26.09.2006г.
OpenSSL допускает подделку подписей
Широкоиспользуемая технология защиты может некорректно проверять некоторые фальшивые подписи.
Эксперты по безопасности продемонстрировали способ обойти ограничения защиты OpenSSL, подделывая некоторые цифровые подписи. OpenSSL применяется во многих средствах защиты, безопасных веб-серверах и виртуальных частных сетях (VPN).
Технология SSL (secure sockets layer) применяется, в частности, для совершения безопасных операций электронной коммерции. OpenSSL — это open-source реализация SSL и протоколов TLS, причем имеются версии для большинства Unix-подобных операционных систем и Windows. Проект OpenSSL выпустил исправленную версию своего ПО и призывает пользователей установить ее.
Баг влияет только на подписи определенного типа — PKCS #1 v1.5, но они применяются некоторыми центрами сертификации. "Если используется ключ RSA с показателем степени 3, подпись PKCS #1 v1.5, заверенную этим ключом, можно подделать, — говорится в рекомендации OpenSSL. — Так как показатель степени 3 широко используется (центрами сертификации), а PKCS #1 v1.5 применяется в сертификатах X.509, все программное обеспечение, которое использует OpenSSL для проверки сертификатов X.509, потенциально уязвимо". Ошибка влияет на версии OpenSSL до 0.9.7j и 0.9.8b.
Как утверждает секьюрити-фирма Netcraft, этот способ подделки цифровой подписи был впервые продемонстрирован в августе на конференции Crypto 2006 криптографом из Bell Labs Даниэлем Бляхенбахером. OpenSSL успешно подделала некоторые подписи и подготовила исправления с применением Google Security.
Источник: ZDNET
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики
