Skip to content

Criza algoritmilor de criptare?

Ianuarie 31, 2009

Posibila pana de curand doar in teorie, ‘MD5 collision’ reprezinta probabilitatea de a obtine acelasi hash MD5 pentru fisiere diferite. Dar asta este deja istorie, adica ce era teoretic posibil, a devenit fizic posibil.Si asta a fost doar inceputul.

La CCC (Chaos Communication Congress) in Germania, Alexander Sotirov si Jacob Appelbaum folosind un cluster de PS3 (200 de bucati) au obtinut un certificat CA (certificate authorithy) nelegitim bazandu-se pe criptarea MD5.  Folosind acest CA au putut genera certificate SSL valide, si in acel moment toata lumea s-a intrebat ‘how long the rabbit hole is’.

Si poveste continua. Didier Stevens s-a gandit sa treaca la nivelul urmator. Asa ca s-a folosit de scula celor de la Microsoft (special creata pentru a garanta securitatea si integritatea aplicatiilor dezvoltate pentru mediul Windows, downloadate de pe Internet), pentru a extrage semnatura unei aplicatii legitime si a generat folosind tehnica lui Peter Selinger acelasi hash MD5 pentru o alta aplicatie pe care a impachetat-o pe urma cu Authenticode astfel transformand-o intr-o aplicatie legitima. Cum a fost posibil? Authenticode foloseste ‘by default’  SHA-1 dar accepta si MD5. Didier s-a folosit de aceasta pentru a transforma dintr-o aplicatie nelegitima in una semnata si acceptata de Microsoft Autheticode, implementat in browser-ul de internet al celor de la Microsoft.

Anunțuri

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s

%d blogeri au apreciat asta: