9. Схожие работы


Кай Энгерт создал Conspiracy, приложение для Firefox, предоставляющее информацию об УЦ по странам для конечных пользователей в порядке их защиты от атак создания сертификатов по принуждению. Conspiracy отображает флаг страны для каждого УЦ в цепочке доверия в статусной панели браузера [37]. Тем самым пользователи могут сами запомнить страну каждого УЦ, выпустившего сертификат и определить, если страны поменялись. Мы полагаем, что это необоснованное бремя, взваливаемое на конечных пользователей, в частности учитывая как редко они могут встретиться с атакой создания сертификатов по принуждению.

Вэндлант и др. создали Perspectives, приложение Firefox, которое улучшает модель доверия после первого использования (TOFU) для использования в вэбсайтах, которые снабжены самоподписанными сертификатами [38]. В его системе пользовательский браузер осуществляет безопасное соединение с одним из множества нотариальных серверов, которые независимо обращаются к вэбсерверу для получения сертификата. В случае когда атакующий пытается осуществить атаку человека-посредине против пользователя, различие в сертификатах между внедрённым от атакующего и между полученным от нотариальных серверов Perspectives служит серьёзным индикатором того, что произошло что-то неладное.

К сожалению система Perspectives требует от пользователя предоставить нотариусам Perspectives список защищённых сайтов, которые они посещают в реальном времени.

Современные браузеры уже и так создают утечку информации в плане посещаемых пользователем вэб-сайтов, так как они автоматически соединяются с УЦ в порядке определения, что сертификат не был отозван (при помощи OCSP протокола). Поскольку это в настоящее время неизбежно, мы хотим избежать утечку приватных данных пользователя любым дополнительным сторонам.

Поскольку разработчики системы заявляют, что "все серверы придерживаются строгой политики никогда не записывать клиентских IP-адресов", мы всё ещё не думаем, что это хорошая идея — чтобы предоставлять приватные данные о вэб-браузинге пользователей третьей стороне, только лишь основываясь на том, что они обещают не записывать их.

Эличерри и Керомитис улучшили дизайн Perspectives с помощью системы DoubleCheck [39], подставляющую для специальных нотариальных серверов исходящие узлы сети Tor. Поскольку сеть Tor анонимизирует IP-адреса индивидуальных пользователей, для исходящего узла сети Tor нет способа определить, кто запрашивал сертификат для определённого вэб-сайта. Хотя авторы решили большую проблему с приватностью, терзавшую схему Perspectives, их выбор Tor заставил заплатить за это задержками. Их система добавляет дополнительные секундные задержки для каждого нового SSL-соединения и доходит до 15 секунд для посещения сервера с самоподписанным сертификатом. Мы верим что эта дополнительная задержка слишком высока, чтобы пользователи её терпели, особенно в свете того, что шансы встретиться с подставным УЦ так низки.

В мае 2008 года исследователь в области безопасности обнаружил, что библиотека OpenSSL в некоторых популярных дистрибутивах Linux генерирует криптографически слабые ключи. Хотя уязвимость двухгодичной давности была закрыта, SSL-сертификаты, создаваемые на компьютерах, на которых запускался уязвимый код, были сами по себе доступны для атаки [40, 41]. В ответ на эту уязвимость, немецкий журнал технологий Heise реализовал Heise SSL Guardian для ОС Windows, который предупреждал пользователь Internet Explorer и Chrome, когда им попадались уязвимые SSL-сертификаты [42].

В декабре 2008 года Стивенс и др. продемонстрировали, что уязвимость в алгоритме MD5 также может быть использована для создания подложного SSL-сертификата (без знания или помощи УЦ). В ответ, УЦ ускорили планируемые защитные меры перехода. Mґrton Anka разработал приложение для Firefox, обнаруживающее и предупреждающее пользователей о цепочках сертификатов, использующих алгоритм MD5 для подписей RSA [43].

Назад[link1] | Оглавление[link2] | Дальше[link3]

Ссылки
[link1] http://www.pgpru.com/biblioteka/statji/certifiedlies/analysis

[link2] http://www.pgpru.com/biblioteka/statji/certifiedlies

[link3] http://www.pgpru.com/biblioteka/statji/certifiedlies/conclusionandfuturework