[lacnog] MD5 en SSL totalmente quebrado - Crean un certificado CA falso
Nicolás Ruiz
nicolas en ula.ve
Lun Ene 12 20:44:30 BRST 2009
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Carlos Martinez wrote:
> Creo que de todas formas los SHA-2XX/512 todavia nos van a servir
> durante 4 o 5 años, que es lo que se estima dure la competencia del SHA-3.
yo creo que sha256/512 va a servir durante más de 5 años (mirando hace
cuanto tiempo se descartó MD4 y cuanto se demoró en encontrar una
vulnerabilidad práctica en MD5).
> Estuve repasando los certificados que uso normalmente, y la buena
> noticia es que no hay ninguno con MD5, pero la.... no tan buena
> digamos... es que todos son SHA-1, no encontre ninguno SHA-256.
Yo no me preocuparía por certificados SHA-1, pero al igual de lo que
dices tu y Roque, toda nueva aplicación debería utilizar sha256 en lugar
de sha1 o md5.
>
> slds
>
> Carlos
>
> 2009/1/8 Francisco Arias <francisco en arias.com.mx
> <mailto:francisco en arias.com.mx>>
>
> Totalmente de acuerdo, SHA256 es la mínima opción a usar para una
> aplicación/protocolo nuevo. Creo que lo mencionan en el artículo, sólo
> es cuestión de tiempo para que alguien encuentre la forma de explotar
> SHA-1, pues hace unos pocos años salió el primer artículo sobre sus
> debilidades teóricas.
>
> Ya urge un nuevo algoritmo de Hash, pero por lo visto, el concurso que
> organiza el NIST se va a llevar un par de años más todavía, por lo
> menos.
>
> Saludos,
>
>
> 2009/1/7 Carlos M. Martinez <carlosmarcelomartinez en gmail.com
> <mailto:carlosmarcelomartinez en gmail.com>>:
> > Personalmente, desde hace ya bastante tiempo no he recomendado el
> uso de MD5
> > para ninguna aplicacion fuera de lo trivial. Al igual que Roque,
> creo que
> > hace tiempo que todos deberiamos estar ya usando SHA-256.
> >
> > slds
> >
> > Carlos
> >
> > Roque Gagliano wrote:
> >
> > hola Francisco,
> > La pregunta que yo me he hecho es si vale la pena utilizar SHA-1 o
> > directamente pasar a SHA-256. Mi respuesta ha sido pasar a SHA-256.
> > r.
> > On Jan 6, 2009, at 4:44 PM, Francisco Arias wrote:
> >
> > Por si no lo han visto ya:
> >
> > Un grupo de investigadores dicen ser capaces de crear un certificado,
> > incluso un certificado CA intermedio que aparenta ser firmado por un
> > CA real y comúnmente aceptado por los navegadores, que use MD5. Ya con
> > ese certificado CA falso, imagínense lo que pueden hacer, sobre todo
> > combinándolo con la(s) vulnerabilidad(es) en el DNS.
> >
> > http://blogs.techrepublic.com.com/security/?p=724
> >
> > El texto del artículo:
> >
> > http://www.win.tue.nl/hashclash/rogue-ca/
> >
> > Aún no dan los detalles específicos clave de cómo hacerlo por
> > seguridad, según dicen.
> >
> > --
> > fjac
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> > ________________________________
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> >
> > _______________________________________________
> > LACNOG mailing list
> > LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> > https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> >
>
>
>
> --
> fjac
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net <mailto:LACNOG en lacnic.net>
> https://mail.lacnic.net/mailman/listinfo/lacnog
>
>
>
>
> --
> ===================
> Carlos M. Martinez
> http://cgm-consulting.net
> ===================
>
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
- --
Juan Nicolás Ruiz | Corporación Parque Tecnológico de Mérida
nicolas en ula.ve | Mérida - Venezuela
PGP Key fingerprint = CDA7 9892 50F7 22F8 E379 08DA 9A3B 194B D641 C6FF
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAklrx84ACgkQmjsZS9ZBxv9x/gCfauUKP9a+oL0H13rxVRVR8Sh1
Q+8AniB3soz5f2tC5cxrwJMfB4/JyPeY
=ghEu
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución LACNOG