I senaste numret av Cisco IP Journal Volume 13 Number 1 så belyses ett problem som uppstår när DNSSEC börjar att användas och bandbreddsförbrukningen mer än dubbleras:

In other words, in this example scenario with stale Trust Anchor keys in a local client’s resolver, a single attempt to validate a single DNS response will cause the client to send a further 844 queries, and each .com Name Server to receive 56 DNSKEY RR queries and 4 DS RR queries…

The problem with key rollover and local management of trust keys appears to be found in around 1 in every 1,500 resolvers in the in-addr.arpa zones. With a current client population of some 1.5 million distinct resolver client addresses each day for these in-addr.arpa zones, there are some 1,000 resolvers who have lapsed into this repeated query mode following the most recent key rollover of December 2009. Each subzone of in-addr.arpa has six Name Server records, and all servers see this pathological re-query behavior following key rollover.

Följ oss på Twitter: http://twitter.com/kryptera

Root-zonen har nu äntligen blivit signerad! Vi pratar så klart om den nya standarden för säker DNS som går under namnet DNSSEC. Sverige har länge varit pionjärer inom detta område då .SE som sköter om .SE-zonen länge erbjudit innehavare av .SE-domäner att signera sina zoner (domännamn). Jakob Schlyter och Fredrik Ljunggren är de två konsulter som jobbat åt .SE att implementera nyckelhanteringen.

Nyckelgenereringscermonin ägde rum i Culpeper, Virginia /USA där även Anne-Marie Eklund Löwinder från .SE närvarade förutom delegater från  ett antal länder som såg till att allt gick rätt till.

Mer information finns på root-dnssec.org eller opendnssec.org.

Uppdatering: En läsare uppmärksammade att root-zonen signeras den 15:de Juli. Det är enbart singerings-ceremonin som inträffat ännu.

Följ oss på Twitter: http://twitter.com/kryptera

En sårbarhet har identifierats i det förfarande som MD5 används tillsammans med signering av SSL certifikat. Genom att kombinera två äldre publika attacker:

• MD5 kollisioner
• X509 och MD5-kollisioner i dessa

Så har säkerhetsforskarna Alexander Sotirov, Jacob Appelbaum lyckats att skapa egna SSL-certifikat för godtycklig domän. De skulle exempelvis vara möjligt att skapa ett giltigt certifikat för swedbank.se med hjälp av denna attack. Dock så måste denna attack kombineras med någon annan attack mot exempelvis DNS.

We have identified a vulnerability in the Internet Public Key Infrastructure (PKI) used to issue digital certificates for secure websites. As a proof of concept we executed a practical attack scenario and successfully created a rogue Certification Authority (CA) certificate trusted by all common web browsers. This certificate allows us to impersonate any website on the Internet, including banking and e-commerce sites secured using the HTTPS protocol.

Our attack takes advantage of a weakness in the MD5 cryptographic hash function that allows the construction of different messages with the same MD5 hash. This is known as an MD5 ”collision”. Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios. Our current work proves that at least one attack scenario can be exploited in practice, thus exposing the security infrastructure of the web to realistic threats.

HD Moore på BreakingPoint Labs har skrivit en lång och utförligt inlägg om detta: breakingpointsystems.com/community/blog/Attacking-Critical-Internet-Infrastructure.

Läs även:

MD5 considered harmful today

Creating a rogue CA certificate

Följ oss på Twitter: http://twitter.com/kryptera

Ben Laurie från Google samt Dr. Richard Clayton från Cambridge University har identifierat att om två nyligen upptäckta sårbarheter kombineras så är det möjligt för en attackerare att göra man-in-the-middle attacker.

Detta är dock inget lätt problem att lösa betonar forskarna eftersom CRL:er används mycket sällan i dessa fall.

Läs mer om denna sårbarhet: securityfocus.com/archive/1/495258/30/0/

Vi har tidigare skrivit om Debians slumptalsproblem:

• Föredrag om Debians OpenSSL-problem

• Dåliga slumptal i Ubuntu och Debian

Följ oss på Twitter: http://twitter.com/kryptera