https://www.certisign.com.br/certinews/destaques/janeiro_fevereiro2009/2009jan_noticia2
Esse noticia pode ajudar a todos a entender as fraquezas do MD5, 2009/2/11 Gustavo Noronha <k...@debian.org> > On Wed, 2009-02-11 at 08:53 -0200, Pablo Sánchez wrote: > > http://www.securityfocus.com/news/11541 > > > > A notícia acima refere-se a um grupo que conseguiu criar um > > certificado digital falso mas válido. A técnica não é trivial, > > precisando inclusive de ataques de man-in-the-middle, mas ainda assim, > > isso não anularia a afirmação de que "é impossível falsificar uma > > assinatura digital"? Enfim, tem pano para discussão aí... > > Essa notícia já é velha (de 2008), na verdade, e não anula o fato de que > assinaturas digitais que usam tecnologias adequadas são muito > confiáveis. > > Sobre o 'impossível' o Ricardo Bánffy já respondeu, e se você reparar > bem vai ver que a técnica utilizada se baseia no fato de que muitas > autoridades certificadoras ainda usam MD5 nos seus certificados. Desde > ~2004 MD5 não é mais considerado seguro, por ter sido descoberta uma > técnica para gerar colisões de hash. > > Desde ~2005 foi demonstrado que era possível usar essa fraqueza para > colidir certificados X509, então era questão de tempo até alguém obrigar > as CAs a mexerem a bunda gorda e passarem a usar SHA. O engraçado é que > a maioria delas levou poucas horas pra fazer a mudança que devia ter > sido feita desde 2004. Vai entender. > > Abraço, > > -- > Gustavo Noronha <k...@debian.org> > Debian Project > > > _______________________________________________ > PSL-Brasil mailing list > PSL-Brasil@listas.softwarelivre.org > http://listas.softwarelivre.org/mailman/listinfo/psl-brasil > Regras da lista: > http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil >
_______________________________________________ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil