Используя вычислительную мощность более чем 200 консолей PS3, группа хакеров
из США и Европы нашла способ атаковать известную уязвимость в алгоритме MD5 для
создания поддельного центра сертификации (CA). Этот прорыв позволяет
изготавливать сертификаты, которым полностью доверяют все современные браузеры.
Результаты исследования, которые
должны быть представлены Алексом Сотировым и Джейкобом Аппельбаумом на
конференции 25C3 в Германии, демонстрируют эффективный способ преодоления защиты
современных браузеров, основанной на доверии безопасным ресурсам и позволяют
атакующим создавать фишинговые атаки, которые виртуально не обнаруживаются.
По мнению Сотирова, поддельный CA в комбинации с DNS-атакой, описанной Дэном
Камински, может иметь серьезные последствия. Он также отметил, что прямого
решения проблемы не существует, по крайней мере до тех пор, пока центры
сертификации не перестанут использовать MD5 и не перейдут на более безопасный
алгоритм SHA-1.
Чтобы избежать критики, команда выпустила лишь просроченный сертификат
(действительный только на август 2004 года) и не стала выпускать персональный
ключ. Кроме того, по словам Сотирова, публикация специального кода,
использованного для создания конфликта в MD5, до конца года также не
планируется.
