SSL은 안전하지 않다 !
최근에 Adam Shostack과 Ian Grigg씨는 ICANN에 Verisign의 이해상충에 대해서 메일을 보냈습니다. 이 메일의 내용을 살펴보시면 SSL은 안전하지 않으며, 정부에 의해서 감시될 수 있다는 놀라운 사실을 발견할 수 있습니다.
VeriSign, Inc. have a severe and unreconciliable conflict of interest between the proper, secure operation of a TLD, and other substantial business activity in which they are engaged. In particular, given their ability to add or change records to a TLD, they may choose to break DNS in order to enhance the ability of their "NetDiscovery" wiretapping service to break the security afforded by SSL to users.
We suggest that Verisign not be granted any further TLD contracts until such time as they have divested NetDiscovery
이 글을 조금 해석해보면,
Verisign 은 TLD를 적합하고 안전하게 운영하는 것과 그들이 참여하고 있는 다른 사업들 간에 존재하는 일치시킬 수 없는 이율배반을 가지고 있다. 특히, TLD의 기록들을 추가하고 변경하는 능력이 주어지면, 그들은 "NetDiscovery" 도청 서비스 능력을 더 높이, 위해 DNS를 깰 것이다, 여기서 "NetDiscovery" 서비스는 SSL에 의해 사용자에게 주어진 보안을 깨는(도청하는) 서비스이다. 우리(Adam과 Ian)는 Verisign이 NetDiscovery 서비스를 포기할 때까지는 더 이상의 TLD 계약을 Verisign에 허락하지 않을 것을 제안한다.
이 글을 읽고 '띵!' 합니다. 도청은 'Trust Anchor'에서부터 이루어지고 있었다니...그것도 전세계 SSL 인증서 시장의 42%를 차지하고 있는 Verisign에서...
이런 도청 능력이 우리나라에도 수입되지 않았나 의심되네요...
댓글 없음:
댓글 쓰기