[lacnog] MD5 en SSL totalmente quebrado - Crean un certificado CA falso

Francisco Arias francisco en arias.com.mx
Jue Ene 8 20:19:14 BRST 2009


Totalmente de acuerdo, SHA256 es la mínima opción a usar para una
aplicación/protocolo nuevo. Creo que lo mencionan en el artículo, sólo
es cuestión de tiempo para que alguien encuentre la forma de explotar
SHA-1, pues hace unos pocos años salió el primer artículo sobre sus
debilidades teóricas.

Ya urge un nuevo algoritmo de Hash, pero por lo visto, el concurso que
organiza el NIST se va a llevar un par de años más todavía, por lo
menos.

Saludos,


2009/1/7 Carlos M. Martinez <carlosmarcelomartinez en gmail.com>:
> Personalmente, desde hace ya bastante tiempo no he recomendado el uso de MD5
> para ninguna aplicacion fuera de lo trivial. Al igual que Roque, creo que
> hace tiempo que todos deberiamos estar ya usando SHA-256.
>
> slds
>
> Carlos
>
> Roque Gagliano wrote:
>
> hola Francisco,
> La pregunta que yo me he hecho es si vale la pena utilizar SHA-1 o
> directamente pasar a SHA-256. Mi respuesta ha sido pasar a SHA-256.
> r.
> On Jan 6, 2009, at 4:44 PM, Francisco Arias wrote:
>
> Por si no lo han visto ya:
>
> Un grupo de investigadores dicen ser capaces de crear un certificado,
> incluso un certificado CA intermedio que aparenta ser firmado por un
> CA real y comúnmente aceptado por los navegadores, que use MD5. Ya con
> ese certificado CA falso, imagínense lo que pueden hacer, sobre todo
> combinándolo con la(s) vulnerabilidad(es) en el DNS.
>
> http://blogs.techrepublic.com.com/security/?p=724
>
> El texto del artículo:
>
> http://www.win.tue.nl/hashclash/rogue-ca/
>
> Aún no dan los detalles específicos clave de cómo hacerlo por
> seguridad, según dicen.
>
> --
> fjac
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
>
> ________________________________
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
>
>



-- 
fjac



Más información sobre la lista de distribución LACNOG