El 30 de diciembre de 2008 se supo que investigadores independientes de seguridad en California, Estados Unidos, e investigadores del Centrum Wiskunde & Informática y la Universidad de Eindhoven de los Países Bajos, y la École Polytechnique Fédérale de Suiza habían encontrado una gravísima debilidad en la infraestructura de certificados digitales que se usan en la Web. Arrancando en julio de 2008, el equipo de investigadores usó un conjunto de 200 consolas de videojuegos Play Station 3 para producir certificados digitales falsos en aproximadamente un día.

Nota extraída del diario lanacion.com, sección tecnología.

Copio y Pego


El 30 de diciembre de 2008 se supo que investigadores independientes de seguridad en California, Estados Unidos, e investigadores del Centrum Wiskunde & Informatica y la Universidad de Eindhoven de losPaíses Bajos, y la École Polytechnique Fédérale de Suiza habían encontrado una gravísima debilidad en la infraestructura de certificadosdigitales quese usan en la Web. Arrancando en julio de 2008, el equipo de investigadores usó un conjunto de 200 consolas de videojuegos PlayStation 3 para producir certificados digitales falsos en  aproximadamente un día. El enorme poder de esta clase de consolas esmuy usado para tareas que requieren una gran capacidad de cómputo.
Hoy por la tarde, la entidad de coordinación en emergencias teleinformáticas del Estado argentino, el ArCERT , envió un informe sobre la situación, conocida como Colisiones en MD5 y Falsificación de Certificados X.509 .
Calificado como de impacto altamente crítico por elArCERT, la debilidad afecta a todos los navegadores Web, ya que estos usan X.509 para validar la identidad cuando se confía en una autoridad que emite sus certificados utilizando MD5.
MD5 es una función de encriptación muy difundida para validar certificados,paquetes de software, contraseñas y otros, mientras queX.509 es une stándar en infraestructuras de clave pública. Dicho sin tantos tecnicismos, se trata de una muy grave vulnerabilidad que afecta tanto ala Web como a la validación de usuarios en Linux y otros clones de Unix,así como la autenticación de paquetes de software. La situación puede dar lugar a ataques de suplantación de sitios por otros falsos y malintencionados.
Según el ArCERT, los certificados emitidos antes del 30 de diciembre, cuando se hizo público el estudio, no están en riesgo. Sin embargo, los autores de la investigación opinan que un equipo de hackers altamente especializado podría replicar sus resultados en el curso de un mes. Con todo y la grave situación que supone el resultado del experimento, la creación de certificados digitales falsos es una tarea que requiere un conocimiento avanzado de criptografía.
La primera debilidad de MD5 se conoció en 2004 y el experimento de2008 es una aplicación de este principio. Según informa el ArCERT, en los nuevos navegadores, como el Internet Explorer 7 y el Firefox 3 ,la barra de direcciones se pone de color verde al entrar en un sitio cuyos certificados digitales han sido validados por métodos más seguros que MD5, que deberá ser discontinuado.
En esta página de la Universidad de Eindhoven hay mucha y buena información técnica sobre la situación (en inglés): http://www.win.tue.nl/hashclash/rogue-ca/
Linck de la nota
http://www.lanacion.com.ar/nota.asp?nota_id=1087456