| Περίληψη |
Η διαθέσιμη πληροφορία στο διαδίκτυο έχει αυξηθεί με τεράστιους ρυθμούς τόσο σε
όγκο όσο και σε πολυπλοκότητα και η τάση αυτή προβλέπεται να συνεχιστεί.
Επιπρόσθετα τα διαμοιραζόμενα δεδομένα αφορούν ευαίσθητες πληροφορίες και ως
αποτέλεσμα η διασφάλιση τους είναι απαραίτητη. Στο βασικό πρωτόκολλο μεταφοράς
υπερκειμένου Hypertext Transfer Protocol (HTTP) η πληροφορία είναι σε μορφή απλού
κειμένου κατά την ανταλλαγή μηνυμάτων, με αποτέλεσμα οποιοσδήποτε να μπορεί να
την υποκλέψει. Επίσης, πολλαπλές μελέτες έχουν δείξει την ευκολία μίας επίθεσης για
τον έλεγχο μιας συνεδρίας HTTP. Οι παραπάνω λόγοι εντείνουν την ανάγκη για την
ύπαρξη κρυπτογραφημένης επικοινωνίας από την πηγή στον προορισμό (Ε2ΕΕ: End-toEnd
Encryption), όχι μόνο σε ιστοσελίδες στις οποίες πραγματοποιούνται οικονομικές
συναλλαγές, αλλά καθολικά. Το πρωτόκολλο HTTPS (HTTP over SSL) αναπτύσσεται για
να καλύπτει τις προαναφερθείσες ανάγκες και πλέον το 2017 έχει φτάσει στο σημείο που
γίνεται κανόνας και όχι η εξαίρεση.
Ένα ψηφιακό πιστοποιητικό πρωτοκόλλου Secure Sockets Layer (SSL) / Transport Layer
Security (TLS) βασίζεται στην κρυπτογραφία δημοσίου κλειδιού Public Key Infrastructure
(PKI), ώστε να συνδέσει ένα κρυπτογραφικό κλειδί με την οντότητα που διασφαλίζεται
Εκδίδεται από κάποια αρχή πιστοποίησης - Certification Authority (CA), που θεωρείται
«έμπιστο τρίτο μέρος», η οποία πραγματοποιεί μία διαδικασία επικύρωσης.
Επιπρόσθετα, έχει μία προδιαγεγραμμένη περίοδο ισχύος, με συγκεκριμένη αρχή και
τέλος κατά την οποία θεωρείται έγκυρο, εκτός και αν ανακληθεί. Τέλος, για να την
εξακρίβωση της γνησιότητας τους οι πληροφορίες αυτές υπογράφονται με έναν
κρυπτογραφικό αλγόριθμο, το αποτέλεσμα του οποίου υπολογίζεται από το πρόγραμμα
περιήγησης.
Η μεταπτυχιακή αυτή διατριβή, έχει ως σκοπό της τη διερεύνηση του οικοσυστήματος
των ψηφιακών πιστοποιητικών πρωτοκόλλου SSL, αναλύοντας τις βασικές τους
συνιστώσες και επιχειρώντας να αναδείξει συσχετισμούς και τάσεις που συνδέονται με
αυτά, ώστε ο αναγνώστης να αποκτήσει μία συνολική εικόνα της υιοθέτησης τους. Στη
συνέχεια, παρουσιάζονται ενδιαφέρουσες περιπτώσεις που προκύπτουν από τα
δεδομένα και συζητούνται σε βάθος πιθανές συσχετίσεις τους με ιστοσελίδες με μεγάλη
επισκεψιμότητα. Επιπλέον, ελέγχεται η υπόθεση μας ότι οι ιστοσελίδες αυτές
εφαρμόζουν συστηματικότερα τις βέλτιστες πρακτικές ασφάλειας. Για την ανάλυση αυτή
χρησιμοποιούνται τα δημοσίως διαθέσιμα σύνολα δεδομένων του Certificate
Transparency, το οποίο στοχεύει στην διαφάνεια της εξάπλωσης των ψηφιακών
πιστοποιητικών καθώς και του Alexa που διατηρεί τη σειρά κατάταξης ιστοσελίδων
βάσει της επισκεψιμότητας τους και των στατιστικών για κυβερνοεπιθέσεις, από το
Hackmaggedon.
Κατόπιν, εξετάζεται το μοντέλο εμπιστοσύνης γύρω από τις διάφορες πτυχές των
ψηφιακών πιστοποιητικών πρωτοκόλλου SSL. Ορμώμενοι από γνωστές αδυναμίες του
πρωτοκόλλου SSL και του διαδόχου του TLS, αναφερόμαστε σε περιπτώσεις όπου τα
ψηφιακά πιστοποιητικά έχουν χρησιμοποιηθεί για να καλύψουν κακόβουλη
συμπεριφορά. Συμπληρωματικά αναφερόμαστε σε περιπτώσεις όπου οι αρχές
πιστοποίησης φαίνονται ανεπαρκείς στη διαδικασία της επικύρωσης των οντοτήτων για
τις οποίες εγγυώνται Στη συνέχεια, γίνεται ιδιαίτερη μνεία στους μηχανισμούς
ανάκλησης των πιστοποιητικών, υπογραμμίζοντας τη σημασία τους δείχνοντας
συσχετίσεις και στατιστικά γύρω από αυτούς και αναφέροντας γνωστές επιθέσεις που
οφείλονται στην αμέλεια της σωστής εφαρμογής του ελέγχου των μηχανισμών αυτών.
Καθώς το φαινόμενο αυτό συνδέεται άμεσα με τις αδυναμίες των υπαρχουσών λύσεων
για τον έλεγχο της κατάστασης ισχύος ή την ανάκληση των πιστοποιητικών, συγκρίνουμε
τα πιο διαδεδομένα πρωτόκολλα και κάποιες πολλά υποσχόμενες, πρόσφατα
προταθείσες λύσεις.
|
Συλλογές
