Boletin de Seguridad advierte posibilidad de ataques de colisiones a MD5
Un boletín de seguridad de Microsoft 961509 del día de hoy, advierte de una investigación presentada en una conferencia respecto del éxito obtenido al atacar un certificado digital X.509 firmado con el algoritmo de hashing MD5.
Este método de ataque, según se informa, podría permitir a un atacante generar certificados digitales adicionales con un contenido diferente que tenga la misma firma digital que el certificado original.
El boletín no es una advertencia sobre ningún producto de esa empresa, e insta a quienes proveen certificados digitales a abandonar el mecanismo MD5 y utilizar el más nuevo y seguro SHA-1.
La mayor parte de las entidades públicas certificantes raíz ya no usan MD5 para firmar los certificados.
La mayoría de los browser modernos advierten con una barra color verde cuando se accede a sitios seguros con certificados de Validación Extendida (EV) los cuales siempre son firmados con SHA-1 y no están afectados por lo descripto en la investigación.
El peligro potencial es el descripto y hasta el momento no se conoce de ningún caso práctico en el que se haya utilizado el ataque. Tampoco han sido revelados los detalles del estudio para comprobarlo.
Boletín de Microsoft:
http://www.microsoft.com/technet/security/advisory/961509.mspx
Relacionado con este tema es interesante leer:
"Ataques a resúmenes criptográficos en protocolos de Internet" RFC 4270 (en castellano) .
Habrá más sobre este tema en próximo post.
Redacción de Segu-info
Este método de ataque, según se informa, podría permitir a un atacante generar certificados digitales adicionales con un contenido diferente que tenga la misma firma digital que el certificado original.
El boletín no es una advertencia sobre ningún producto de esa empresa, e insta a quienes proveen certificados digitales a abandonar el mecanismo MD5 y utilizar el más nuevo y seguro SHA-1.
La mayor parte de las entidades públicas certificantes raíz ya no usan MD5 para firmar los certificados.
La mayoría de los browser modernos advierten con una barra color verde cuando se accede a sitios seguros con certificados de Validación Extendida (EV) los cuales siempre son firmados con SHA-1 y no están afectados por lo descripto en la investigación.
El peligro potencial es el descripto y hasta el momento no se conoce de ningún caso práctico en el que se haya utilizado el ataque. Tampoco han sido revelados los detalles del estudio para comprobarlo.
Boletín de Microsoft:
http://www.microsoft.com/technet/security/advisory/961509.mspx
Relacionado con este tema es interesante leer:
"Ataques a resúmenes criptográficos en protocolos de Internet" RFC 4270 (en castellano) .
Habrá más sobre este tema en próximo post.
Redacción de Segu-info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!