Новости и события » Hi-Tech » Около 600 тысяч TLS-сертификатов GoDaddy, Apple и Google подлежат отзыву из-за проблем с энтропией

Около 600 тысяч TLS-сертификатов GoDaddy, Apple и Google подлежат отзыву из-за проблем с энтропией

Проблемы с энтропией в открытом инструментарии для удостоверяющих центрах EJBCA привели к формированию более миллиона TLS-сертификатов, подлежащих отзыву. Наибольшее количество проблемных сертификатов было выписано компаниями Apple, GoDaddy, Google и SSL.com.

Проблема связана с использованием при формирования серийных номеров для сертификатов генератора случайных чисел, выдающем 63 бита энтропии, вместо 64 бит. Соответственно сложность подбора каждого числа снизилась с 2 64 до 2 63 комбинаций (разница около 9 квинтиллионов). Требования, регламентирующие деятельность удостоверяющих центров, предписывают применение как минимум 64-разрядных серийных номеров, поэтому все находящиеся в обиходе проблемные сертификаты подлежат отзыву и замене.

Использование 63 бит вместо 64 обусловлено тем, что при генерации серийного номера пакетом EJBCA применялось приведение значения к положительному целому числу, т. е. чтобы избежать появления отрицательных значений принудительно очищался старший бит. Таким образом значение одного бита в 64-разрядном числе оказалось изначально известным.

Снижение числа бит в серийном номере незначительно снижает стойкость сертификата к атакам, основанным на подборе коллизий - становится проще подобрать параметры, на основе которых можно получить поддельный сертификат с идентичной цифровой подписью. Тем не менее стойкости 63 битовой энтропии более чем достаточно для обеспечения безопасности в современных реалиях и угроза компрометации исключена даже при использовании уязвимых хэш-функций MD5 и SHA1, которые на практике не применяются и не поддерживаются браузерами с начала 2017 года.

Наибольшее число проблемных сертификатов было создано компанией Apple - около 878 тысяч TLS-сертификатов, из которых время жизни еще не истекло для 558 тысяч. Еще около двух тысяч проблемных сертификатов было сгенерировано для S/MIME. Сертификаты генерировались с 2017 года и при этом по недосмотру было пропущено предупреждение о недостаточном размере серийного номера.

Компания GoDaddy изначально предположила наличие 1.8 млн проблемных сертификатов, но точный анализ показал, что проблема присутствовала только в 286 тысячах сертификатов, из которых 12152 остаются активными (проблемные сертификаты выписывались с 2016 года). Компания Google с 2016 года выписала около 100 тысяч проблемных сертификатов, из которых активными остаются только 7100. Компания SSL.com сформировала 6931 проблемных сертификатов.

Так как сертификаты должны быть отозваны в течение нескольких дней, возможно появление предупреждений о проблемах с безопасным доступом к сайтам, с владельцами которых не смогли связаться удостоверяющие центры или администраторы которых не успели установить новый сертификат.

Apple


Магія східної кухні: особливості та традиції

Магія східної кухні: особливості та традиції

Східна кухня відома різноманіттям ароматів та смаків. Вона заснована на глибоких традиціях, історії та має особливості приготування. Звички формувалися впродовж багатьох століть під впливом різних культур та географічних особливостей. Вони присутні в кожній...

вчера 15:32

Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх