È possibile falsificare la CA di qualsiasi server per firmare qualche applicazione? Come per le richieste di CarbonCopy ?
È possibile falsificare la CA di qualsiasi server per firmare qualche applicazione? Come per le richieste di CarbonCopy ?
CarbonCopy crea un certificato autofirmato che assomiglia al certificato originale, cioè il soggetto, l'emittente ecc sembra corrispondere. Ma il certificato non è affatto firmato dall'emittente specificato. Ciò significa che se viene eseguita una corretta convalida del certificato, non verrà trovata alcuna ancora di trust locale e il certificato verrà rifiutato come non attendibile.
No, non è possibile. I certificati sono un albero incatenato, in cui ogni certificato è incatenato a un altro tramite firma digitale. catena termina con un certificato di root che viene presentato in un modulo autofirmato e deve essere esplicitamente considerato come un client.
Quando falsi il certificato, avrà una firma diversa creata da una chiave pubblica non legittima. Quando si tenta di associare un certificato di spoofing a una catena legittima, il certificato CA padre avrà esito negativo la convalida della firma del certificato di spoofing. Cioè, al fine di spoofare correttamente il certificato CA, è necessario, rubare o ricostruire la coppia di chiavi. Entrambe le opzioni sono abbastanza difficili.
In teoria, se tutto è fatto correttamente, non dovrebbe essere possibile falsificare una firma. In realtà, tuttavia, ci sono stati casi in cui le firme digitali in natura sono state simulate (o potenzialmente "simulabili") a causa di crittanalisi o hacking. C'è un recente articolo su come l'uso della scarsa generazione di chiavi pubbliche in vari server e dispositivi abbia portato alla creazione di chiavi deboli che a loro volta possono essere potenzialmente violente e generare firme false. Ecco un ottimo articolo sull'argomento: link
Altri modi potrebbero essere creare le proprie chiavi e firmare e in qualche modo attaccare il sistema di destinazione installando un altro certificato di root che verificherebbe la tua firma falsa. Esistono in realtà motivi legittimi limitati per cui si dovrebbe creare una CA privata e archiviarli come certificati di root sui computer che si gestiscono (ad esempio, in una rete aziendale in cui è necessario monitorare le comunicazioni SSL in uscita). con intenzioni malevole, è un attacco molto potente che causa molti problemi, ma non è etico e non dovrebbe mai essere fatto.
Genera sempre le chiavi in modo sicuro e proteggile e non compromettere PKI!
Leggi altre domande sui tag malware certificate-authority spoofing