Adios a “este sitio es confiable” ( roto cifrado MD5 )

En agosto de 2004, Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron el descubrimiento de colisiones de hash para MD5.

Su ataque se consumó en una hora de cálculo con un clúster IBM P690.. Un ataque teórico.

Lo que se ha conseguido ahora, es la aplicación practica del estudio, básicamente consiguen dos ficheros diferentes con el mismo hash, demostrando la inseguridad del algoritmo.

Se ha encontrado una colisión MD5 (no es la primera) pero en un CERTIFICADO RAIZ.

Este certificado es aceptado como válido por (casi) todos los navegadores, además, cualquier certificado firmado por este “certificado pícaro”, como ellos lo llaman, también será aceptado.

Conclusión, sería posible simular una página, con conexión segura, que sea aceptada como válida por todos los navegadores. Es decir, pueden hacer la pagina www.tubancodeconfianza.tk y puede hacerse pasar por www.tubancodeconfianza.es
(suponiendo que el .tk es la mala y el .es es la buena)

El anuncio se ha presentado en el 25C3 de CCC, se recomienda el uso de SHA-2 en lugar de MD5.

fuentes en español
fuente en inglés
Qué es MD5
Certificado digital

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *