El algoritmo MD5, en peligro

Varios investigadores han demostrado cómo lograr crear un certificado digital válido logrando superar las barreras de seguridad que impone el algoritmo MD5, algo que tiene un gran peligro y que podría provocar ataques de phishing indetectables.

Cuando hacemos una conexión a un sitio web a través del protocolo HTTPS se emite un certificado de clave pública desde el servidor a nuestro ordenador, y dicho certificado hace uso de una firma digital que nuestro ordenador usa para verificar la identidad del sitio al que nos conectamos.

Estos certificados están firmados por una Certificate Authority (CA) que actúa como intermediario y que da confianza a ambas partes. Muchos de estos CA utilizan el algoritmo MD5 para proteger sus certificados, pero estos algoritmos tenían cierta debilidad frente a los llamados ataques de colisión.

Precisamente este tipo de ataque se ha realizado con éxito haciendo uso de un cluster de 200 PS3 con las que se creó un certificado que se detectó como correcto por parte del CA. Este tipo de actuación podría ser aprovechada para ataques de phishers que engañarían al usuario creyendo que el sitio web al que se conectan es auténtico, puesto que su certificado digital también sería tomado como válido.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: