Niebezpieczna kolizja w funkcji skrótu MD5
Transkrypt
Niebezpieczna kolizja w funkcji skrótu MD5
CERT.GOV.PL Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/104,Niebezpieczna-kolizja-w-funkcji-skrotu-MD5.html Wygenerowano: Wtorek, 7 marca 2017, 09:57 Niebezpieczna kolizja w funkcji skrótu MD5 Podczas 25 konferencji Chaos Communication Congress (25C3) w berlińskim Centrum Kongresowym, został przedstawiony problem związany z podatnością w funkcji haszującej MD5 na kolizje do stworzenia fałszywych certyfikatów SSL. Specjaliści ds. bezpieczeństwa wykorzystując lukę, stworzyli w strukturze PKI - używanego do wystawiania certyfikatów dla bezpiecznych stron internetowych, podrobiony certyfikat CA zaufany we wszystkich przeglądarkach internetowych. Atak wykorzystuję tzw. "kolizję" w funkcji haszującej MD5, czyli możliwość posiadania przez dwa różne pliki tej samej sumy kontrolnej. Podatność ta odkryta została już w 2004 roku przez naukowców z Chin. Pozwala to na podszycie się pod jakąkolwiek stronę protokołu HTTPS. Niczego nie świadomy użytkownik będzie w posiadaniu fałszywych certyfikatów i będzie mógł z łatwością być przekierowywany do fałszywych stron HTTPS, np. stron bankowych legitymujących się jako autentyczne. Zalecane jest zaprzestanie wykorzystywania MD5 i przejście na algorytm SHA-1 lub SHA-2. Więcej informacji znajduje się na stronie http://www.win.tue.nl/hashclash/rogue-ca oraz w wydanym przez firmę Microsoft poradniku bezpieczeństwa 961509. MD5 RG Ocena: 0/5 (1)