Sahte root CA sertifikasının üretimi
25.Chaos konferansında Alex Sotirov ve Jacob Appelbaum çok ciddi bir açık duyurdu.
Alex Sotirov ve Jacob Appelbaum MD5 ile hashlenmiş root CA sertifikasını ürettiler ve demosunu yaptılar.
Üretilen bu sahte root CA sertifikası birçok browser tarafından geçerli bir CA olarak tanınıyor ve bununla da herhangi bir web sitesi için SSL sertifikası imzalanabiliyor.
Çok ciddi bir saldırı gibi gözüküyor ve bu saldırıdan en çok e-ticaret ve bankacılık siteleri gibi ssl sertikası
kullanan siteler etkilenecektir.Phishing saldırılarına daha gerçekçi bir boyut kazandıracaktır.
Önlem olarak sayısal sertifikaları hashlerken MD5 yerine SHA-1 kullanılması tavsiye edilmiş.Ve problemli CA kurumlarını haberdar ederek SHA-1 e geçmelerini sağlamışlar.
Güvenlik uzmanları ve konuya eğilimli kullanıcıların MD5 kullanan CA otoritelerinin Windows’dan nasil silinecegini http://www.proper.com/root-cert-problem/ adresinden öğrenebilirler.
Saldırı ile ilgili aytıntılı bilgi :
http://www.phreedom.org/research/rogue-ca/
Detaylı teknik açıklama
http://www.win.tue.nl/hashclash/rogue-ca/
Konuşma slaytları
http://www.phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt
Konferans duyurusu:
http://events.ccc.de/congress/2008/wiki/Main_Page