[Flug] di questo ne sapete niente....?

Gian Uberto Lauri saint@eng.it
Ven 2 Gen 2009 10:51:29 CET


Quoting Francesco <francesco@firenze.linux.it>:

> salve
> su un altra lista ho trovato questo:
>
> http://it.slashdot.org/article.pl?sid=08/12/30/1655234
>
> falla su HTTPS (?)
> penso, non  che ci abbia inteso molto
> nessuno ne sa niente ???'

Sono riusciti a creare un certificato di una Certification Authority falso ma
con la stessa impronta MD5 di quello vero. Dato che il browser verifica tale
certificato attraverso lo MD5, il certificato falso viene riconosciuto  
come vero.

A questo punto e` possibile creare certificati per SSL che vengono  
riconosciuti come trusted, dato che sono firmati con il certificato  
falso che viene preso per buono.

La soluzione e` cessare di usare MD5 per le firme digitali (almeno dei  
certificati) e usare SHA-1 o meglio ancora SHA-2, dato che c'e` anche  
per SHA-1 la possibilita` teorica di creare attacchi, anche se non del  
tipo pensato dai ragazzi del CCC per MD5


--
  /\           ___
/___/\_|_|\_|__|___Gian Uberto Lauri_____
   //--\| | \|  |   Integralista GNUslamico
\/                 e coltivatore diretto di Software




Maggiori informazioni sulla lista flug