W wyniku tej słabości jest możliwe pod bezpieczne strony internetowe i serwery poczty e-mail i aby wykonać praktycznie niewykrywalne phishingowych ataków, co oznacza, że odwiedzając bezpiecznych stron internetowych nie jest tak bezpieczne, jak być powinny, i uważa się za. Prezentując swoje wyniki na kongresie bezpieczeństwa 25C3 w Berlinie na 30 grudnia, eksperci mają nadzieję na zwiększenie przyjęcie bardziej bezpieczna kryptograficzne standardy w Internecie i tym zwiększenia bezpieczeństwa w Internecie.
Podczas odwiedzania witryny internetowej, której adres zaczyna się od “https”, małą kłódkę symbol pojawia się w oknie przeglądarki. Oznacza to, że strona jest zabezpieczona za pomocą cyfrowego certyfikatu wydanego przez jedno z kilku zaufanych urzędy certyfikacji (CA). W celu zapewnienia, że certyfikat cyfrowy jest uzasadniony przeglądarki sprawdza jej podpisania, przy użyciu standardowych algorytmów kryptograficznych. Zespół naukowców odkrył, że posiada jeden z tych algorytmów, znany jako MD5, mogą być nadużywane.
Pierwsze znaczące osłabienie w algorytmu MD5 został przedstawiony w 2004 r. na dorocznym cryptology konferencji “Crypto” przez zespół chińskich naukowców. Mieli udało się zdjąć tzw kolizji atak “i były w stanie utworzyć dwa różne wiadomości z tego samego podpisu cyfrowego. Podczas tej początkowej budowy został poważnie ograniczony, silniejszych zderzeń budowlanych zostało ogłoszone przez naukowców z CWI, EPFL i TU / e, w maju 2007. Ich metody wykazało, że można było mieć niemal całkowitą swobodę w wyborze obu wiadomości. Zespół naukowców odkrył, że obecnie możliwe jest tworzenie nieuczciwych certyfikacji (CA), który jest zaufanym przez wszystkich głównych przeglądarek internetowych za pomocą zaawansowanego wdrożenia do zderzenia i budowy klastra ponad 200 komercyjnie dostępne konsole do gier.
Zespół naukowców ten sposób udało się wykazać, że krytyczna część infrastruktury Internetu nie jest bezpieczny. A nieuczciwych CA, w połączeniu ze znanymi niedociągnięcia w DNS (Domain Name System), protokół, może otworzyć drzwi do praktycznie niewykrywalne atakach phishingowych. Na przykład, nie będąc świadomym tego, użytkownicy mogą być przekierowane do złośliwych witryn, które pojawiają się dokładnie tak samo, jak zaufanych bankowe lub e-commerce strony ich zdaniem należy odwiedzić. W przeglądarce internetowej może otrzymać fałszywego świadectwa, które będą błędnie zaufanych i użytkowników prywatnych haseł i innych danych mogą się w niepowołane ręce. Oprócz stron internetowych i bezpiecznych serwerów poczty e-mail, słabość ma również wpływ na inne powszechnie używane oprogramowanie.
“Głównym i przeglądarek internetowych graczy - takie jak Mozilla i Microsoft - zostały skontaktować w celu poinformowania ich o naszym odkryciu, a niektóre zostały już podjęte działania, aby lepiej chronić swoich użytkowników” otuchy Arjen Lenstra, szef EPFL’s Laboratory Cryptologic Algorytmy. “Aby uniknąć wszelkich szkód występujących, świadectwo stworzyliśmy miało ważność tylko jeden miesiąc - sierpień 2004 - który upłynął więcej niż cztery lata temu. Jedynym celem naszych badań było pobudzanie lepszego bezpieczeństwa Internetu odpowiednie protokoły, które zapewniają niezbędne bezpieczeństwa “.
Według badaczy, ich odkrycie wskazuje, że MD5 nie może być dłużej uważany za bezpieczny algorytm kryptograficzny do użytku w cyfrowych podpisów i certyfikatów. Obecnie MD5 jest nadal używany przez niektóre urzędy certyfikacji do wystawiania certyfikatów cyfrowych dla dużej liczby bezpiecznych stron internetowych. “Teoretycznie możliwe było stworzenie nieuczciwych CA od czasu publikacji naszego silniejszy atak zderzenie w 2007 r.”, mówi Marc Stevens (CWI). “Jest konieczne przeglądarek i CA zaprzestać używania MD5 i migrować do bardziej zdecydowanego działania alternatywne, takie jak SHA-2 i nadchodzącego standardu SHA-3″, nalega Lenstra.