Skocz do zawartości
Zaloguj się, aby obserwować  
www.follownet.pl

Kolizje w MD5 i certyfikaty RapidSSL

Polecane posty

Szczególnie dotyczy posiadaczy certyfikatów RapidSSL.

 

Na konferencji Chaos Communication Congress, która odbyła się 30 grudnia 2008 roku w Berlinie, grupa badaczy zaprezentowała sposób na uzyskanie sfałszowanego certyfikatu centrum certyfikacji CA. Wykorzystując kolizje w obecnie przestarzałej funkcji skrótu MD5, utworzyli własny certyfikat o tym samym skrócie co certyfikat używany przez prawdziwe CA. Więcej szczegółów tutaj.

 

Od siebie dodam, że można wystąpić do geotrust z prośbą o wymianę certyfiaktu na podpisany algorytmem SHA-1, chociaż tak naprawdę nie ma żadnego zagrożenia i certyfikaty sygnowane MD5 są bezpieczne. Od 1 stycznia 2009 wszystkie certyfikaty RapidSSL podpisywane są algorytmem SHA-1.

 

Pozdrawiam,

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Na konferencji Chaos Communication Congress, która odbyła się 30 grudnia 2008 roku w Berlinie, grupa badaczy zaprezentowała sposób na uzyskanie sfałszowanego certyfikatu centrum certyfikacji CA. Wykorzystując kolizje w obecnie przestarzałej funkcji skrótu MD5, utworzyli własny certyfikat o tym samym skrócie co certyfikat używany przez prawdziwe CA. Więcej szczegółów tutaj.
O tym, że MD5 jest podatne na tego typu ataki wiadomo już od dawien dawna i nie powinno się stosować tego algorytmu w celu zapewnienia bezpieczeństwa... Nie mniej jednak informacja ciekawa, ze względu na wykorzystania klastra PS3 do przeprowadzenia kolizji ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×