Certifikatfirmaer nedtoner hullede rodcertifikater

Ikke noget stort problem, lyder det fra firmaerne bag rodcertifikater om det nyligt rapporterede hul i algoritmen MD5. Den bruges stadig til certifikater, der får browsere til at stole på websites.

Det betyder ikke det store, at det er muligt at skabe falske rodcertifikater, som kan få browsere til at tro, at falske websites er gode nok. Det mener en række af de firmaer, som udsteder certifikater til websites.

På en nylig hackerkonference i Berlin viste en forskergruppe, hvordan det er muligt at fremstille et falsk rodcertifikat, som de fleste browsere vil stole på. Det falske certifikat blev skabt ved at udnytte et hul i MD5-algoritmen, som benyttes til at skabe digitale fingeraftryk. Fremstillingen af det falske certifikat skete ved hjælp af en klyngecomputer opbygget af 200 Playstation3-spilkonsoller.

Men nu nedtoner adskillige certifikat-myndigheder risikoen, skriver it-mediet Heise Online. Den tyske certifikat-autoritet TC Trustcenter synes ikke det er helt rimeligt, at det optræder på listen over firmaer, hvis rodcertifikater kan efterlignes. Siden 2007 har firmaet nemlig benyttet andre og mere sikre fingeraftryksalogoritmer end MD5, såsom algoritmen SHA-1. Firmaet benytter dog endnu de tvivlsomme certifkater på enkelte af dets egne servere.

Verisign mener også, at det allerede har løst problemet. Ifølge Tim Callan fra Verisign har firmaet udfaset MD5-baserede certifikater, så kun få certifikater fra firmaet bygger på den usikre algoritme. Det samme gælder datterselskabet RapidSSL.

Men hverken Verisign eller TC Trustcenter kan fortælle, hvordan slutbrugerne skal beskytte sig mod falske certifikater i den mellemliggende periode.

Den statslige amerikanske sikkerhedsmyndighed US-CERT anbefaler alle at undgå MD5-algoritmen, uanset anvendelse, da algoritmen ifølge US-CERTs mening er knækket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere