MD5 considerado perjudicial en internet
 

¿No se si se ha dado esta noticia ya?

Dicen mas o menos los investigadores:
"Hemos identificado una vulnerabilidad en Internet, infraestructura de clave pública (PKI) utilizada para la expedición de certificados digitales de seguridad de sitios web. Como prueba creamos un práctico escenario de ataque y creamos con éxito un falso Certification Authority (CA) certificado permitido por todos los navegadores web. Este certificado permite a suplantar a cualquier sitio web en Internet, incluida la banca y los sitios de comercio electrónico seguro utilizando el protocolo HTTPS."

Para leer en inglés la noticia:
http://www.win.tue.nl/hashclash/rogue-ca/

Importante noticia. Según entiendo, ya se han notificado a todos los expendedores de certificados (VerySign, Microsoft, etc.). Y ellos ya están trabajando en reemplazar todos los certificados no seguros (Cambiandolos de MD5 a SHA-2). Según los investigadores, este proceso de reemplazo se podría hacer en periodo de tiempo seguro antes de que un grupo mal intencionado duplique el trabajo hecho por los cientificos. Pero como siempre dice, que el talón de aquiles de la seguridad son las personas, estoy seguro que más de algún administrador de sitios no se dará cuenta de esta noticia y no pedirá un reemplazo del certificado para su sitio. En este tipo de personas en donde está la vulnerabilidad.

Es increíble que todavía sigan usando MD5. Esto de las vulnerabilidades del MD5 es algo conocido hace muchos años, yo me acuerdo haberlo leído en el libro de Phil Zimmerman (el creador de PGP), hace al menos 9 años.

Jamás me imaginé que se siguiera usando.