Fälschung von X.509-Zertifikaten gelungen

Internet & Webdienste Wie in den Szenarien, die bei Bekannt werden der Schwäche von MD5 beschrieben wurde, ist nun auch der Beweis erbracht, dass sich tatsächlich X.509-Zertifikate damit fälschen lassen. Damit sind auf Zertifikate für SSL, S/MIME und LDAP, die MD5 als ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Die Fälschung setzt also zwei gleiche MD5-Checksummen vorraus. Ist das auf die News zurück zu führen, wo berichtet wurde das der SHA-1 Algorithmus geknackt wurde?
 
MD5 wurde schon einige Wochen früher und noch viel durchgehender geknackt - der Angriff auf SHA-1 dagegen war vergleichsweise ein Witz.
 
Klingt irgendwie logisch. Dumme Frage: Wie schwierig ist es zwei Zertifikate mit der gleichen MD5-Prüfsumme zu erstellen?
 
@swissboy: Wenn ich mich recht entsinne lag der Rechenaufwand um zig Zehnerpotenzen niedriger durch die kürzlich veröffentlichten mathematischen Ansätze. Ganz ohne probieren geht es natürlich immer noch nicht, aber wen interessiert es schon bei einem solchen (verwerflichen) Projekt, ob man ein oder zwei Wochen zum generieren der Hashes braucht. Die potenziellen Angriffsziele (Webseiten) sind zumindest über Monate, wenn nicht Jahre online. Die Zeit ist dabei also fast egal.
 
@goa-inge: Wobei die Zertifikate in der regel aber nur 1 Jahr gültig sind!
 
Erklär doch mal genauer :-) hehe
Nee Spaß bei Seite... Echt übel aber ich denke es ist nur eine Frage der Zeit bis Sicherheitssysteme ausgehebelt oder "geknackt" werden.
 
Sicherheit ist immer nur von kurzer Dauer.
 
Es muss aber auch der gleiche Initiator sein. Das ist dabei zu beachten.
 
Ich weiß nicht genau was du ausdrücken möchtest, aber spielst du vielleicht auf das bei Versign Class 3 und -4 Zertifikaten geforderte Random Padding an?
 
verwendet Rika eigentlich Skype? :D
 
@iNsuRRecTiON: Wofür?...Der war jetzt aber tiiiiefsinnig.
 
@Kirschsaft: naja, weil Skype auch Zertifikate benutze und die laufen mit 1024 bit RSA Keys und SHA1 oder MD5 und da könnte man ja dann auch einiges fälschen.. Skype ist ja angeblich sicher..durch die hybride Verschlüsselung und Authentifizierung..MfG CYa iNsuRRecTiON
 
Skype spricht weder SIP noch H.32x und ist damit untauglich.
 
Muss ich jetzt mein ganzes Geld von der Bank holen, bevor man es mir raubt? Wie zerbrechlich ist doch unsere kleine elektronische Welt. Da ist es doch unterm Kopfkissen sicherer...
 
Schon mal an Foot-Banking gehört? Bei der Postbank kannst du zur Post gehen und erhältst 6 Tage in der Woche zu 8 Stunden pro Tag dein Geld gegen Unterschrift - ohne Bankkarte, Kreditkarte, Tele-Banking oder Online-Banking.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen