Server notaries: A complementary approach to the web pki trust model
- Global styles
- Apa
- Bibtex
- Chicago Fullnote
- Help
Abstract
SSL/TLS Internet'te güvenli iletişim sağlamak için varsayılan protokoldür. Doğrulama ve güvenli anahtar değişimi için Web AAA modeli üzerine kurulmuştur. Başarılı geçmişine rağmen, gözlenen Web AAA olayları son zamanlarda artmıştır. Bu olaylar, alan adı sahiplerinin isteği dışında sertifika otoriteleri tarafından üretilen sahte sertifikaların yarattığı riskleri belirgin hale getirmiştir. Bu problemi çözmek için çeşitli çözümler önerilmiş olmasına rağmen, karmaşıklık ve kurulum sıkıntıları yüzünden hiçbir çözüm yaygın kullanılır hale gelememiştir. Bu çalışmada sunucuların kendi sertifikalarının Internet'teki görünümlerini elde edebilecekleri ve sertifika değiştirme saldırılarını tespit edebilecekleri pratik bir yöntem önermekteyiz. Ayrıca bu yöntem ile sertifika değiştirme saldırılarının kaynağını tespit etmek de mümkün olacaktır. Bu kapsamda kamuya açık gerçek BGP verisini kullanarak önerdiğimiz yöntemi değerlendirmek amacıyla bazı simulasyonlar gerçekleştirdik. Yaptığımız simulasyonlarda AS seviyesinde kayda değer sonuçlar elde ettik. SSL/TLS is the de facto protocol for providing secure communication over the Internet. It relies on the Web PKI model for authentication and secure key exchange. Despite its relatively successful past, the number of Web PKI incidents observed have increased recently. These incidents revealed the risks of forged certificates issued by certificate authorities without the consent of the domain owners. Several solutions have been proposed to solve this problem, but no solution has yet received widespread adaption due to complexity and deployability issues. In this work, we propose a practical mechanism that enables servers to get their certificate views across the Internet, making detection of a certificate substitution attack possible. The origin of the certificate substitution attack can also be located by this mechanism. We have conducted simulation experiments and evaluated our proposal using publicly available, real-world BGP data. We have obtained promising results on the AS-level Internet topology.
Collections