Các nhà nghiên cứu của Google đề xuất cách ra khỏi thế lưỡng nan của SSL

Googleresearchers propose way out of the SSL dilemma

5 December 2011, 10:00

Theo:http://www.h-online.com/security/news/item/Google-researchers-propose-way-out-of-the-SSL-dilemma-1389182.html

Bài được đưa lênInternet ngày: 05/12/2011

Lờingười dịch: Việc các cơ quan chứng thực CA trong thờigian vừa qua bị tấn công và lấy đi nhiều chứng thựcđã làm cho sự tin cậy vào các site trên Internet trở nênkhó tin hơn bao giờ hết. Để giải quyết vấn đề này,Google đã đề xuất biện pháp mới để cải thiện chohạ tầng khóa công khai PKI với các HTTPS bằng việc đưara một danh sách công khai tất cả các chứng thực từtrước tới nay được tất cả các cơ quan chứng thựcCA phát hành để kiểm tra ngay tại thời điểm truy cậpInternet xem chứng thực đang sử dụng có còn hợp lệ haykhông. Nếu là không, thì các trình duyệt web sẽ lập tứcđối xử với chứng thực đó như là không hợp lệ. Xemthêm: [01],[02],[03],[04],[05],[06],[07].

Trong một tài liệucó đầu đề Khả năng kiểm toán và Sự minh bạch củacác Cơ quan Chứng thực, các nhà nghiên cứu của GoogleAdam Langley và Ben Laurie đã đề xuất các biện pháp mớicho việc cải thiện độ tin cậy của hạ tầng khóa côngkhai (PKI) chống trụ cho HTTPS. Ý tưởng của các nhànghiên cứu là dựa vào một danh sách công khai của tấtcả các chứng thực từ trước tới nay được các cơquan chứng thực phát hành.

Có 2 vấn đề vớihệ thống hiện hành đối với các site web về an ninh.Trước hết, nếu một kẻ tấn công có khả năng thâmnhập trái phép bất kỳ một trong hơn 100 cơ quan chứngthực (CA) nào và giành được một chứng thực đối vớimột máy chủ như ebay.com, thì những người sử dụng đầucuối không có cách gì để xác định được sự giảmạo cả. Thứ 2, cũng không có khả năng đối với mộtcông ty như eBay xác định rằng một CA đã phát hành mộtchứng thực không được quyền cho các máy chủ củamình.

Các nhà nghiên cứutin tưởng rằng một danh sách công khai có thể giúp làmnhẹ bớt các vấn đề. Bất kỳ khi nào một trang webHTTPS được truy cập, thì các trình duyệt có thể kiểmtra chứng thực đó được máy chủ cung cấp nằm trongcác danh sách được công khai đó. Nếu chứng thực đókhông hiện diện, thì trình duyệt có thể hành xử vớinó như là không tin cậy. Các công ty cũng có thể có khảnăng giám sát tích cực các danh sách, cho phép họ pháthiện ra bất kỳ chứng thực nào được phát hành ra mộtcách giả mạo. Các tội phạm mà đã giành được cácchứng chỉ giả mạo có thể không bao giờ còn có khảnăng sử dụng được chúng nữa. Các cây chữ ký củaMerkle có thể được sử dụng để đảm bảo tính toànvẹn của các danh sách.

Liệu đề xuất nàysẽ có được triển khai hay không, và nếu có, thì khinào, vẫn còn chưa được xác định. Một tiếp cận lựachọn thay thế khác - ở dạng Hội tụ mở rộng củaFirefox - đang được chuyên gia an ninh Moxie Marlinspike theođuổi.

Ina paper entitled CertificateAuthority Transparency and Auditability, Google researchers AdamLangley and Ben Laurie have proposed new measures for improving thetrustworthiness of the public key infrastructure (PKI) underpinningHTTPS. The researchers' idea is based on a public list of allcertificates ever issued by certificate authorities.

Thereare two problems with the current system for secure web sites.Firstly, if an attacker is able to penetrateany one of the more than 100 certificate authorities and obtain acertificate for a server such as ebay.com, end users have no way ofspotting the fraud. Secondly, it is also impossible for a companysuch as eBay to determine that a CA has issued an unauthorisedcertificate for its servers.

Theresearchers believe that a public list would help alleviate bothproblems. Whenever an HTTPS web page was accessed, browsers wouldcheck that the certificate supplied by the server was on one of thesepublic lists. If the certificate was not present, the browser wouldtreat it as untrusted. Companies would also be able to activelymonitor the lists, enabling them to discover any fraudulently issuedcertificates. Criminals who managed to obtain fake certificates wouldno longer be able to make use of them. Merklesignature trees would be used to ensure the integrity of thelists.

Whetherthe proposal will be implemented and, if so, over what sort oftimescale, is still undetermined. An al-ternative approach – in theform of the Firefox extension Convergence– is being pursued by security expert Moxie Marlinspike.

(sno)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com