Posteado por: navarros | 7 enero 2009

Como crear certificado de CA válido falso

unsecureIncreible, pasa a menudo pero sigue siendo increible, nos esforzamos que inventar nuevos sistemas, más rápidos, más seguros, más estables…pero no nos empleamos en su difusión y uso. MD5 es uno de los algoritmos hash más utilizados tanto por el tiempo que lleva desarrollado (1994) como por su facilidad de implementación. Claro que hay que saber que su uso solo debe realizarse para pruebas, no para un uso en producción ya que su vulnerabilidad de colisión fue descubierta y publicada desde el 2004.  Menos aún cuando el proposito de sistema es precisamente dotar de seguridad y confiabilidad, ya se sabe que una cadena es tan fuerte como el más débil de sus eslabones.

Sin embargo el Chaos Communication Congress en su 25 edición (25C3) ha presentado en una ponencia como, apoyandose en el conocido fallo del MD5, es posible crear certificados públicos de CA válidos en servidores SSL que todavía utilizan este algoritmo, incluso nos da un manual paso a paso para realizar nuestro propio experimento. Resulta sorprendente sobretodo la lista de CAs que actualmente utilizan MD5 como algoritmo hash, hay algunas muy conocidas:

El tema es importante ya que ataca una de las pocas bases establecidas que permite dar seguridad a las transacciones en Internet tan vilipendiada, tanto es así que Microsoft y Mozilla se han dado prisa en emitir sendos comunicados.

Os dejo la presentación del informe y un par de articulos.

No hay dejar de inventar (utilizaría innovar pero ya no puedo :)) pero no olvidemos en aplicar lo ya existente del modo adecuado.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: