Szyfruj, jak mówimy, a nie jak robimy: Certyfikaty NSA i SHA-1

As Bruce Schneier a inni donosili, twoi przyjaciele z National Security Agency Dyrekcja ds. Zapewnienia Informacji (IAD) opublikował ostatnio często zadawane pytania dotyczące ich nowego pakietu Commercial National Security Algorithm Suite, mającego na celu zabezpieczenie przyszłych systemów bezpieczeństwa narodowego przed nadchodzącym zagrożeniem ze strony komputerów kwantowych. Wśród ich zaleceń jest użycie SHA-384 do podpisywania certyfikatów (krok od SHA-2, obecny standard branżowy).

Jeden mały problem z linkiem IAD do ich FAQ - po kliknięciu wyświetla tę wiadomość:

IAD_SOL
Szybka kontrola o godz SSLKupujący pokazuje, że certyfikat dla iad.gov używa przestarzałej (i niebezpiecznej) sygnatury SHA-1 i najwyraźniej ma uszkodzony łańcuch zaufania do uruchomienia - problemy są na tyle poważne, że można je czerwona flaga przez wszystkich nowoczesne przeglądarki.

Kolejnym dowodem, jak sądzimy, jest to, że trudno jest osiągnąć doskonałe bezpieczeństwo - nawet jeśli jesteś oddziałem NSA.

Link (niepewny jak na ten moment) do IAD FAQ jest tutaj - używaj na własne ryzyko.

Subskrybuj biuletyn SSL.com

Nie przegap nowych artykułów i aktualizacji z SSL.com

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.