Az SSL biztonságos, de a kifejlesztője mégis aggódik

Az SSL, a biztonságos hálózati kapcsolatok biztosítására használt rendszer jelen pillanatban is ugyanolyan sérülékeny, mint volt a szeptember hackertámadás előtt – nyilatkozta a BBC-nek Taher Elgamal, a technológia kifejlesztője. Elgamal természetesen nem arra gondolt, hogy magát az SSL-t törték volna meg, erre vajmi kevés esély van, hanem arra utalt, hogy az alkalmazása által létrejött nagyobb rendszerben van egy olyan pont, mely jelen pillanatban is komoly támadási felület, mégpedig a tanúsítványok kiadóinak számítógépes rendszerei, ugyanis a szolgáltatók magát az SSL-t, vagyis a kulcsokat nem védik megfelelően.

Hirdetés

Az SSL, a Secure Socket Layer technológiája igen elterjedt a világban a bizalmas információkat tartalmazó adatáramlás védettségének biztosítására (internetes vásárlás, banki tranzakciók, levelezés stb.). A folyamat fontos része, hogy a gépek közötti titkosított formában történő kommunikáció során egy tanúsítvány segítségével ellenőrzik a szerver megbízhatóságát is. A szeptemberi incidens során egy holland hitelesítés-szolgáltató cégtől, a DigiNotartól szereztek meg adatokat crackerek, majd ezeket arra használták, hogy hamis tanúsítványokat generáljanak velük. Szinte biztos, hogy a támadók ugyanazok voltak, akik 2011-ben egy hasonló vállalat, a Comodo rendszerét törték fel. Ezekkel a hamis tanúsítványokkal természetesen vissza lehet élni, hamarosan meg is jelentek a Google nevére szóló kamu tanúsítványok (magát a botrányt is ez robbantotta ki).

A jelenleg az Axway-nél dolgozó Elgamal szerint aggasztó, hogy bár egyre több ilyen eset történik, nem látszik semmiféle törekvés, mely arra irányulna, hogy megelőzzék ezeket az adatvesztéseket, vagy legalábbis mérsékeljék az okozható károkat: „Nincs backup-terv, és ez általánosságban egy rossz biztonsági modellre utal”.

Elgamal elmondja, hogy az SSL/TLS kidolgozása során az a kérdés nem került elő, hogy mi a teendő akkor, ha a hitelesítés-szolgáltató kompromittálódik. Ez valójában nem technológiai kérdés, véli a szakértő, mivel a kiemelt célpontnak számító TLS-t folyamatosan javították a hiányosságok felismerése után, és ha a böngészők fejlesztői naprakészek, akkor egy nagyon biztonságos technológiát használhatnak. Ami viszont égető probléma, az a hitelesítés-szolgáltatók működése, ezen nem segítene egy új rendszer megtervezése sem.

Azóta történt

Előzmények