Niebezpieczna kolizja w funkcji skrótu MD5

CERT.GOV.PL
Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/104,Niebezpieczna-kolizja-w-funkcji-skrotu-MD5.html
Wygenerowano: Wtorek, 7 marca 2017, 09:57
Niebezpieczna kolizja w funkcji skrótu MD5
Podczas 25 konferencji Chaos Communication Congress (25C3) w berlińskim Centrum Kongresowym, został przedstawiony
problem związany z podatnością w funkcji haszującej MD5 na kolizje do stworzenia fałszywych certyfikatów SSL.
Specjaliści ds. bezpieczeństwa wykorzystując lukę, stworzyli w strukturze PKI - używanego do wystawiania certyfikatów dla
bezpiecznych stron internetowych, podrobiony certyfikat CA zaufany we wszystkich przeglądarkach internetowych. Atak
wykorzystuję tzw. "kolizję" w funkcji haszującej MD5, czyli możliwość posiadania przez dwa różne pliki tej samej sumy
kontrolnej. Podatność ta odkryta została już w 2004 roku przez naukowców z Chin.
Pozwala to na podszycie się pod jakąkolwiek stronę protokołu HTTPS. Niczego nie świadomy użytkownik będzie w posiadaniu
fałszywych certyfikatów i będzie mógł z łatwością być przekierowywany do fałszywych stron HTTPS, np. stron bankowych
legitymujących się jako autentyczne.
Zalecane jest zaprzestanie wykorzystywania MD5 i przejście na algorytm SHA-1 lub SHA-2. Więcej informacji znajduje się na
stronie http://www.win.tue.nl/hashclash/rogue-ca oraz w wydanym przez firmę Microsoft poradniku bezpieczeństwa 961509.
MD5
RG
Ocena: 0/5 (1)