[lacnog] MD5 en SSL totalmente quebrado - Crean un certificado CA falso
Carlos Martinez
carlosmarcelomartinez en gmail.com
Vie Ene 9 08:08:32 BRST 2009
Creo que de todas formas los SHA-2XX/512 todavia nos van a servir durante 4
o 5 años, que es lo que se estima dure la competencia del SHA-3.
Estuve repasando los certificados que uso normalmente, y la buena noticia es
que no hay ninguno con MD5, pero la.... no tan buena digamos... es que todos
son SHA-1, no encontre ninguno SHA-256.
slds
Carlos
2009/1/8 Francisco Arias <francisco en arias.com.mx>
> Totalmente de acuerdo, SHA256 es la mínima opción a usar para una
> aplicación/protocolo nuevo. Creo que lo mencionan en el artículo, sólo
> es cuestión de tiempo para que alguien encuentre la forma de explotar
> SHA-1, pues hace unos pocos años salió el primer artículo sobre sus
> debilidades teóricas.
>
> Ya urge un nuevo algoritmo de Hash, pero por lo visto, el concurso que
> organiza el NIST se va a llevar un par de años más todavía, por lo
> menos.
>
> Saludos,
>
>
> 2009/1/7 Carlos M. Martinez <carlosmarcelomartinez en gmail.com>:
> > Personalmente, desde hace ya bastante tiempo no he recomendado el uso de
> MD5
> > para ninguna aplicacion fuera de lo trivial. Al igual que Roque, creo que
> > hace tiempo que todos deberiamos estar ya usando SHA-256.
> >
> > slds
> >
> > Carlos
> >
> > Roque Gagliano wrote:
> >
> > hola Francisco,
> > La pregunta que yo me he hecho es si vale la pena utilizar SHA-1 o
> > directamente pasar a SHA-256. Mi respuesta ha sido pasar a SHA-256.
> > r.
> > On Jan 6, 2009, at 4:44 PM, Francisco Arias wrote:
> >
> > Por si no lo han visto ya:
> >
> > Un grupo de investigadores dicen ser capaces de crear un certificado,
> > incluso un certificado CA intermedio que aparenta ser firmado por un
> > CA real y comúnmente aceptado por los navegadores, que use MD5. Ya con
> > ese certificado CA falso, imagínense lo que pueden hacer, sobre todo
> > combinándolo con la(s) vulnerabilidad(es) en el DNS.
> >
> > http://blogs.techrepublic.com.com/security/?p=724
> >
> > El texto del artículo:
> >
> > http://www.win.tue.nl/hashclash/rogue-ca/
> >
> > Aún no dan los detalles específicos clave de cómo hacerlo por
> > seguridad, según dicen.
> >
> > --
> > fjac
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> > ________________________________
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> >
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> >
>
>
>
> --
> fjac
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
>
--
===================
Carlos M. Martinez
http://cgm-consulting.net
===================
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20090109/93480318/attachment.html>
Más información sobre la lista de distribución LACNOG