[Flug] di questo ne sapete niente....?
Gian Uberto Lauri
saint@eng.it
Ven 2 Gen 2009 10:51:29 CET
Quoting Francesco <francesco@firenze.linux.it>:
> salve
> su un altra lista ho trovato questo:
>
> http://it.slashdot.org/article.pl?sid=08/12/30/1655234
>
> falla su HTTPS (?)
> penso, non è che ci abbia inteso molto
> nessuno ne sa niente ???'
Sono riusciti a creare un certificato di una Certification Authority falso ma
con la stessa impronta MD5 di quello vero. Dato che il browser verifica tale
certificato attraverso lo MD5, il certificato falso viene riconosciuto
come vero.
A questo punto e` possibile creare certificati per SSL che vengono
riconosciuti come trusted, dato che sono firmati con il certificato
falso che viene preso per buono.
La soluzione e` cessare di usare MD5 per le firme digitali (almeno dei
certificati) e usare SHA-1 o meglio ancora SHA-2, dato che c'e` anche
per SHA-1 la possibilita` teorica di creare attacchi, anche se non del
tipo pensato dai ragazzi del CCC per MD5
--
/\ ___
/___/\_|_|\_|__|___Gian Uberto Lauri_____
//--\| | \| | Integralista GNUslamico
\/ e coltivatore diretto di Software
Maggiori informazioni sulla lista
flug