قبل ثلاثة أيام ،
تم إنشاء
رسالة انتهاك جماعي على قائمة البريد mozilla.dev.security.policy في إنشاء شهادات TLS. أظهر التحقيق أن العديد من هيئات التصديق تأثرت ، بما في ذلك
GoDaddy و
Apple و
Google . إجمالي عدد الشهادات غير الصحيحة يتجاوز مليون ، وربما أكثر من ذلك بكثير. حددت GoDaddy مبدئيًا
رقم 1.8 مليون شهادة ، ثم خفضت التصنيف بمقدار أمرين من حيث الحجم إلى 12000. ودعا متحدث باسم Apple الرقم
558000 شهادة .
خلاصة القول هي أن جميع الإصابات CA استخدمت حل
EJBCA مفتوح المصدر PKI مع إعدادات غير صحيحة ، ونتيجة لذلك تم استخدام الأرقام العشوائية من مساحة 63 بت للأرقام التسلسلية للشهادة ، والتي تنتهك
متطلبات الحد الأدنى من الكون
CA / B المنتدى (64 بت).
الفرق بين 2
63 و 2
64 يتجاوز 9 خمسة ملايين ، أي 9 × 10
18 ، وهذا رقم مهم للغاية (على الرغم من أن الفرق هو النصف فقط). يجب إلغاء جميع الشهادات. بالنسبة لـ SSL.com و GoDaddy ، سيستغرق الإجراء 30 يومًا ، وقد يستغرق الأمر للآخرين حوالي نفس الوقت ، على الرغم من أن معايير RFC5280 مطلوبة لإلغاء الشهادات غير الصالحة في غضون خمسة أيام. لكن من الواضح أنه ليس لديهم وقت للوفاء بالمعايير.
كيف حدث هذا؟ أظهر
تحليل أولي أنه بالنسبة لجميع الشهادات ، يبلغ طول الحقل المقابل 64 بت: لا أكثر ولا أقل. إذا كانت RNG تنتج 64 بت من الإنتروبيا وكانت جميع الشهادات 64 بت بالضبط ، فسيكون كل شيء على ما يرام للوهلة الأولى. ولكن المشكلة هي أنه وفقا ل
RFC5280 :
الرقم التسلسلي
يجب أن يكون الرقم التسلسلي عددًا صحيحًا موجبًا يعينه المرجع المصدق لكل شهادة. يجب أن تكون فريدة من نوعها لكل شهادة صادرة عن مرجع مصدق معين (أي اسم الناشر والرقم التسلسلي يحددان شهادة فريدة).
يجب أن تتحكم CAs بشكل صارم في إجراءات إصدار CERT بحيث لا يكون الرقم التسلسلي صحيحًا سالبًا. تشير متطلبات التفرد الموضحة أعلاه إلى أن الأرقام المتتالية يمكن أن تكون أعدادًا صحيحة طويلة. يجب أن يكون مستخدمو CERT قادرين على معالجة قيمة في الحقل الفرعي الرقم التسلسلي بطول يصل إلى 20 ثماني وحدات (شاملة). يجب ألا تستخدم المراجع المصدقة التي تتبع هذا المعيار قيمًا في الحقل الفرعي الرقم التسلسلي أطول من 20 ثماني وحدات.
طلب رقم موجب يعني أنه لا يمكن ضبط البتة الأكثر أهمية. إذا تم تثبيته ، فلا يمكن استخدامه مباشرة كرقم تسلسلي للشهادة.
يقوم نظام EJBCA PKI الشائع ، والذي يستخدمه العديد من المراجع المصدقة (CA) ، بشكل افتراضي بإنشاء أرقام 64 بت ولأرقام الشهادة ، تقوم ببساطة بإعادة تعيين بت الأكثر أهمية. وهذا هو ، في الواقع ، RNG الخاصة بهم تنتج أرقام 63 بت ، وهذا هو السبب في أن العديد من المراجع المصدقة قد تضررت.
تمت صياغة المتطلبات الافتراضية 64 بت لـ RNG ليس من نقطة الصفر ، ولكن بعد
اختراق عام 2008 ، عندما أحدثت مجموعة من 200 وحدة تحكم لعبة PlayStation 3 تصادمات لتجزئة MD5 ، مما
يسمح بإنشاء مركز مصادقة مزيف تثق فيه جميع المتصفحات وأنظمة التشغيل .
في عام 2012 ،
استخدم سلاح الفضاء الإلكتروني الأمريكي Flame هذه الخدعة للتسلل إلى آلية تحديث Windows Update.
ومع ذلك ، يتم الآن استخدام SHA256 للتوليد ، وهي خوارزمية أكثر حداثة مقارنةً بـ MD5 ، لذلك تم اعتماد الحد الأدنى المطلوب البالغ 64 بت للأغراض الوقائية.
يقول الخبراء
إنه لا توجد الآن فرصة للعثور على تصادمات في 63 بت واستغلال الخطأ الموجود بشهادات غير صحيحة بطريقة أو بأخرى.
لكن إبطال ملايين الشهادات يمثل صداعًا لمسؤولي النظام في العديد من الشركات.
إن فقدان 1 بت من الانتروبيا ليس أمرًا فظيعًا ، لكن شخصًا ما في مكان ما يمكنه أن يجد ثغرة أمنية تسرق 1-2 بتات أخرى ، وهكذا. لذلك يجب أن تكون ثابتة جميع هذه الثغرات الأمنية على الفور.
