Використовуючи обчислювальну потужність більш ніж 200 консолей PS3, група хакерів із США та Європи

Використовуючи обчислювальну потужність більш ніж 200 консолей PS3, група хакерів із США та Європи знайшла спосіб атакувати відому вразливість в алгоритмі MD5 для створення підробленого центру сертифікації (CA). Цей прорив дозволяє виготовляти сертифікати, яким повністю довіряють всі сучасні браузери.

Результати дослідження, які повинні бути представлені Алексом Сотіровим і Джейкоб Аппельбаумом на конференції 25C3 в Німеччині, демонструють ефективний спосіб подолання захисту сучасних браузерів, заснованої на довірі безпечним ресурсів і дозволяють атакующим створювати фішінговие атаки, які віртуально не виявляються.

На думку Сотірова, підроблений CA в комбінації з DNS-атакою, описаної Деном Камински, може мати серйозні наслідки. Він також відзначив, що прямого вирішення проблеми не існує, принаймні до тих пір, поки центри сертифікації не перестануть використовувати MD5 і не перейдуть на більш безпечний алгоритм SHA-1.

Щоб уникнути критики, команда випустила лише прострочений сертифікат (дійсний тільки на серпень 2004 року) і не стала випускати персональний ключ. Крім того, за словами Сотірова, публікація спеціального коду, використаного для створення конфлікту в MD5, до кінця року також не планується.