L’insicurezza di MD5 colpisce i siti “sicuri”


Abbiamo scoperto una vulnerabilità nella Public Key Infrastructure (PKI) utilizzata per generare certificati digitali per i siti web “sicuri”. Come proof of concept abbiamo eseguito un vero e proprio attacco, creando un certificato da Certification Autority ritenuto attendibile da tutti i browser più diffusi. Questo certificato ci permette di impersonare qualsiasi sito su Internet, inclusi quelli di banche ed e-commerce che utilizzano HTTPS.

Il nostro attacco sfrutta la vulnerabilità detta “MD5 collision” che permette la creazione di diversi messaggi che hanno lo stesso hash MD5.

[Leggi tutto →]