SSL взломан: хакеры создали поддельный центр сертификации, используя конфликты в MD5

news

🕛 06.01.2009, 06:08

Используя вычислительную мощность более чем 200 консолей PS3, группа хакеров из США и Европы нашла способ атаковать известную уязвимость в алгоритме MD5 для создания поддельного центра сертификации (CA). Этот прорыв позволяет изготавливать сертификаты, которым полностью доверяют все современные браузеры.

Результаты исследования, которые должны быть представлены Алексом Сотировым и Джейкобом Аппельбаумом на конференции 25C3 в Германии, демонстрируют эффективный способ преодоления защиты современных браузеров, основанной на доверии безопасным ресурсам и позволяют атакующим создавать фишинговые атаки, которые виртуально не обнаруживаются.

По мнению Сотирова, поддельный CA в комбинации с DNS-атакой, описанной Дэном Камински, может иметь серьезные последствия. Он также отметил, что прямого решения проблемы не существует, по крайней мере до тех пор, пока центры сертификации не перестанут использовать MD5 и не перейдут на более безопасный алгоритм SHA-1.

Чтобы избежать критики, команда выпустила лишь просроченный сертификат (действительный только на август 2004 года) и не стала выпускать персональный ключ. Кроме того, по словам Сотирова, публикация специального кода, использованного для создания конфликта в MD5, до конца года также не планируется.