Interneta pētniecības uzņēmums [url=http://news.netcraft.com/]Netcraft[/url] ir veicis pētījumu, kura gaitā tika noskaidrots, ka aptuveni 14% no visām Web lapām izmanto elektroniskos sertifikātus, kas ir parakstīti izmantojot nedrošo MD5 heš funkciju.
[url=http://news.netcraft.com/SSL-survey]Pētījums[/url], kas aptver lielu daļu interneta, atklāj, ka lielāko daļu “vājo” sertifikātu izsniedza RapidSSL, kas tagad pieder uzņēmumam VeriSign un ir pārsaukts par Equifax. Pagājušajā nedēļā Berlīnē pētnieku grupa paziņoja, ka viņiem ir [url=http://www.securityfocus.com/news/11541]izdevies izveidot viltus sertifikācijas centru[/url], kura parakstītos sertifikātus jebkura pārlūkprogramma atzīs par pareiziem. Lai to panāktu, viņi izmantoja trūkumus MD5 algoritmā un RapidSSL sertifikatu izsniegšanas procesā.
Savukārt VeriSign ir uzsvēris, ka visi RapidSSL sertifikāti ir pasargāti no viltošanas. “VeriSign ir RapidSSL īpašnieks jau kopš 2006. gada, un viņi apgalvo, ka ir pārstājuši izmantot MD5 algoritmu RapidSSL sertifikātu parakstīšanai, un līdz 2009. gada janvāra beigām pārtrauks izmantot MD5 parakstus visos savos produktos,” savā pētījumā norādīja Netcraft.
Tie sertifikācijas centri, kas izmanto MD5 algoritmu, iespējams nomainīs to ar SHA1 algoritmu, kurš ir atzīts par drošāku, un kuru izmanto liela daļa sertifikācijas centru.
Heš summu algoritmi parasti tiek izmantoti lai salīdzinātu datnes vai uzglabātu konfidenciālu informāciju (piemēram paroles). Šīs summas ir kā pirkstu nospiedumi datnēm. Ja datne tiks izmainīta, tās heš summa mainīsies.
Internetā hash algoritmi tiek izmantoti, lai parakstītu elektroniskos sertifikātus, kurus vēlāk izmanto drošai komunikācijai starp mājas lapām un klientiem. Sertifikātus izsniedz sertifikācijas centri (Certificate Authorities – CA). Visās pārlūkprogrammās ir saraksts ar uzticamiem CA, un to izsniegtie sertifikāti tiek atzīti par derīgiem.
Neskatoties uz MD5 algoritma trūkumu atklāšanu, seši sertifikācijas centri 2008. gadā turpināja izsniegt MD5-parakstītos sertifikātus. Pētnieku grupa pārbaudīja 30 000 sertifikātus, un 30% no tiem tika parakstīti izmantojot MD5 algoritmu, 97% no šiem MD5-parakstītajiem sertifikātiem izsniedza RapidSSL.
Avots: [url=http://www.securityfocus.com/brief/880]http://www.securityfocus.com/brief/880[/url]