Autorità di certificazione attendibile su certificato autofirmato

0

Ho un vecchio dispositivo embedded basato su Linux, proviene da un progetto che ho fatto circa 10 anni fa. Il dispositivo non ha un'interfaccia utente, una tastiera o qualcosa del genere solo un piccolo server Web per controllarlo.

Iv'e da allora ha dimenticato la password sull'unità e la società che l'ha originariamente scomparsa oltre 5 anni fa.

Ad ogni modo, ho pensato di provare a cercarlo e vedere se potevo riportarlo in vita, magari riutilizzarlo per qualche altro compito (è l'apparecchiatura di comunicazione GSM se qualcuno è interessato) ma devo reimpostare la password esso.

Iv'e è riuscita a visualizzare una schermata di "reimpostazione della password", ma insiste nel tentativo di convalidare alcune cose con un server esterno su Internet, che non è più online o addirittura esistente.

Fa una richiesta https al server e inserendo una traccia di pacchetto sulla richiesta usando wire shark, mostra che sta tentando di contattare il server e fallisce.

Quindi ... ho pensato, mi chiedo se posso mettere il mio server online, vedere cosa fa.

Ho avviato un'istanza di Apache2, abilitato SSL su di essa, creato un certificato autofirmato per esso, quindi ho impostato il mio DNS, in modo che fosse reindirizzato al mio server, piuttosto che quello che stava cercando.

Tutto funziona alla grande tranne una cosa.

Se osservo la traccia del pacchetto, il dispositivo incorporato rifiuta di parlare con il mio server perché non si fida del certificato CA.

Se potessi ottenere il mio server per emettere un certificato autofirmato, ma fingere di essere un'altra CA (dire equifax, verisign o qualcosa del genere) penso che potrei essere in grado di convalidare il dispositivo e permettermi di reimpostare la password dell'amministratore .

Qualcuno sa se è possibile farlo con un certificato autofirmato?

security  ssl  certificate  https 
Piccola
fonte
è il cliente che sceglie di fidarsi o meno del certificato. Non si fiderà mai di un certificato autofirmato quando pensa che dovrebbe essere collegato a casa. È possibile che l'unità possa fidarsi di certificati da una CA libera (in modo da poter ottenere un certificato gratuito da una CA reale), ma questa sarebbe la tua unica speranza se non riesci ad hackerarti per installare più certificati root affidabili.
Adrien,
Ahimè, penso che questa sarà la mia unica opzione, per entrare davvero nella maledetta cosa. Non voglio scartarlo perché è un dispositivo abbastanza potente, se riesco a ottenere un altro sistema operativo come OpenWRT, allora creerà un piccolo micro server incredibile. È progettato per un funzionamento GSM sicuro, tuttavia, all'interno di una rete di telefonia mobile, quindi è classificato Nebs per uno, quindi è fisicamente rafforzato ed è un sistema operativo sicuro / Trusted computing per due, il che significa che è progettato per tenere fuori gli stati nazionali :-) Mi piace una sfida però ...
shawty

Risposte:

0

Probabilmente.

Se il certificato autofirmato viene rifiutato, è bene che quel dispositivo resista all'attacco. È necessario un certificato riconosciuto da una delle autorità di certificazione di cui il dispositivo si fida.

Un'opzione potrebbe essere quella di regolare le autorità di certificazione di cui il dispositivo si fida. Tuttavia, suppongo che non sia un'opzione desiderabile. (Se potessi semplicemente rimuovere il disco rigido e regolare quali autorità sono affidabili, presumibilmente potresti anche semplicemente regolare la password.)

Tuttavia, se il dispositivo è davvero vecchio come dici, può darsi che si basi su algoritmi di hashing come MD5 che sono noti per essere rotti.

Nota: non fornirò istruzioni su come eseguire una collisione MD5. Sto semplicemente dicendo che un tale dispositivo potrebbe essere vulnerabile a un simile attacco.

TOOGAM
fonte
Sì, sospettavo che potesse essere qualcosa del genere. Nessun disco rigido al suo interno, è un'unità sigillata con tutto bruciato nella memoria flash permanente. Collisione MD5 che posso fare se necessario ;-) non credo che sarà utile, non posso neanche cambiare l'elenco di CA fidato. Speravo di poter in qualche modo riuscire a fingere un nome di CA fidato usando il mio certificato autofirmato, ma non penso che succederà neanche questo. Lascerò la domanda aperta per alcuni giorni e vedrò se qualcun altro entra in contatto con qualche idea.
shawty
"Speravo di poter in qualche modo riuscire a falsificare un nome CA attendibile usando il mio certificato autofirmato" - beh, l'intero punto della firma di crittografia nel certificato SSL è impedirlo. Quindi il modo per evitarlo è semplicemente di non utilizzare HTTPS o di trovare un difetto in HTTPS. L'HTTPS è probabilmente piuttosto solido, tranne per il fatto che utilizza SSL / TLS, che di nuovo è probabilmente piuttosto solido, tranne per il fatto che si basano sull'algoritmo crittografico, quindi è necessario trovare un difetto nell'algoritmo crittografico. (O usa un altro approccio per assumere la macchina.)
TOOGAM
È vero, HTTPS non sarebbe molto utile se potesse essere facilmente rotto suppongo :-) Iv ha un altro approccio (o due) Sto provando (non li documenterò comunque, per ovvi motivi) tks Comunque.
shawty
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.