Evet tahmin edebileceğiniz gibi geleceğin güvenlik tedbirleri arasında dijital sertifikalar bulunuyor. Şimdilerde ülkemizde de bu konuda e-devlet projesi kapsamında çeşitli çalışmalar mevcut. Bu platforma şifre ile girebileceğiniz gibi (PTT ‘lerden temin ediliyor), kendi dijital sertifikalarınızı kullanıp ta girebiliyorsunuz (Henüz çalışmıyor nedense-çalışmasını da beklemiyordum-). Bu konuya sonra daha ayrıntılı olarak döneceğim, gelelim yeni SSL kırma yönetimine…
SSL ibresini gördüğünüz her internet sitesi güvenli sanıyorsanız, yanılıyorsunuz. Araştırmacıların gerçekleştirdiği bir yöntem ile, Internette bulunan dijital sertifika altyapısı, ufak bir phising saldırısı ile kırılaibliyor.Berlin’de gerçekleştirilen 25. Chaos Communication Kongresi’nde gerçekleştirilen bir uygulama ile MD5 Hash algoritmasına sahip bir SSL bağlantısını aktif iken kırabiliyorsuz. Yaklaşık 200 PS3 cluster’ı kullanılarak gerçekleştirilen yöntem, MD5′in “collison” açıklığını kullanıarak yapılmış ki,
Bu zaafiyet her ne kadar önemli gibi gözükse de, MD5 artık eski bir hash algoritması olarak karşımıza çıkıyor. Bunun yerini artık daha güvenli ve yeni olan SHA-1 ve türevleri almış bulunuyor. Yaklaşık 30000 Web dijital sertifikasının 9000′inin MD5 olduğunu hesaplanmış ve bu kabataslık %30 gibi bir değere tekabül ediyor ki, bu çok ciddi bir güvenlik açığı. Aralarında RapidSSL, RSA Data Security, VeriSign Japan, FreeSSL, TrustCenter gibi firmaların bulunduğu bu konuda, tüm firmalar Dijital imzalarını MD5 ile hashlemiş durumda. Bu CA’ların yakın bir zamanda SHA-1′e geçiş yapmaları beklenirken, bunu yapmak kısa vadede operasyonel zorluklar gerektirdiğinden şimdilik pek mümkün gözükmüyor.
MD5′tan SHA-1 ‘e geçmek te ayrı bir konu. SHA sadece daha güvenli, ne yazık ki daha yeni değil. Bunun yerine SHA-2 ve 3 gibi algoritmalarda kullanılabilir. Uzmanlar umarım bunun bilincindedir. Benim şu an için tek önerim ise, kullandığınız website güvenlik politikalarına dikkatlide gözgezdirmeniz. Bunu ilgili sitelerde internet tarayıcınızın sağ altında çıkan, küçük kilit işaretine tıklayarak bakabilirsiniz.
Windows Live Hizmetine girip, sağ alttaki kilit ikonuna tıklıyoruz.
SHA-1 ve MD5 Hash’lerini görebilirsiniz. Gördüğünüz gibi SHA-1 daha uzun bir bit oranına sahip.
Verisign tarafından gerçekleştirilen hizmet SHA-1 kullanıyor. Sanırım Windows Live için şimdilik güvenli diyebiliriz =)
Güncelleme:
Yukarıdaki Windows live hizmeti için son imajdaki bilgi kısımlarından “Serial” kısmının degeri 16-byte’lik “6F:51:21:0C: 12:4G:AB: FF:41:63: E3:38:8C: 25:9E:G4″ tarzinda degil de, basit bir “451014″ ise, iste tehlike burada basliyor demektir.
Firefox için SSL Blacklist eklentisi yayınlandı. Bu eklenti sayesinde MD5 hash’in sahip SSL’ler bloklanabiliyor.
Bu olayın çok kısa bir özeti idi. Epeydir duyum almıyordum ancak geçenlerde üyesi olduğum internet güvenlik gruplarından birinde konu tekrar gündeme geldi. Grup’ta ilgili kurumların da yetkilileri olduğundan, özellikle Güvenlik birimlerimiz (Emniyet Müdürlükleri) ve Operatörler arasında konu ile ilgili çeşitli toplantılar yapıldığını öğrendim. Fazla detay verilmek istenmese de, çeşitli harekat planları oluşturulmuş ve özellikle kullanıcıların bilinçlendirilmesi ve hukuki boyutlar gibi konular tartışılmış. Turkcell’in ilgili güvenlik bildirimine buradan ulaşabilirsiniz.
