L’insicurezza di MD5 colpisce i siti “sicuri”


Abbiamo scoperto una vulnerabilità nella Public Key Infrastructure (PKI) utilizzata per generare certificati digitali per i siti web “sicuri”. Come proof of concept abbiamo eseguito un vero e proprio attacco, creando un certificato da Certification Autority ritenuto attendibile da tutti i browser più diffusi. Questo certificato ci permette di impersonare qualsiasi sito su Internet, inclusi quelli di banche ed e-commerce che utilizzano HTTPS.

Il nostro attacco sfrutta la vulnerabilità detta “MD5 collision” che permette la creazione di diversi messaggi che hanno lo stesso hash MD5.

[Leggi tutto →]

Come realizzare una Certification Authority OpenSource (con TinyCA)


Scopriamo come realizzare una piccola PKI con strumenti interamente Open Source, per poi integrarne i servizi all’interno di un web server Apache dotato di supporto SSL

Post precedenti »