La Falsificación de certificados SSL es posible
Un grupo de investigadores ha conseguido hacer pasar un certificado falso, por uno legítimo, confirmando el hecho de que, es posible visitar páginas fraudulentas en Internet, que a todos los efectos parezcan legítimas.
El problema reside en la utilización del algoritmo de cifrado MD5, y su conocido problema de colisiones. Hoy por hoy se trata de un algoritmo obsoleto que se recomienda no utilizar.
No todas las entidades se ven afectadas por este problema, pero sí algunas entidades antiguas que siguen utilizando este algoritmo.
Estas entidades «anticuadas» utilizan el algoritmo MD5 para calcular el hash del certificado y firmarlo con su clave privada.
Con la potencia computacional suficiente, y alcanzable en la actualidad (para el experimento se utilizó un cluster de unos 1600 procesadores CELL de IBM), se puede conseguir la generación de colisiones mediante fuerza bruta, dando lugar al cálculo del hash del certificado.
Ahora, se utilizará este hash con el certificado falso, siendo este y el verdadero idénticos a nivel de hash criptográfico, aunque posean datos distintos.
La entidad certificadora firmaría el falso certificado, y lo validaría como si del verdadero se tratara, puesto que matemáticamente no se encuentra ninguna diferencia.
Habrá que tener precaución con los túneles VPN que van por SSL, y utilizan certificados MD5.
Se recomienda utilizar algoritmos más modernos, de mayor complejidad criptográfica como el algoritmo de Shanon (SHA2).
Más información:
http://blogs.zdnet.com/security/?p=2339
Departamento de Comunicación
Áudea Seguridad de la Información