Stefano Ortolani
25 lipca 2013 Klucze główne i luki Stefano Ortolani |
W ostatnich tygodniach dużo uwagi poświęcano doniesieniom o ujawnieniu kluczy głównych lub chińskich kluczy głównych (oba incydenty zaliczane są do krytycznych luk w platformie Android). Chociaż sprawa w końcu nieco ucichła, nadal czekamy na ostateczną odsłonę w Las Vegas na konferencji Black Hat w Stanach Zjednoczonych, podczas której Jeff Forristal (naukowiec, który wykrył jedną z wymienionych wyżej luk) wyjaśni wszystkie istotne szczegóły (nigdy nie wiadomo, czy nie będzie jakiejś niespodzianki). Niezależnie od tego, mamy wystarczająco dużo informacji, aby dokonać oceny wpływu tej luki na bezpieczeństwo.
Po pierwsze, termin „klucz główny” jest nieco mylący; luka ta w rzeczywistości nie ma związku z szyfrowaniem, ale dotyczy ukrywania wewnątrz aplikacji dla Androida (plik apk) dwóch wersji tego samego zasobu w celu częściowego obejścia niektórych metod kontroli integralności. Jednak wpływ luki...
Spośród tych metod, pierwsza (i najstarsza) technika obejmuje utworzenie przez urząd certyfikacji tzw. listy odwołanych certyfikatów (CRL). To wymaga, aby użytkownik sondował...