Da li su elektronski sertifikati zaista bezbedni? – Stevan A. Milinković

22.04.2009.

Stevan Milinković sa RAF-a je skrenuo pažnju na opasnosti koje se mogu pojaviti prilikom korišćenja elektronskih sertifikata. Vrlo zanimljivi slajdovi i predavač koji se potrudio da objasni prilično tehničku materiju.

 

Pomenuo je napad koji se desio pred kraj 2008. godine, kada je grupa profesionalaca izvela napad, generisanjem nekoliko različitih sertifikata sa istim sadržajem. Skreće se pažnja da se radilo o grupi profesionalaca, odnosno da se narušavanjem sigurnosti digitalnih sertifikata retko bave amateri.

Objašnjena je struktura X.509 sertifikata, prikazao je kako dve sekvence različitih podataka dovode do MD5 heš kolizije – iste vrednosti heš funkcije.

Slajdovi su bili više tehnički orijentisani, ali se predavač potrudio da na dosta prizemnom tehničkom nivou objasni kako se sigurnost digitalnih sertifikata može ugroziti.

Zanimljiva su reagovanja javnosti na kolizione napade, i činjenicu da MD5 algoritam nije potpuno siguran (što su matematičari odavno znali) – neki su odlučili da prestanu sa korišćenjem MD5 heš algoritma i prešli na neke druge funkcije heširanja (SHA1 npr.), dok su drugi u potpunosti ignorisali upozorenja.

Nakon ovog predavanja, prethodni izlagač je objasnio da je u Srbiji PROTIVZAKONITO koristiti MD5 heš funkciju za digitalne sertifikate, i da sva sertifikaciona tela u Srbiji moraju da koriste minimalno SHA1. Obratite pažnju ukoliko kupujete sertifikat od stranih sertifikacionih tela!

Smatram da je ovo predavanje nezasluženo dobilo katastrofalni termin, budući da je bilo kvalitetnije i zanimljivije od mnogih današnjih. Ukoliko Vas ovakva tematika interesuje, obavezno se dokopajte ovog rada, koji se (naravno) može naći u zborniku radova E-Trgovine 2009.

UpdateZahvaljujemo se Stevanu Milinkoviću što je omogućio da se njegovo predavanje preuzme (PPS, 1.2 MB).

Autor: Vladimir Trkulja


DODAJ KOMENTAR