jooblers.gr - Ένα τεχνολογικό blog με καθημερινή ενημέρωση, άρθρα και σχολιασμό πάνω σε θέματα τεχνολογίας

Τι θα σκεφτόσασταν να κάνετε αν είχατε στην κατοχή σας 200 Playstation 3; Μα φυσικά να σπάσετε τον αλγόριθμο κρυπτογράφησης MD5! Για να το εξηγήσω λίγο καλύτερα. Ερευνητές από Η.Π.Α., Ελβετία και Ολλανδία χρησιμοποίησαν ένα cluster από 200 PS3 για να δημιουργήσουν ένα πλαστό πιστοποιητικό CA certificate. Το πιστοποιητικό αυτό θα είναι το ίδιο με το πιστοποιητικό ενός web site. Η όλη διαδικασία παρά την τεράστια υπολογιστική ισχύ χρειάζεται περίπου 3 ημέρες!

Όπως λέει ο υποψήφιος για PhD στο UC Berkeley στην Καλιφόρνια των Η.Π.Α, David Molnar:  «We can impersonate Amazon.com and you won’t notice. The padlock will be there and everything will look like it’s a perfectly ordinary certificate.» Ουσιαστικά με τον τρόπο αυτό μπορούν να ξεγελάσουν κάποιο χρήστη ο οποίος θα νομίζει πως δίνει την πιστωτική του κάρτα χωρίς κανένα κίνδυνο στο γνωστό του site.

Οι ερευνητές παρουσιάσαν τη μελέτη τους στο 25ο Chaos Communication Congress στο Βερολίνο. Η τρύπα βρέθηκε στο RapidSSL της Verisign, γνωστής εταιρίας που εκδίδει CA Certificates. Μετά από αναζήτηση σε 38.000 websites, 9485 εξαυτών χρησιμοποιούν τον αλγόριθμο MD5 και 97% εξ αυτών των πιστοποιητικών έχουν εκδοθεί με χρήση του RapidSSL.

Λίγη ώρα μετά την παρουσίαση αυτή ήρθε η ανακοίνωση από τον Tim Callan στο blog της Verisign: «We’re disappointed that these researchers did not share their results with us earlier,» writes Tim Callan, «but we’re happy to report that we have completely mitigated this attack.»

[via]

Tags: ca certificate, chaos communication congress, playstation, playstation 3, ps3, rapidssl, verisign

Σχετικά άρθρα

• 177 εκατομμύρια Domain Names για το 2008 σύμφωνα με την Verisign (0)
• Σαπουνάκι αλά Nintendo ή αλά Playstation; (2)
• Τέλη Οκτωβρίου η κυκλοφορία του Tekken 6 (0)
• Το Playstation 3 θα αποκτήσει Cell επεξεργαστή 45nm (0)
• Υποστήριξη DivX 3.11 στο firmware update του Sony Playstation 3 (0)

RSS Σχολίων | TrackBack