Para poder crear los certificados falsos era necesario el uso de técnicas y vulnerabilidades de las entidades certificadoras. Como mínimo Verisign ya ha confirmado que esas vulnerabilidades han sido solucionadas y por lo tanto ya no es posible usar esa misma técnica. La técnica hacía uso de predicciones en ciertos de los valores en los que se basa la unidad certificadora, una de ellas permitía predecir el número de serie del certificado al ser un número secuencia.

A su vez han indicado que los nuevos certificados ya no usan MD5. El riesgo para los certificados MD5 existentes es nulo, según Verisign, al no poder usar ya las vulnerabilidades de la entidad certificadora.

De todas formas el MD5 debe descartarse por completo de cualquier en cualquier ámbito relacionado con la seguridad. Pero a pesar de ello el riesgo actual es mínimo y teniendo en cuenta la ventana prevista para su desaparición es poco probable que se vean ataques basadas en esta vulnerabilidad. Al menos en los grandes proveedores de seguridad.

#5 20090116 de nada

#41 PGP es el nombre del programa no el algoritmo de cifrado que utiliza como lo puede ser Serpent o AES.

Vamos, que podrías decir "AES o IDEA" o "Truecrypt o PGP" pero no "AES o PGP".

La explicación: http://www.win.tue.nl/hashclash/rogue-ca/

Para el que le interese y no tenga tiempo para leerse el artículo: recomiendan SHA-2 en lugar de md5

#15 En casos como este, que permite suplantar la identidad de bancos y empresas de seguridad, entre otras, es irrelevante el coste de proceso.

Aunque se tardaran 6 meses en conseguir un ataque sería viable si el beneficio es una estafa de proporciones elevadas.

En cualquier caso, y a la espera de lo que aparezca los próximos días, tal como comento en #18 parece que el problema a pesar de ser muy grave no tendrá consecuéncias.

yo no es que sepa mucho, pero ¿mdcinco no hace ya bastante tiempo que no se recomienda¿

de hecho:

"Previous work on MD5 collisions between 2004 and 2007 showed that the use of this hash function in digital signatures can lead to theoretical attack scenarios"

"Our work shows that known weaknesses in the MD5 hash function can be exploited in realistic attack, due to the fact that even after years of warnings about the lack of security of MD5, some root CAs are still using this broken hash function."

Es interesante en cualquier caso, pero creo que héroes son los que desarrollan estas funciones.

#9 Pero las funciones hash se usan en los protocolos reales.

#12 No es la primera colisión, pero los anteriores ataques construían dos textos diferentes para que colisionaran. Ahora se ha atacado a un texto preexistente.

#15 Los ataques siempre se vuelven mejores ataques, nunca empeoran.

#17 El ataque es práctico, no es solamente teórico. Muchas organizaciones se pueden permitir montarlo si realmente lo necesitan.

#18 Descartar MD5, buena idea. Para firefox: http://www.codefromthe70s.org/sslblacklist.aspx

#20 La encriptación cuántica no tiene nada que ver con las funciones hash, que son del todo deterministas.

Ahora hay que ver qué hacemos en eMule para que no se pueda usar para crear fakes.

#25 No sé si tu explicación es muy aclarativa. De http://es.wikipedia.org/wiki/Hash

Una propiedad fundamental del hashing es que si dos resultados de una misma función son diferentes, entonces las dos entradas que generaron dichos resultados también lo son.

Otra característica vital, que es lo que se ha roto ahora (para MD5), es que sea imposible construir dos documentos distintos que produzcan el mismo hash.

Para firmar un documento con encriptación de clave pública (http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica) se podría simplemente encriptar el documento entero. Pero cómo que eso es mucho trabajo, pues primero se calcula el hash del documento (el hash es muy pequeño) y luego se encripta ese hash.

La forma de hacerlo está standard'izada http://es.wikipedia.org/wiki/DSA

No tiene nada que ver con encriptar un documento.
Y se podia usar igualmente una clave secreta (simétrica).

en #12, cuando dije #5, quería decir #10. Claro, ¿no?

Interesante noticia, pero heroes...

Ni heroes ni fronteras ni banderas ,todos a beber y a follar que son dos dias

ups...

Un hashing consiste en, dados unos datos de entarda, obtener una salida más pequeña, que sea como una "huella" de los datos de entrada.

Sin pensar mucho, y sea cual sea la complejidad de la fórmula o algoritmo que se aplique a los datos de entrada, siempre que los datos de entrada tengan más bits que la salida habrá dos entradas que arrojen el mismo resultado.

Por ejemplo, supongamos que la funcion hash simplemente cuenta el número de "unos" binarios de la entrada. Si la entrada son 32 bit, la salida tendrá 6 bit, ya que con 6 bit se puede contar de 1 a 32. Así que como 32 bit tienen unos 4000 millones de combinaciones, y el hash será un número de 0 a 32, necesariamente habrá varias entradas que den la misma salida. Y es indiferente de la complejidad del algoritmo o del tamaño de los datos.

El problema de romper MD5 estriba en obtener una entrada específica cuya salida sea un determinado hash que ya tenemos.

Los que leemos SET y cosas por el estilo, tenemos héroes como estos (mejor que tener la habitación llena de posters de Ronaldinho o Bisbal) JUASJUASJUAS ¡qué duro!

Impresionante.
No hay fronteras, no hay límites, esta claro.

Hombre, colisiones de hash va a haber siempre en funciones que dan como resultado una cadena de longitud fija (tienes "infinitas" posibilidades de entrada y finitas posibilidades de salida), así que por esa definición podemos decir que todas las funciones que cumplen esa regla están rotas desde que nacen. Un tipo que estudia estas cosas me dijo algo así como que la "seguridad" de estas funciones se mide en cuántas colisiones puede haber o si es más o menos fácil conseguirlo, y que MD5 está en apuros desde hace ya unos años por eso.

#45 para resumir, colisiones hay, por definición, en todas las funciones hash( → #31), y la probabilidad de colisión es como mínimo 1/(2^nbits).

Una función hash se considera insegura cuando se pueden encontrar colisiones a propósito sin recurrir a la fuerza bruta (hacer fuerza bruta contra 128 bits es un absurdo).

#29 no es «cantidad de computación» es que es físicamente imposible. Hacer una fuerza bruta de 128 bits no está al alcance de nadie.

#33 Léete la noticia anda.

Cualquier persona que [..]

Si, cualquier persona menos ... todos.

El MD5 se ha usado hasta ahora para comprobar la validez de las firmas digitales. Es irrelevante lo segura que sea una clave si el proceso de verificación es manipulable.

Sin ir mas lejos tu banco usa MD5 de forma indirecta cuando te conectas online para gestionar tu dinero.

Servidor petado por meneame effect

#5 No sabía a qué venía la pregunta hasta que lo he hecho yo

Todos los que os quejáis del link roto leed a #3 (link; http://www.win.tue.nl/hashclash/rogue-ca/)

Un código md5 creo que se implementa con 128 bits. Los códigos md5 se pueden representar con cadenas en hexadecimal. Se supone que cada fichero proporcionará un valor distinto, pero el número de valores distintos md5 sería de dos elevado a 128.

Esto supone 340282366920938463463374607431768211456 valores diferentes.

Creo que con eso se puede uno hacer una idea de la cantidad de fuerza bruta computacional que hace falta para lograr una colisión md5 para un valor concreto.

Aplicando md5sum (en Linux) a un fichero que contiene 'Hola mundo' (sin comillas) obtenemos 1c7d02afc6e3c6a7dd59bcdf2fefb387. Seguro que se puede obtener el mismo código md5sum con otro fichero distinto, pero averiguar eso por fuerza bruta no es algo al alcance de cualquiera. La conclusión es que seguramente se deba usar un estándar con un número de bits más elevado.

#15 Aproximadamente 3 días usando 200 PS3.

¡Dáis miedo! :-o

292b8eb33d3e314b74c96263c4502e82 !!!!

#25, ya era hora de que alguien pusiera algo de cordura

#35 joer, tienes razón. He disparado demasiado rápido

#29 y 2^256 es 115792089237316195423570985008687907853269984665640564039457584007913129639936

Que es lo que saca SHA-256 (que es un tipo de SHA-2), otro es SHA-512

2^512 = 13407807929942597099574024998205846127479365820592393377723561443721764030073546976801874298166903427690031858186486050853753882811946569946433649006084096

(http://www.petting-zoo.org/Calculator.html)

#12 Excelente explicacion... Vote up!

#16 Llevas razón estos "héroes" los tenemos cada mes con proezas incluso mayores.

No anda el sitio web. cómo pongo voto negativo?

Pincho en el enlace y me sale
Error establishing a database connection

¿Habrán hackeado la web?

Como ya se ha dicho para seguridad personal no creo que sea necesario el cambio de algoritmo, pero empresarial es harina de otro costal, no sólo por el hecho de poder estafar dinero, si no por el acceso que se puede obtener a documentos privados.
Sin embargo, en casos donde se necesita gran seguridad se utilizan otro tipo de algoritmos desde hace tiempo, tal que el SHA-2 (128 bits) y SHA-512, y la cosa no queda ahí se está avanzando mucho en la encriptación cuántica, basada en las propiedades de la materia e incluso en el espín de las partículas, así que yo no me preocuparía mucho por la seguridad de los algoritmos, me preocupa que las empresas sepan actualizarse.

Obviamente casi nadie se lee los mensajes (ni se leyó sus apuntes de la escuela). Queda claro que el MD5 no es encriptación, y ahí van y lo repiten.

¿Qué no es obvio que el MD5 no es encriptación? ¡Usen el sentido común! Si fuera encriptación y existiera un hash único por archivo, sería como que todo archivo se puede comprimir en otro archivo del tamaño del hash.

¡Es absurdo!

#37 " Como no puedo leer la noticia,me meto directamente a comentar sin leer cometnarios previos! juaz juaz!

Cualquier persona que quiera cifrar algo que realmente valga la pena hace bastantes años que cambió a algoritmos mejores. Para cifrar las cartas del amante va bien un MD5. Para cifrar la fórmula secreta de un perfume las empresas son algo más serias.