一群安全研究員在德國柏林舉行的Chaos Communication Congress(CCC)大會上公布網路公開金鑰架構(Public Key Infrastructure,PKI)漏洞的概念驗證攻擊模式,由於該漏洞可讓駭客藉以發行偽造的認證憑證,而取得瀏覽器的信任,因此該發現意味著網路銀行及電子商務交易風險的昇高,對此微軟也立即發布安全通告。
這群安全研究人員分別來自美國、荷蘭及瑞士等不同國家,有密碼學專家,也有學術或私人機構的安全研究人員;根據該團隊的說明,他們利用MD5密碼hash功能的漏洞,讓不同的文件擁有同樣的hash值。
MD5是一種編碼技術,其中的hash功能是根據文件內容數據透過邏輯運算而得到一個獨一無二的數值,用以驗證該份文件在傳遞的過程中未被更改,即使是檔名相同的文件都會有不同的hash值。hash值等於是文件或是網站的身份證,也被電子商務網站作為驗明正身的基礎,防堵網路釣魚攻擊。
在該團隊發布該攻擊模式之後,雖然該漏洞並不是出自微軟產品,但微軟也隨即發布安全通告。微軟在961509通告中指出,由於研究人員並未公布這種攻擊的密碼學背景資訊,因此對使用者不會帶來重大的安全風險的提升。目前並未發現相關的攻擊事件外,微軟也正積極與數位憑證授權中心(Certificate Authorities, CA)合作,並鼓勵他們轉向較新與較安全的SHA-1簽章演算法。
事實上安全研究人員自2004年起就發現該hash功能有被攻擊的危險,因為它所擁有的漏洞讓駭客有機會以不同的內容使用同樣的hash值;該團隊則證實了至少有一種攻擊模式能攻陷網站的安全架構而引發實際的威脅。
他們創造出一個偽造的安全憑證,此一安全憑證可被所有的瀏覽器驗證為有效及可信任,因此,任何網站使用他們的憑證都可被視為是真實且安全的,其連結同樣會出現顯示安全模式的https://,而即使細究網站的驗證資格也會呈現沒問題的狀態。
該團隊表示,此一概念性驗證程式顯示了駭客將能偵測或干預傳送到安全網站的資料,其中銀行及電子商務網站的風險更高,因為這些用https來保護的資訊更有價值,駭客更可依此執行網釣攻擊,而且不容易被偵測到。
雖然之前就有安全人員警告MD5的hash功能有安全風險,但迄今仍有部份憑證使用該功能。
這群研究人員展示了他們攻陷Verisign的RapidSSL安全認證機制,並創造出偽造的數位憑證標籤。
此一團隊揭漏的並非SSL協定、網路伺服器或是瀏覽器漏洞,而是公開金鑰架構漏洞,公開金鑰架構被應用在各種需要數位簽章或公開金鑰加密的服務中,涵蓋網路、程式碼簽章、電子郵件安全等。為了讓認證機構有時間補救該漏洞,精確的報告預計會在數月後才發表。(編譯/陳曉莉)
熱門新聞
2026-01-16
2026-01-16
2026-01-18
2026-01-16
2026-01-16
2026-01-16