認証局の信頼違反により、インターネットの信頼階層に脆弱性が露呈する

[ware_item id=33][/ware_item]

認証局の信頼違反により、インターネットの信頼階層に脆弱性が露呈する


2015年3月下旬、Googleになりすましている無許可のデジタル証明書に関連する重大なセキュリティ侵害がありました。この事件は、一般の人々がインターネット上で誰を信頼するかをどのように決定するかについて広範囲に影響を及ぼします。.

この投稿では、あなたのようなエンドユーザーにとってこれが重要な理由を説明しようとします.

一言で言えば

Googleは、GoogleドメインのSSL証明書の高品質の偽造を検出しました。偽造は非常に優れていたため、ほとんどのブラウザをだまし、攻撃者がGoogleや他のドメインになりすまし、ユーザーをだましてパスワードを漏らしてしまう可能性がありました。ありがたいことに、偽造は閉じたテスト環境内にのみ存在していました.

このような偽のデジタル証明書の発行は、テスト環境であっても、証明書所有者の身元を確認するための厳格なプロセスのおかげで、ほぼ不可能であると想定されています。したがって、これが発生したという事実は非常に大きな問題であり、それは再び発生する可能性があり、おそらく他の組織では以前に発生したが、気付かれなかったことを意味します.

Googleは、関連する特定の認証局(CNNICと呼ばれる)を信頼しないように、Google Chromeブラウザを更新することで対応しています。 CNNICのルート証明書を製品から削除しています。 Mozilla(Firefoxの作成者)は、CNNICがルートストアに含めるための再申請に成功するまで、すべての新しいCNNIC証明書を信頼しません。.

復習:有効なSSL証明書を使用してサイトにアクセスするとどうなりますか

httpsを使用してウェブサイトにアクセスすると、ブラウザに緑色のチェックマークまたはこのサイトが安全であることを示すロックが表示されたときに何が起こるかを高レベルで理解しておくと役立ちます.

  1. Webブラウザにhttps://www.google.comと入力します.
  2. WebブラウザはDNSというパブリックディレクトリにアクセスして、google.comへの接続に使用するIPアドレスを検索します.
  3. Webブラウザは、DNSから受け取ったIPアドレスでサーバーに接続します.
  4. サーバーはSSL証明書で応答します.
  5. WebブラウザはこのSSL証明書を使用して、次の2つの非常に重要なことを実現します。
    1. サーバーの身元を確認します。この場合、サーバーが実際にGoogleによって実行されていることを確認します。そして
    2. ブラウザとサーバー間で送信されるデータが暗号化されるように、暗号化された通信チャネルを設定します。ネットワークで聞く人は、あなたがGoogleと通信していることを見ることができますが、あなたの通信の内容を見ることができません.

SSL証明書が有効な場合、ブラウザには見慣れた緑色のチェックマークが表示されるか、アドレスバーにロックされます.

ああ、緑の鍵。ああ、緑の鍵.

ただし、攻撃者がブラウザを偽って偽のサーバーに接続させた場合、ブラウザはSSL証明書が 無効, セキュリティ警告が表示されます.

SSL証明書が高品質の偽造物である場合の動作は次のとおりです(ヒント:ブラウザは気付かないでしょう)

Googleからの発表が非常に重要な理由は次のとおりです。MCIホールディングスは、Googleの偽SSL証明書を作成し、ほとんどのWebブラウザーが偽サーバー上のWebサイトが実際にGoogleであると思わせるほど現実的でした。これは理想的には決して起こらないはずです。しかし、そうなると、次のようになります。

  1. ブラウザにhttps://www.google.comと入力します.
  2. 攻撃者がDNSサーバーをだまして、google.comに間違ったIPアドレスを提供します。これは、ホームルーターのバグ、ネットワーク内の他のルーター、DNSサーバー自体のバグ(通常はISPによって実行される)、またはその他のさまざまな方法を悪用することで実現できます。.
  3. Webブラウザが偽のサーバーに接続します.
  4. 偽のサーバーは、偽のSSL証明書で応答します。ただし、証明書は非常に高品質の偽物であるため、ブラウザはそれが有効であるとみなします.
  5. ブラウザに緑色のチェックマークが表示されるか、アドレスバーにロックされます.
    1. SSL証明書が高品質で検出不可能な偽造である場合、あなたとあなたのブラウザはそれが実際にGMailであると思うでしょう...SSL証明書が高品質で検出不可能な偽造物である場合、あなたとあなたのブラウザはそれが実際にGMailであると考えるでしょう…
  6. Googleのユーザー名とパスワードをGMailの高品質なクローンに入力して、攻撃者に送信します。攻撃者は、メール、ドキュメント、写真、連絡先、Googleアカウントに関連付けられているその他すべてのGoogleデータを制御できます.

とにかく、WebブラウザーはSSL証明書が有効かどうかをどのように判断しますか?

各オペレーティングシステム、スマートフォン、およびWebブラウザーには、特に構成しない限り、デジタル署名が自動的に信頼する数十の企業または政府のリストが事前にインストールされています(これについては後で説明します)。これらの信頼できる会社は認証局、またはCAと呼ばれ、そのリストの一部となるためには詳細な基準を満たす必要があります.

キーチェーンアクセスシステムルートこれには、Spotlightにアクセスしてアクセスできます > キーチェーンアクセス > システムルート.

これらの信頼できる認証局のいずれかによって署名された証明書をWebサイトが提示する場合、Webブラウザーはそれを「信頼するように事前設定されているこの認証局の署名が表示されます。このサーバーの証明書に署名しています。それは、そのサーバーの背後にいる人々を検証し、彼らが本物であることを本当に確認したことを意味します。したがって、この証明書も信頼し、緑色のチェックマークを表示するか、ユーザーにロックします。」

認証局は、パスポートなどの身分証明書を発行する中央の信頼できる機関に類似していると考えると役立ちます。パスポートを申請する際には、出生証明書、運転免許証、写真などの裏付け書類を持参する必要があります。また、写真に写っている人物であることを本人が確認できるように、本人が直接行う必要があるでしょう。旅行中は、パスポートを身分証明書として使用します。政府、ホテル、航空会社は、あなたがあなたのパスポートがあなたであることを確認する人物であることを信頼しています.

認証局はパスポート発行局に類似していると考えることができ、デジタル証明書はWebサイトの一種のパスポートまたはID文書と考えることができます。パスポートは(理想的には)偽造が難しく、有効期限があります。同様に、デジタル証明書は(理想的には)偽造するのが難しく、有効期限もあります。有効期限を過ぎると、パスポートとデジタル証明書は無効になります.

ブラウザやコンピュータが誰を信頼しているのかを当然のこととは言えません

シマンテックやGoDaddyなど、コンピュータが信頼するように自動的に事前設定されている認証局のいくつかに精通しているかもしれません。しかし、ご使用のオペレーティングシステムまたはブラウザーに、香港郵便局、オランダのStaat der Nederlanden Root CAと呼ばれる組織、および世界中のさまざまな政府のような遠方の組織のルート証明書が含まれていることをご存知ですか? (興味がある場合は、Firefoxが信頼する組織のリストをご覧ください).

リスクは、これらの認証局の1つが署名したときに起こることです 鍛造する 過失による偽装者からの証明書(CNNIC / MCSホールディングス/ Googleの大惨事で起こったと思われるもの)、または潜在的に悪意さえも.

インターネットで私たちが誰を信頼するかを再考する時ですか?

インターネット上の信頼は推移的に流れる. オペレーティングシステムとWebブラウザの開発者を信頼しています。インターネット上のデータを処理するGoogleなどの企業を信頼しています。さまざまなウェブサイトの身元を慎重に検証し、正当な所有者にのみSSL証明書を発行するために、いくつかの認証局を信頼しています.

偽造されたGoogle証明書の場合は、ブラウザが信頼するために本当に必要な認証局を確認することの重要性を強調しています. 通常アクセスするWebサイトによっては、実際に信頼している認証局のセットは、コンピューターで事前に信頼されている認証局のセットよりもはるかに小さい場合があります.

これについてできることは次のとおりです。

  1. コンピューターで事前に構成されたルート証明書の一部を無効にすることを検討してください。たとえば、通常オランダのウェブサイトを閲覧しない場合は、ブラウザが現在信頼していると思われる「オランダ政府、PKIoverheid」と呼ばれる権限を無効にすることをお勧めします。 CNNICのルート証明書を無効にすることもお勧めします.
  2. Googleには警戒心があり、信頼違反に迅速に対応した実績があるため、Chromeをデフォルトのブラウザにすることを検討してください.
  3. GoogleのCertificate Transparency Projectのようなプロジェクトをフォローしてください。これは、偽造された証明書にすばやく気付くための技術ソリューションを作成しています。今後数か月および数年にわたって、こうしたプロジェクトはプラグインを作成し、これらの問題の一部を解決するためにブラウザーとオペレーティングシステムを改善しますが、これらのソリューションは現在完全には利用できません.
  4. それまでの間、VPNを使用することを忘れないでください。攻撃者が偽造されたSSL証明書を使用しようとする可能性のある方法からユーザーを保護します。たとえば、VPNにより、攻撃者がDNSの結果を改ざんするのが非常に難しくなります.

参考文献:

認証局とは & 信頼階層? | GlobalSign
Googleの証明書の透明性プロジェクト

認証局の信頼違反により、インターネットの信頼階層に脆弱性が露呈する
admin Author
Sorry! The Author has not filled his profile.