Moxie Marlinspike, välkänd från SSL-attacker och verktyg så som sslstrip och sslmitm, har tillsammans med en till snubbe släppt en draft för att komplettera SSL/TLS så att tilliten till CA:s kan minska. De senaste två åren har det ju varit flera omskrivna attacker och misskötsel från CA:s som har eroderat förtroende för SSL, så vi kan vara TACKsamma för Moxie's bidrag till att lösa det här. Tidigare har han bland annat ordat för Convergence.
Vad TACK gör är att lägga till ytterligare ett lager med publik/privat nyckel, där enbart DU och inte någon CA kontrollerar den privata nyckeln. Därav behöver någon kompromettera även TACK-nyckeln för att göra en MITM-attack.
Det har kommit en RFC-draft på en TLS-extension som kan användas för certifikat pinning, något som Google Chrome introducerade för ungefär ett år sedan, och som lustigt nog även låg bakom att intrånget mot Diginotar upptäcktes då någon sannolikt körde just Moxie's verktyg sslmitm i den iranska infrastrukturen.
Så, TACK för det. Får se hur det här slår. Nu finns det i alla fall ett par seriösa alternativ till att enbart förlita sig på CA-systemet.
Inga kommentarer:
Skicka en kommentar