Comprovada a viabilidade de ataque usando colisão de MD5

Um grupo de pesquisadores comprovou ser possível subverter a segurança de chaves criptográficas comumente utilizadas pelos navegadores web usando a técnica de colisão do algorítmo de hash do MD5.

Foram utilizados no experimento 200 consoles do video game PS3 da Sony para construir um super computador e realizar o experimento.

A equipe conseguiu forjar um certificado de autoridade certificadora como se ele tivesse sido legitimamente assinado. Tal possibilidade abre espaço para a criação de certificados SSL falsos capazes de permitir ataques do tipo man in the middle em praticamente qualquer website com HTTS atualmente em uso.

Para saber mais leia sobre o assunto em:

• MD5 collision used to create a forged certificate authority (Hackzine)


• Exploração do MD5 compromete potencialmente segurança SSL (InfoQ)


• Pesquisa Mostra Viabilidade de Ataques de “Colisão” com MD5 (Negócio de Risco - Blog do Time de Segurança da Microsoft Brasil)