Требования безопасности нацелены на укрепление разбитой системы SSL

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 19 дек 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Слишком мало, слишком поздно

    Консорциум компаний опубликовал набор практик осуществления безопасности, который, они надеются, будут применять все центры аутентификации, чтобы браузеры и другое ПО доверяло их сертификатам SSL.

    Базовые требования, опубликованные Certification Authority/Browser Forum, разработаны для того, чтобы предотвратить нарушения безопасности в запутанной сети доверия, формирующей поддержку системы SSL сертификатов. Выпуск этих правил произошел спустя годы плохого управления со стороны индивидуальных центров сертификации, которым разрешено выпускать сертификаты, которым доверяют браузеры. Наиболее заметный случай – это утечка у DigiNotar в этом году, которая привела к выпуску поддельного сертификата, позже использованного для слежки за 300 000 пользователей Gmail в Иране.

    Примерно четырем десяткам членов форума CAB еще есть над, чем работать, так как их требования бессмысленны, если они не взаимодействуют с производителями ПО, которые доверяют центрам сертификации.

    Еще не ясно, что произойдет. Из пяти производителей браузеров, упомянутых в статье, лишь Opera взяла на себя обязательства следовать требованиям и включить корневой сертификат центра в свое ПО. Представитель Mozilla сказал лишь, что разработчики обсудят эти требования на онлайн-форумах.

    В заявлении Microsoft говорится, что компания "будет работать с аудиторами от индустрии и центрами сертификации, чтобы учесть новые руководящие принципы в Microsoft Root Program". Представители компании не ответили на e-mail с просьбой объяснить, что это значит. Представитель Google сказал, что Chrome доверяет любому центру сертификации, которому доверяет основная операционная система. Представители Apple не ответили на письма с просьбой прокомментировать ситуацию.

    Как предполагают условия, базовые требования должны служить набором отраслевых практик, которым должен следовать каждый центр сертификации, чтобы быть на хорошем счету. Среди прочего, от них потребуется "разработать, реализовать и соблюдать план безопасности", чтобы предотвратить тип утечек, от которых пострадал DigiNotar. Установки также требуют сообщать об утечках и отзывать все сертификаты, которые, благодаря этим утечкам, выпущены вследствие обманных действий, а так же использовать сертификаты с ключами подписи RSA 1024 бит или выше.

    Притом, что все эти требования очень полезны, их выпуск лишь подчеркивает то, насколько безнадежна система SSL. В мире насчитывается около 650 центров, имеющих санкции на выпуск сертификатов для Internet Explorer, Chrome, Firefox и других браузеров, и достаточно некомпетентности или должностного преступления лишь со стороны одного из них, чтобы вывести из строя всю систему. Даже если эти требования будут приняты на вооружение всеми производителями браузеров, неизвестно, хватит ли у них воли и возможности, чтобы должным образом этим требованиям следовать.

    Поскольку трещины в фундаменте доверия уже слишком велики, чтобы их игнорировать, ряд альтернатив борются за внимание. Среди самых привлекательных – проект Convergence Project, разработанный исследователем Мокси Марлинспайком, и полагающийся на свободный союз нотариусов, независимо подтверждающих подлинность того или иного сертификата SSL.

    Помимо отказа от доверия к огромному числу центров сертификации, такой подход также имеет гигантские выгоды с точки зрения приватности. Поскольку нотариусы намеренно держат в тайне то, к каким сайтам имеет доступ данный IP-адрес. На данный момент центры сертификации должны записывать посещения IP-адресом страниц HTTPS, защищенных одним из их сертификатов.

    Среди других альтернатив – план, который в конце прошлого месяца опубликовал Google. Он мог бы потребовать от центров сертификации публично раскрывать все криптографические подробности каждого сертификата, который они выпускают, чтобы полномочия могли открыто проверяться. Предложение, во многом схожее с альтернативой от Electronic Frontier Foundation, раскритиковали уже многие центры сертификации, которые против разглашения, как они считают, частной производственной информации.

    Поскольку банки, торговые компании и многие другие организации используют SSL сертификаты для доказательства того, что именно они являются владельцами сайтов, и для шифрования данных, передаваемых между их серверами и конечными пользователями, сложно переоценить важность системы. Требования, выпущенные на этой неделе, конечно, не навредят, но вряд ли они смогут исправить структурные недостатки, которые всех нас подвергают риску.


    источник
     
    Последнее редактирование: 19 дек 2011

Поделиться этой страницей