SSL kryptauksen varmuudesta

No niin, vielä ois viikko ennen Java Onea, pian pääsen kuulemaan uutuuksia ja julkistuksia ja leikkimään paljon JavaFX:llä ja Oraclen Fusion kilkkeillä. Sitä odotellessa osui silmään artikkeli jälleen kerran jossa oli SSL protokollaa onnistuttu murtamaan.

http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Tämä sattuu olemaan omasta mielestä kiinnostavaa koska SSL:n varassa jyllää lähes kaikki maailman pankki ja kauppapaikkasovellukset, sekä monet integraatiohankkeet joissa luottamuksellisuus on tärkeää. Haavoittuvuuksien suhteen on aina hyvä huomioida onko kyseessä helposti sovellettava, laajalti sovellettava, ja kuinka kauan se vie aikaa, mutta tässä tapauksessa huolestuttavaa näyttäisi olevan että TLS 1.0 ja SSL vanhemmat versiot ovat haavoittuvia, ja tälle immuunit TLS 1.1 ja 1.2 versiot taas harvinaisia käytössä. BEAST käyttää noin kaksi sekuntia per byte kryptatun cookien (eväste, keksi vai taikapipari? 😉 murtamiseen. Ja olen jo aiemmin kuullut huhuja ja legendoja rautapohjaisista ratkaisuista jotka toimivat jopa nopeammin.

Olen itsekin aika ajoin pohdiskellut, että kun on ennustettu kvanttilaskennen joku päivä vielä murtavan kryptosuojauksia millisekunneissa, ja joka kuukausi tuo mukanaan uusia kikkoja kiertää itse salaus hyödyntäen protokollatason heikkouksia, miten pitkään SSL säilyy käyttökelpoisena… Ja mitä tehdään kun se ei sitä enää ole?

Sitä odotellessa, jos on tilaisuus käyttää TLS 1.1 ja 1.2 versioita ilman ongelmia tai käyttäjäkatoa, kannattaa harkita asiaa.. 😉

Mainokset

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s