Мемлекеттік техникалық қызмет

«Мемлекеттік техникалық қызмет» АҚ .KZ жоғарғы деңгейдегі ұлттық домендерді зерттеу барысында KZ-CERT Компьютерлік инциденттерге ұлттық әрекет ету қызметі әртүрлі интернет-ресурстарда сертификаттармен байланысты бірқатар проблемаларды анықтағанын хабарлайды. Зерттеу олардың SSL/TLS сертификаттарының (тіркеу куәліктерінің) сапасын бағалау тұрғысынан 170 000-нан астам интернет-ресурстарға қатысты жүргізілді. Бұл ақпараттық қауіпсіздіктің маңызды аспектісі, өйткені SSL/TLS сертификаттар клиенттер мен серверлер арасындағы қауіпсіз байланысты қамтамасыз ету үшін қолданылады.

Анықталған проблемалар осы интернет-ресурстардағы пайдаланушы деректерінің қауіпсіздігі мен қорғалуына әсер етуі мүмкін. Зерттеу барысында SSL/TLS сертификаттарымен ғана емес, сонымен қатар интернет-ресурста қолданылатын шифрлар жиынтығымен (cipher suites) байланысты мәселелерге назар аударылды. Мұндай проблемалардың мысалдары ескірген немесе жарамсыз сертификаттарды, дұрыс емес шифрлау параметрлерін немесе заманауи криптографиялық хаттамаларды жеткіліксіз пайдалануды қамтуы мүмкін.

KZ-CERT мамандары 126 мыңнан астам интернет-ресурстардың ақпараттық қауіпсіздік бөлігінде ықтимал проблемалары бар екенін анықтады. Бүгінгі таңда 5809 проблема сәйкестендірілді, оның 38% білім беру саласына жатады, оның 8%-да қолданылу мерзімі өткен SSL сертификаты бар.

1 сурет 

2 сурет 

Талдау барысында кейбір серверлер ұзындығы 3072 биттен асатын кілттері бар RSA алгоритмін қолданатыны анықталды. Олар аутентификация кезінде өнімділік проблемаларына тап болуы мүмкін. Бұл көптеген пайдаланушылармен байланыстың кешігуіне және тіпті қызметтің қолжетімсіздігіне әкелуі мүмкін.

RSA кілттерін қолданудағы техникалық мәселелер Cipher Block Chaining (CBC) режимін қолдана отырып, Advanced Encryption Standard (AES) шифрлау кезінде де, әсіресе TLS 1.0, SSL 3.0 және одан төмен нұсқаларда туындауы мүмкін. CBC режимі ашық мәтінге жасалған шабуылдарға да осал. Қауіпсіздікті күшейту үшін Galois/Counter Mode (GSM) режимін пайдалану ұсынылады.

Triple-DES (3DES ede CBC) алгоритмі бұрын осал болып, ескірген болып саналады. Стандарттау жобалары CBC режимімен байланысты тәуекелдер мен осалдықтарға байланысты оны пайдаланудан бас тартуда.

RC4 128 шифрлау анықталған осалдықтарға байланысты ескірген және қауіпті болып саналады, сондықтан TLS протоколдарында қолдануға тыйым салынады.

HMAC SHA1 де ескірген және осал болып саналады, өйткені бірдей SHA-1 хэшімен екі түрлі деректер жиынтығын құру мүмкіндігі көрсетілді. Деректердің қауіпсіздігін қамтамасыз ету үшін SHA-256 немесе SHA-3 сияқты хэш мүмкіндіктерінің заманауи нұсқаларын пайдалану ұсынылады.

Ескірген қорғаныс әдістері пайдаланушыларды бұзу қаупіне ұшыратуы мүмкін. Зиянкестер құпия ақпаратқа қол жеткізу үшін осы әдістердің осалдықтарын пайдалана алады. Осы ескірген әдістердің кейбіреулері оңай бұзылады, бұл ақпаратқа рұқсатсыз қол жеткізу мүмкіндігін арттырады. Егер шифрлау кілттері «таралып кетсе», зиянкестер үлкен көлемдегі ақпараттың шифрын аша алады. Бұл жеке деректердің ұрлануына немесе пайдаланушылар үшін қаржылық шығындарға әкеп соғуы мүмкін.

Талдау бойынша ұсыныстар мен егжей-тегжейлі ақпаратты, басқа домендік аймақтарда орналасқан интернет-ресурстар бойынша сертификаттар туралы ақпаратты CERT.GOV.KZ сайтының ұсыныстар бөлімінен табуға болады.