Zusammenfassung der auf dem CCC-Kongress veröffentlichten MD5-SSL-Schwachstelle

Das Problem sei schlimm, aber man werde es überleben. Ebenso könne der Einzelne wenig dagegen tun. Es sei weder ein Fehler im Browser noch sei das Protokoll kaputt. Die Problematik liege eher in der Verwendung des MD5- Algorithmus einiger CAs zur Überprüfung eines gültigen Zertifikats. Der Angriff sei schwierig. Dennoch lassen sich theoretisch Zertifikate signieren. Somit sei deren Echtheit illegal bestätigt. Damit könnten sich perfekte Phishing-Seiten aufbauen lassen. CAs sollten schleunigst auf SHA1-Hashes umstellen. Es seien alle Dienste betroffen die SSL benutzen. Dazu gehören auch HTTPS, SSL VPNs und S-MIME.

Die Entdecker benutzten einen Cluster bestehend aus 200 Sony Playstation 3. Der Rechnerverbund brauchte ein paar Tage für die Attacke. Laut SANS könnte ein großes Botnetz diese Aufgabe schneller erfüllen. Auch Microsoft (hier und hier) und Mozilla (hier) befassen sich mit dem Problem. (jdo)