Sertifikalar Tehdit Altında

'Spy ve Virüs Haberleri' forumunda Siraç tarafından 6 Ocak 2009 tarihinde açılan konu

  1. Siraç

    Siraç Site Yetkilisi Admin Editör

    Sponsorlu Bağlantılar
    Sertifikalar Tehdit Altında konusu
    Sertifikalar Tehdit Altında

    [​IMG]

    Güvenlik sertifikalarında kullanılan MD5 algoritması artık aşılabiliyor. Güvenlik uzmanları tarafından ortaya çıkartılan açık, güvenliği nasıl tehlikeye atıyor?

    MD5 algoritması açık anahtar kriptolamada kullanılan ve internet sitelerinden yapılan güvenli iletişimler için sertifika veren, Thawte veya Verisign gibi şirketlerin açık anahtarları dağıtarak güvenliği sağladığı bir algoritma ve yıllardır güven içinde kullanılıyor. Bu algoritmayla harmanlanmış kod (hash) karşı tarafa bu şekilde gönderilip kişisel anahtarla doğrulanarak istenilen güvenlik mekanizması sağlanmış oluyor.

    Şimdiye Kadar Neredeydi?

    MD5 ve benzeri algoritmaları güvenli kılan şey, anahtarı "kırmak" için gereken işlem gücünün ancak süper bilgisayarlar tarafından sağlanabilecek olmasıydı. Şimdi ise çok daha kısa sürelerde, ev yapımı kümelere (cluster) ihtiyaç bile olmadan, aynı MD5 kodunu sağlayabilecek farklı bir şifre dizisi üretilebiliyor. Her ne kadar birçok sertifika sağlayıcı SHA-1 ve SHA-2 algoritmalarına geçmiş olsa da hâlâ MD5 kullanılan yerler mevcut.

    Kırılınca Ne Oluyor?

    Bu algoritmanın açıklarından faydalanılıp üretilen anahtarlar, herhangi bir sertifika sağlayıcısına ihtiyaç duymadan üretilecek güvenlik sertifikaları anlamına geliyor. Dolayısıyla, güvensiz siteler bile sanki çok güvenli bir bağlantı üzerinden bu işlemleri gerçekleştiriyormuşsunuz gibi sizi kandırabiliyor. Örneğin çok ziyaret ettiğiniz alışveriş sitesinin bir sayfası, sizi sertifikasıyla bile kandırabilir.

     

Bu Sayfayı Paylaş