Dayıoğlu Günlüğü

Güvenlik camiası 2008′in son günlerinden bu yana PKI altyapılarının MD5 özet-çakışmasından etkilenmesine ilişkin güncel bir zafiyet ile çalkalanıyor. Zafiyete ilişkin gördüğüm en iyi açıklamayı eski mesai arkadaşım Dr. Can Acar bir tartışma listesine aşağıdaki şekilde attığı e-postada vermişti; aynen aktarıyorum:

CCC konferansinda arastirmacilar MD5 mesaj ozeti algoritmasindaki bilinen zayifliklari kullanarak bir sertifika saglayicisindan edindikleri normal sertifikayi imza yetkisi olan bir sertifika ile degistirerek sahte sertifika uretebildiklerini acikladilar:

http://blogs.zdnet.com/security/?p=2339 ve http://www.win.tue.nl/hashclash/rogue-ca/

Kisaca ozet vermek gerekirse:
Internet uzerinden guvenli baglanti saglamak icin kullanilan SSL protokolu, guven iliskisini saglamak icin bir anonim anahtar altyapisi (PKI) kullanilmaktadir. Sertifika saglayici kuruluslar (CA) dagittiklari sertifikalari sayisal olarak imzalayarak sertifikanin guvenilirligine kefil olurlar. SSL baglantisi kurulurken, hedef sunucudaki sertifikanin imzasi kontrol edilir, ve bu sertifika guvenilir bir servis saglayici tarafindan imzalandiysa baglanti guvenli bir sekilde saglanabilir.

Sayisal imzalama asamasinda imzalanacak verinin mesaj ozeti kullanilir. Bu amacla MD5 ve SHA1 gibi kriptografik mesaj ozeti algoritmalari gelistirilmistir. MD5 algoritmasinin zayifliklari yillardir bilinmesine ragmen, hala sayisal imzalarinda MD5 mesaj ozeti kullanan sertifika saglayicilari bulunmakta. Bu calismada
arastirmacilar:

1. MD5 ozetleri ayni olan isi sertifika yaratabilmek icin bilinen MD5 cakisma saldirilarini ilerletmisler,

2. Yogun islem gucu gerektiren bu is icin 200 PSP3 oyun konsolundan olusan bir paralel islem kumesi kullanmislar (PSP3 oyun konsolu icerisinde 7 adet “cell” islemci barindirmakta ve bu saldiridaki hesaplamalar icin normal bir masaustu bilgisayardan yaklasik 40 kat daha hizli calismaktadir).

3. Dagittigi sertifikalari MD5 ile imzalayan, bir sertifika saglayicisindan alacaklari sertifikalarin seri numaralarini ve baslangic/bitis zamanlarini tahmin ederek, buna uygun cakisan iki sertifika yaratmislar.

4. Dogru zamanda bu sertifikalardan bir tanesini imzalatarak MD5 ozetleri ayni iki sertifika elde etmislerdir.

5. Sertifikalarin mesaj ozetleri ayni oldugu icin normal bir web sunucusu sertifikasi olan imzali sertifikanin altindaki imzayi, “imzalama yetkisine sahip bir ikinci duzey sertifika sunucusu sertifikasi” olan ikinci sertifikaya ekleyerek, imzasi gecerli bir sertifika saglayicisi sertifikasi elde etmislerdir.

Bu sayede herhangi bir alan adi tum web sunucularinin tanidigi bir kok sertifika otoritesi tarafindan imzalanmis sertifikalar uretebilecek hale gelmislerdir.

Anafikir: (ozellikle imza icin) MD5 kullanmayin.

Bu probleme ilişkin İnternet’te yapılan tartışmaları izlemek isteyenlere Tim Callan’ın Verisign’ın durum özeti ve Errata Security’den Robert Graham’ın Verisign’ın kötü yanıtları yazılarını öneririm. Konunun dibi ISC’nin özetinde.