http://www.virushirado.hu/hirek_tart.php?id=1924&ref=hl
Nem hagyják védtelenül a régi webtitkosítást
- The Register, F-Secure blog nyomán -
Visszamenőleg kompatibilis gyorsjavítást ígér a Google Chrome böngésző újítása.
A héten nyilvános bemutatásra kerülő, BEAST típusú támadókódra válaszul a Chrome webböngészőt fejlesztő Google cég egy egyedi változtatást javasol az SSL/TLS rendszerben, amellyel gyorsan növelhető lenne a titkosított netforgalmat támogató protokoll leginkább elterjedt és legsebezhetőbb 1.0 verziójának a biztonsága.
A módosítás nyomán a titkosítandó adatforgalmat véletlenszerűen kisebb darabokra bontanák, mielőtt azok újra felhasználásra kerülnek az AES - CBC kódolásban. Ez a trükk ugyan nem szünteti meg a TLS korai, 1.1-es kiadást megelőző változatainak matematikai gyengeségét, de a gyakorlatban lehet képes megakadályozni, hogy a BEAST eszköz találgatás és a nyílt szövegű adatok manipulálása révén visszafejtse a titkosított forgalmat.
A javasolt védelem egyébként nem új keletű, sőt nagyban hasonlít ahhoz a nyílt szöveget üres töredékekkel "kipárnázó" megoldáshoz, amelyet még 2002-ben az OpenSSL fejlesztői vezettek be, egy korábbi kriptográfiai támadás kivédése érdekében. Akkor az egyébként hatékony módszer azért nem tudott elterjedni, mert a Microsoft termékei nem támogatták - miközben a világ kliens számítógépeinek többsége Windows operációs rendszert futtat.
Komoly szándék szükséges a továbblépéshez
Az elsikkadás veszélye most úgy tűnik nem fenyeget, mert az online biztonság kérdése a nyolc évvel korábbi állapothoz képest immár sokkal nagyobb közfigyelmet élvez és a Google megkerülhetetlen globális piaci jelenléte is lendületet adhat a cég fejlesztői által mintegy három hónapja csiszolgatott TLS-védelmi szükségmegoldásnak.
A Chrome böngésző új fejlesztői változatának megjelenésével most a Microsoft és a Mozilla Firefox programozóin a sor, hogy mihamarabb beépítsék saját termékeikbe a "daraboló" védelmet - amelyet jellegénél fogva csak rövid haladéknak szabad tekinteni, mert időt adhat a fejlettebb és elméletileg is megalapozott IV-biztonsággal rendelkező TLS 1.1/1.2-es webforgalom-titkosítás elterjesztéséhez.
Azt, hogy a böngésző-gyártók és a webszerver-üzemeltetők valóban a magasabb szabvány bonyolult és költséges bevezetésére használják-e fel az esetleges haladékot, még nem tudni. A megbízható SSL/TLS titkosítás jelentőségét azonban jól mutatja, hogy kedden csődöt jelentett a DigiNotar cég, az a holland elektronikus hitelesítés-szolgáltató, amely megpróbálta eltussolni hálózatának feltörését - a sumákolás alatt forgalomba került hamis tanúsítványok nyomán azonban elvesztette üzleti ügyfelei, illetve a közigazgatás bizalmát.