Используя вычислительную мощность более чем 200 консолей PS3, группа хакеров
из США и Европы нашла способ атаковать известную уязвимость в алгоритме MD5 для
создания поддельного центра сертификации (CA). Этот прорыв позволяет
изготавливать сертификаты, которым полностью доверяют все современные браузеры.

Результаты исследования, которые

должны быть представлены
Алексом Сотировым и Джейкобом Аппельбаумом на
конференции 25C3 в Германии, демонстрируют эффективный способ преодоления защиты
современных браузеров, основанной на доверии безопасным ресурсам и позволяют
атакующим создавать фишинговые атаки, которые виртуально не обнаруживаются.

По мнению Сотирова, поддельный CA в комбинации с DNS-атакой, описанной Дэном
Камински, может иметь серьезные последствия. Он также отметил, что прямого
решения проблемы не существует, по крайней мере до тех пор, пока центры
сертификации не перестанут использовать MD5 и не перейдут на более безопасный
алгоритм SHA-1.

Чтобы избежать критики, команда выпустила лишь просроченный сертификат
(действительный только на август 2004 года) и не стала выпускать персональный
ключ. Кроме того, по словам Сотирова, публикация специального кода,
использованного для создания конфликта в MD5, до конца года также не
планируется.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии