2 votes

user89900 avatar

Certificate Authority impersonation

Demandé el 31 de Juillet, 2011
Quand la question a-t-elle été
878 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Ma question est de savoir ce qui empêcherait une personne de prendre un certificat et de l'utiliser pour donner l'apparence de légitimité à son faux site. Disons que vous vous connectez à Amazon et que votre navigateur récupère ce certificat. Ensuite, cette personne met en place un site de phishing et utilise ce même certificat pour faire croire au navigateur que tout est légitime pour les personnes ayant cliqué sur le lien. Ou si le certificat est unique à cet ordinateur spécifique, qu'empêche un homme du milieu d'intercepter ce certificat et de l'utiliser pour se faire passer pour le site?

Merci d'avance.

Demandé el 31 de Juillet, 2011 par user89900

Réponses

Trop de publicités?

6voto

HostBits avatar
HostBits Points 11706

Le certificat présenté sur le site inclut la clé publique du site, en plus des informations d'identification et d'une signature numérique. Vous utilisez la clé publique pour chiffrer des informations, qui à leur tour ne peuvent être déchiffrées qu'avec la clé privée. La signature numérique est ce qui vérifie que les informations proviennent uniquement du détenteur de la clé privée (vérifie l'identité du site en signant avec la clé privée). En utilisant la clé publique pour chiffrer des données, seul le détenteur de la clé privée (le site d'origine présentant le certificat) pourrait les déchiffrer. Ainsi, personne d'autre ne pourrait déchiffrer ces données.

Comme le souligne Zoredache, vous avez besoin des deux clés pour effectuer toute sorte d'usurpation d'identité.

Répondu el 31 de Juillet, 2011 par HostBits (11706 Points )

1 votes

Avatar de jammus

Bien que le fond de votre réponse, un pirate a besoin des deux parties de la clé, soit valide, vous avez quelques inexactitudes dans ce que vous dites. La clé publique ne peut jamais décrypter les données. Une clé publique ne peut être utilisée que pour chiffrer des données, et seule la clé privée peut les décrypter.

Commenté el 31 de Juillet, 2011 par jammus

2 votes

Avatar de rrichter

@Zoredache: En général, dans un cryptosystème à clé publique, vous avez, pour un message M et une paire de clés P, S et deux opérations E, D telle que D(P, E(S, M)) == D(S, E(P, M)) == M; c'est-à-dire, le chiffrement d'un texte en clair avec une moitié de la paire de clés, suivi du déchiffrement du texte crypté avec l'autre moitié de la paire de clés donne comme résultat le texte en clair.

Commenté el 31 de Juillet, 2011 par rrichter

0 votes

Avatar de HostBits

@Zoredache, merci pour la clarification, j'ai légèrement mal compris le concept. J'ai mis à jour ma réponse.

Commenté el 31 de Juillet, 2011 par HostBits
Afficher 2 autres commentaires

0voto

Bruno avatar
Bruno Points 4069

Juste quelques points à ajouter à la réponse de @Cheekaleak.

L'Autorité de Certification (CA) est l'entité qui délivre un certificat pour un serveur (entre autres choses). En le faisant, la CA signe avec sa clé privée le contenu du certificat et y ajoute sa signature.

Pour indiquer qui a signé le certificat, les certificats X.509 ont un Nom distinct d'émetteur qui nomme la CA, en plus du Nom distinct de sujet identifiant l'entité pour laquelle le certificat est délivré.

Les CA ont eux-mêmes des certificats de CA, c'est-à-dire des certificats qui peuvent être utilisés pour délivrer d'autres certificats (en signant le certificat délivré en utilisant la clé privée correspondant à la clé publique dans le certificat de la CA, et en utilisant le DN de l'émetteur du certificat de la CA comme DN du certificat). Cela crée une hiérarchie allant des CA aux entités finales (par exemple, les serveurs), et il peut y avoir des certificats de CA intermédiaires (c'est-à-dire un certificat de CA utilisé pour délivrer un autre certificat de CA, qui peut ensuite être utilisé pour délivrer un certificat d'entité finale). Les certificats de CA racine en haut ont tendance à être auto-signés.

La façon dont les navigateurs évaluent leur confiance dans un Certificat d'Entité Finale donné (par exemple un certificat de serveur) est de construire la chaîne de certification entre le certificat de l'EE et un certificat de CA en qui ils ont déjà confiance (points d'ancrage de confiance). La plupart des systèmes d'exploitation/navigateurs sont fournis avec un ensemble de certificats de CA de confiance par défaut. (Le deuxième aspect de cela est que le navigateur vérifie que le certificat de l'EE a été délivré au nom du serveur auquel il veut se connecter.)

Le principal problème de ce modèle vient du fait que vous ne savez pas vraiment pourquoi vous devriez avoir confiance dans les certificats de CA qui sont inclus par défaut avec le logiciel que vous obtenez, car une CA malveillante ou mal gérée qui aurait son certificat de CA dans vos points d'ancrage de confiance pourrait délivrer un certificat avec le nom du site légitime.

Répondu el 5 de Août, 2011 par Bruno (4069 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X