherheit heruntergespielt von Zertifikat-Gruppe

2013-12-28  |  Comebuy News

Ansprüche von einem Kryptographie-Forscher diese Woche über Schwächen in den RC4-Algorithmus verwendet in SSL/TLS-Zertifikaten ist von der Gruppe bekannt als Zertifikat Autorität des Sicherheitsrates (CASC), die vor kurzem, Fragen zur Sicherheit in diesem Bereich gegründet wurde heruntergespielt wird.

Comebuy Verwandte Artikel: Microsoft bietet Ideen für Benutzer, die BESTIE ThreatSecurity Forscher nach dieser neuen "Verbrechen" zu schlagen gegen SSL/TLSMicrosoft angreifen verspricht, Patch, BEAST AttacksMost über das Internet Top 200.000 HTTPS-Webseiten zu blockieren sind unsicher, vertrauenswürdige Internet-Bewegung SaysMicrosoft skizziert, Explorer 7.0 Sicherheitsänderungen

"Während interessant, die Angriffe eine unmittelbare praktische Bedrohung für Benutzer von SSL/TLS (einschließlich online-Banking, e-Commerce, social Networking, etc.), sind nicht", sagte Rick Andrews, technischer Direktor bei Symantec im Namen CASC. "Solche Angriffe erfordern einen Angreifer bösartigen Software auf dem Computer eines Benutzers ausgeführt, die Verbindung zu einer bestimmten Website und senden Sie dieselbe Nachricht immer und immer wieder viele Male. In der Tat, wenn der Angreifer Software Senden der gleichen Nachricht über und über 10-mal pro Sekunde könnte, würde es noch mehr als drei Jahren für den Angriff erfolgreich zu nehmen." Die Gruppe äußerte sich auch in seinem Blog auf die gestellten Fragen.

[Mehr: 15 Genie-Algorithmen, die nicht langweilig sind

Hintergrund: heterogene Gruppe gebildet, um digitales Zertifikat Fragen]

Die CASC reagierte auf Anfragen über den Artikel "Kryptographen zeigen neue Crack für gemeinsame Web Verschlüsselung" Forbes Schriftstellers präsentiert Andy Greenberg, die, die diese Woche, University of Illinois in Chicago Professor Dan Bernstein auf die schnelle Verschlüsselung-Konferenz in Singapur notiert haben eine Methode für das brechen von Transport Layer Security sowie Secure Sockets Layer. Der Artikel empfahlen der Angriff 32 Stunden durchführen würde.

Jedoch schien die Verharmlosung des praktischen Wert des Angriffs, die CASC, umfasst Comodo, DigiCert, GlobalSign, GoDaddy, Symantec und Trend Micro und anerkennen die Gültigkeit dieser neuen Forschung über Schwächen bei den RC4-Algorithmus, der ursprünglich vom berühmten Kryptographen Ron Rivest erfunden.

"Die Designer des SSL/TLS-Protokolls erwartet, dass Algorithmen im Laufe der Zeit schwächer werden würde, damit das Protokoll entwickelt wurde, um das einfache Hinzufügen neuer Algorithmen zu unterstützen. Eine Schwäche in einem Algorithmus bedeutet daher nicht, dass SSL/TLS gebrochen ist. Neuere, stärkere Algorithmen bereits entwickelt und integriert die neuesten Implementierungen von SSL/TLC,"erklärt Andrews im Namen CASC. "Was wir brauchen ist jetzt für Benutzer der Web-Server und Browser-Software aktualisieren auf neusten Versionen zu minimieren oder zu beseitigen die Verwendung von geschwächten Algorithmen."

Andrews geschlossen CASC, "bleibt die Tatsache bestehen, SSL/TLS ist noch das scalable, effiziente kryptographische Protokoll jetzt und mit der Zahl der Forscher, die konzentrierte sich auf seine Protokolle nur stärker in der Zukunft erhalten."

Ellen Messmer ist leitender Redakteur bei Network World, IDG-Publikation und Webseite, wo sie News und Technik Trends mit Bezug zu Informationssicherheit deckt. E-Mail: Emessmer

Lesen Sie mehr über WAN-Verbindung in Network World Wide Area Network Abschnitt.

« Back