Forskare förfalskar HTTPS

Ett gäng matematiker har lyckats förfalska ett certifikat som används för att säkerställa äktheten av HTTPS-skyddade webbplatser.

För att skydda sina kunder använder internetbanker och butiker HTTPS, som ser till att anslutningen mellan kundens dator och servern är krypterad. HTTPS får sin säkerhet från det kryptografiska protokollet SSL eller TLS.

Utöver att kryptera anslutningen, vilket skyddar användaren från att någon avlyssnare modifierar trafiken, kan SSL/TLS även säkerställa att servern är den som den utger sig för att vara.

Detta möjliggörs med så kallade certifikat. En tredje part som alla litar på utfärdar ett certifikat till exempelvis en internetbank, och när webbläsaren besöker internetbanken kontrollerar programmet så att certifikatet är äkta. Certifikatens äkthet beror på olika matematiska funktioner, som är designade för att vara mycket svåra att förfalska.

Nu har ett grupp matematiker lyckats förfalska en viss typ av certifikat, som alla moderna webbläsare litar på som standard. Med det falska certifikatet skulle forskarlaget exempelvis kunna attackera internetbanker, genom att skapa en webbsida som har exakt samma utseende som den riktiga och på något vis dirigera om användarens trafik till den falska banken. Eftersom det falska certifikatet ser ut att vara giltigt kommer webbläsaren att lita på webbplatsen.

Problemet finns i hashfunktionen MD5. En hashfunktion gör om data till ett tal, och kan därför användas för att verifiera datans integritet. Genom att hitta ett gäng bytes som ger samma tal som ett giltigt certifikat kunde forskarlaget utföra förfalskningen. För de krävande beräkningarna användes ungefär 200 Playstation 3-konsoler och några månaders hårt arbete.

Alla HTTPS-skyddade webbplatser är turligt nog inte påverkade. Certifikat med andra hashfunktioner än MD5 anses fortfarande vara säkra.

Källa: Tue.nl.

Kommentarer till artikeln

30 debattinlägg

Skicka en rättelse
5

AMD:s styrkrets B350 för Ryzen saknar stöd för Nvidia SLI

Den 2 mars anländer AMD Ryzen tillsammans med sockel AM4 och styrkretsarna X370 och B350, där stödet för flera samtida grafikkort i Crossfire och Nvidia SLI skiljer. Läs mer

39

Joyride bygger retrotung 286:a i galleriet

Det vankas minnen från sent 80-tal i galleriet. Med siktet inställt på att återuppleva barndomen bygger Joyride en riktigt härlig retromaskin Läs mer

64

Mass Effect: Andromeda får systemkrav

Det börjar dra ihop sig för nya äventyr i universumet runt Mass Effect. Nu presenteras systemkraven för PC-versionen av kommande titeln Andromeda. Läs mer

26

ITU presenterar utkast till 5G

International Telecommunication Union presenterar ett utkast för 5G-standarden som väntas bli godkänt i november. Bland annat anges att 5G-celler ska ha latenstid på ynka 1 millisekund. Läs mer

30

Samsung tillkännager Exynos 9 – åttakärnig systemkrets på 10 nanometer

Nästa flaggskeppstelefon från Samsung ska avtäckas inom kort, men redan nu tillkännages den systemkrets som sannolikt kommer användas. Läs mer

48

Priserna på SSD-enheter spås fortsätta stiga under år 2017

Fortsatt komponentbrist bland tillverkare tros leda till fortsatt prisökning framöver, både för SSD-enheter och smarta telefoner men även bärbara datorer. Läs mer

7

Projekt XV i härdat glas vinnare av Månadens Galleri februari 2017

I årets första upplaga av Månadens Galleri intar två veteraner topplaceringarna, medan vinnaren från Casemod Championship på Dreamhack Winter 2016 trillar in på tredje plats. Läs mer

56

AMD Ryzen-leveranser beräknas uppgå till en miljon på lanseringsdagen

Till lanseringsdagen beräknas AMD leverera upp till en miljon processorer ur familjen Ryzen, vilket motsvarar intäkter på hundratals miljoner dollar. Läs mer

21

Allvarlig bugg upptäckt i Cloudflare – miljontals konton i farozonen

En bugg i Cloudflares källkod har lett till att potentiellt miljontals användarkonton läckt ut på webben. Buggen beskrivs som en av de allvarligaste någonsin. Läs mer

53

Ryzen Master hittar ut på bild – överklockningsmjukvara för AMD Ryzen

I och med lanseringen av Ryzen introducerar AMD ny mjukvara för överklockning. Via nya bilder som nu hittat ut på webben bekräftas namnet på denna, samt en hel del inställningar. Läs mer

189

Ny kampanj mot svenska fildelare inleds – tusentals riskerar skadestånd

Den danska advokatbyrån Njord Lawfirm inleder nu ett nytt initiativ för att fånga svenska fildelare, där kravbrev på upp till 3 000 kronor ska skickas ut till misstänkta användare. Läs mer

64

AMD Ryzen 5 släpps i andra kvartalet, Ryzen 3 senare under året

Toppmodellerna i familjen AMD Ryzen är presenterade och lanseras inom kort, men givetvis väntar fler varianter. Nu framkommer det att serierna Ryzen 5 och Ryzen 3 rullas ut senare under året. Läs mer