SSL證書被攻擊 被假冒的風險分析(一)

2021-08-08 02:37:26 字數 2220 閱讀 9026

ssl證書被攻擊、被假冒的風險分析(一)

文/龍毅巨集

下面就針對可能出現的對ssl證書的攻擊、假冒情形進行分析。

1)乙個合法有效的ssl證書誤簽發給了假冒者

這是一種由於證書認證機構工作出現疏忽、流程不完善而出現的證書被錯誤簽發的情形。其主要原因是證書認證機構在簽發ssl伺服器證書前,沒有認真鑑別證書申請者提交的身份資訊的真偽,或者沒有通過安全可靠的方式驗證、確認申請者就是他提供的身份材料中所聲稱的那個人。比如,假冒者提供了虛假的營業執照、組織機構**證書、網域名稱註冊檔案等,而證書認證機構沒有或沒能夠鑑別出假冒者提供的身份資訊的真偽,把乙個合法有效的證書簽發給了假冒者;再比如,假冒者向證書認證機構提交了其他**擁有者的有效身份資料,如營業執照、組織機構**證、網域名稱註冊檔案(這些資料,假冒者有時可通過合法的途徑獲得),而證書認證機構沒有通過安全、可靠的途徑驗證、確認證書申請者確實是其聲稱的人本人(或聲稱的機構本身),把本屬於另乙個合法有效的**的伺服器證書簽發給了假冒**。無論何種情形,假冒者都可以利用使用者對伺服器證書的信任進行網路欺詐活動。

2)破解ssl證書簽發ca的私鑰

如果ssl證書簽發ca的金鑰對的安全強度不夠(金鑰長度太短),或者是乙個弱金鑰對,或者其產生方式有規律可循(不是完全隨機產生的),那麼,就可能造成ca私鑰被破解,假冒者就可以用被破解的ca的私鑰生成、簽發合法、有效的ssl伺服器證書。

但在實際中,只要ca的金鑰對有足夠的長度、按完全隨機的方式產生、且避開弱金鑰對,則ca的私鑰是根本無法破解的,或者破解的成本極高,完全超過了破解可能帶來的好處。

3)ssl證書簽發ca的私鑰洩露

證書認證機構由於管理不善,或者使用了不安全的密碼裝置,導致簽發ssl證書的ca私鑰被洩露,從而使得假冒者可以利用它簽發合法有效的ssl證書。

這種情況可以通過加強認證機構的安全管理,使用安全可靠的密碼裝置來避免。

4)破解ssl證書的私鑰

目前的ssl證書主要是基於rsa公開金鑰演算法,對這個演算法的攻擊目前除了蠻力攻擊外,還沒有有效的方法。但是,如果ssl證書金鑰對的安全強度不夠(金鑰長度不夠),或者是乙個弱金鑰對,或者其產生方式不是完全隨機的,那麼,就可能造成ssl證書的私鑰被破解,假冒者就可以將該ssl證書及其被破解的私鑰安裝在假冒**上進行欺詐活動(ssl證書本身是公開的,可以很容易地得到)。

在實際應用中,只要ssl證書金鑰對有足夠的長度、按完全隨機的方式產生、且避開弱金鑰對,則ssl證書的私鑰是根本無法破解的,或者破解的成本極高,完全超過了破解可能帶來的好處。

在討論、分析ssl證書私鑰破解的風險時,我們需要提到乙個人們常常關心的問題。我們知道,出於管理的規範性、品牌、知名度等原因,目前國內  的ssl證書主要由國外的認證機構簽發,對此,人們會有這種疑問和擔心,「如果ssl證書由國外認證機構簽發,那麼,是否會導致ssl證書的金鑰  對容易被國外敵對機構破解、或竊取」?要回答這個問題,我們必須先了解ssl證書的金鑰對是怎樣產生的,以及私鑰是怎樣儲存的。

實際上,ssl證書的金鑰對是由**擁有者通過web伺服器軟體自己產生並儲存在web伺服器軟體的金鑰庫中,或者在web伺服器軟體使用的ssl加速卡(加密硬體)中產生並儲存在加密硬體中;客戶申請簽發ssl證書時,證書請求中只包含有公鑰,不包含私鑰,私鑰是不會傳送到證書認證機構的。因此,ssl證書的金鑰對是否會被破解完全取決於金鑰對的長度是否足夠長、產生的金鑰對是否是弱金鑰對、以及金鑰對的產生是否有規律可循(即是否是完全隨機產生的),與ssl證書是由國內還是國外認證機構簽發的沒有關係;私鑰是否會被竊取、洩露,完全取決於ssl證書客戶採取的私鑰保護安全措施。當然,從陰謀論的角度,由於目前的web伺服器軟體大多來自國外,它們留有後門,從而產生弱金鑰對,或者留有後門,使得金鑰對的產生有規律可循,這也是可能的,但這與ssl證書是由國內還是國外認證機構簽發的沒有關係。

5)ssl證書的私鑰洩露

ssl證書的私鑰通常是安裝在web伺服器上的,如果沒有採取足夠的安全措施對私鑰進行安全保護,則有可能導致私鑰被洩露,比如,從web伺服器中匯出。

在實際中,只要通過適當的安全管理措施和技術手段,就能有效地防止ssl證書的私鑰被洩露。比如,只允許安全可信的人員訪問web伺服器並採取雙人(或多人)控制的訪問方式,並禁止ssl證書私鑰匯出,或者給ssl證書私鑰加上口令保護且對口令進行分割儲存(將口令分割給多個可信人員,每個人僅擁有分割後口令的一部分),又或者將ssl證書私鑰存放在加密硬體中(如ssl硬體加速器),且對私鑰採取安全保護措施(如不允許私鑰匯出,或不允許私鑰明文匯出)。

SSL證書被廢除

使用者瀏覽公司的網頁,瀏覽器返回 secure connection failed an error occurred during a connection to example.com.peer s certificate has been revoked.error code sec erro...

被攻擊後排查的過程

1.今天,看到nagios上一台裝有kvm的虛擬機器總是報load warning,以為是現在很多同事正在上面使用虛擬機器,就沒在意,但是下班後卻依然看到這個告警還在。2.到物理機上用top檢視,發現有乙個command qemu kvm 還在執行,而且占用80 的cpu,我就ps aux grep...

上海迪士尼回應APP被通報 假冒的,已著手調查

近日工信部發布了多款違規的手機app,其中就包括了一款 上海迪士尼 app。但是上海迪www.cppcns.com士尼官方回應稱,工信部通報所提及的 上海迪士尼樂園 app與其無任何關聯,是假冒的,已就此與工信部進行溝通並著手調查。這款被工信部通程式設計客棧報的 上海迪士尼 app是由霍爾果斯驢跡軟...