Damit wurde endlich in der Realität praktikabel bewiesen, was eigentlich schon länger bekannt ist, dass Zertifikate mit MD5-Hashes unsicher sind.
Wie im Vortrag heute vorgestellt und auch nachlesbar.
Problematisch ist nämlich, dass es genügend Zertifikatsherausgeber gibt, die ihre preiswerten Zertifikate auch noch mit MD5-Algorithmus anbeiten wie beispielsweise RapidSSL, FreSSL oder sogar bekannte Herausgeber wie SA Data Security, Thawte, Verisign Japan oder TC Trustcenter. Damit kann bei einer Man-in-the-Middle-Attac zwischen Sender und Empfänger ein falsches Zertifikat untergeschoben werden. Was das für Transaktionen bei Webshops oder sonstigen Diensten bedeutet, kann sich jeder ausmalen, wenn die Daten nicht ganz so verschlüsselt sind wie das Browserschloss oder die Statusanzeige glauben machen mag.
Quellen:
- http://events.ccc.de/congress/2008/Fahrplan/events/3023.en.html
- http://www.heise-online.co.uk/news/25C3-MD5-collisions-crack-CA-certificate--/112327
- http://www.phreedom.org/research/rogue-ca/
- http://www.win.tue.nl/hashclash/
Kommentar für Blogeintrag
Vorschau des Kommentars
TrackBack-URL:
http://gwendragon.de/blog/Computer/Sicherheit/ssl-herausgeber-zertifikat-md5-kollision-geknackt.html/trackback↑Artikel