Kolizje w MD5 i certyfikaty RapidSSL

[www.follownet.pl 8]

Szczególnie dotyczy posiadaczy certyfikatów RapidSSL.

 

Na konferencji Chaos Communication Congress, która odbyła się 30 grudnia 2008 roku w Berlinie, grupa badaczy zaprezentowała sposób na uzyskanie sfałszowanego certyfikatu centrum certyfikacji CA. Wykorzystując kolizje w obecnie przestarzałej funkcji skrótu MD5, utworzyli własny certyfikat o tym samym skrócie co certyfikat używany przez prawdziwe CA. Więcej szczegółów tutaj.

 

Od siebie dodam, że można wystąpić do geotrust z prośbą o wymianę certyfiaktu na podpisany algorytmem SHA-1, chociaż tak naprawdę nie ma żadnego zagrożenia i certyfikaty sygnowane MD5 są bezpieczne. Od 1 stycznia 2009 wszystkie certyfikaty RapidSSL podpisywane są algorytmem SHA-1.

 

Pozdrawiam,

[p 3]

Na konferencji Chaos Communication Congress, która odbyła się 30 grudnia 2008 roku w Berlinie, grupa badaczy zaprezentowała sposób na uzyskanie sfałszowanego certyfikatu centrum certyfikacji CA. Wykorzystując kolizje w obecnie przestarzałej funkcji skrótu MD5, utworzyli własny certyfikat o tym samym skrócie co certyfikat używany przez prawdziwe CA. Więcej szczegółów tutaj.

O tym, że MD5 jest podatne na tego typu ataki wiadomo już od dawien dawna i nie powinno się stosować tego algorytmu w celu zapewnienia bezpieczeństwa... Nie mniej jednak informacja ciekawa, ze względu na wykorzystania klastra PS3 do przeprowadzenia kolizji