Usando el cluster de 200 Play Station 3 del EPFL, un grupo internacional de investigadores han creado una "llave esqueleto" para certificados digitales que puede suplantar perfectamente cualquier pagina web en la sacrosanta e infernal Internet. El punto debil que permite a esta tecnica trabajar es el algoritmo hash MD5, el cual es basicamente lo que se emplea para crear una huella digital que hace dificil (mas no imposible, obviamente) forjar certificados digitales. El problema esta que Verisign's RapidSSL aun emplea este algoritmo.
Asi, empleando este cluster se genera un certificado CA el cual les permite registrar y verificar certificados para cualquier pagina web que produzca el mismo hash MD5. Usando la tecnica de colisiones (los papers que la explican se publicaron en el 2004 y 2007, aqui uno de ellos) estos investigadores pudieron reproducir los certificados que emplean este algoritmo en tan solo 3 dias. De los 38,000 certificados de paginas web que el equipo recolecto 9,485 fueron registrados usando MD5 y 97% de estos usaban el RapidSSL.
Entonces, en la practica que significa todo esto? Simplemente que con este cluster pueden suplantar, por ejemplo, Amazon.com y los usuarios ni siquiera se daran cuenta. El icono/padlock de certificacion estara presente en sus paginas web y todo parecera como si fuese un real y ordinario certifcado de seguridad. Felizmente, este ataque es dificil de recrear, y la solucion es bastante sencilla: simplemente cambiarse a un certificado que emple un algoritmo hash mas seguro, lo cual ya muchas compañias lo han hecho. Ademas, Verisign detuvo el uso de nuevos certificados que emplean MD5 el pasado 30 de Diciembre alrededor del medio dia hora de la costa del Pacifico en USA.
El National Institute of Standards and Technology esta llevando a cabo una competencia (mas datos al respecto aca) para reemplazar la actual familia de estandares de criptografia con funciones hash, llamado SHA (Secure Hash Algorithm). Actualmente SHA es usado en lugar de MD5 como el estandar nacional en USA, se implanto en 1993.
Si deseas saber mas detalles al respecto de esta noticia entonces debes revisar el post original publicado en la revista Wired.
No comments:
Post a Comment