FreeRange user yuebai li wanted you to see this:
在第25届Chaos Communication Congress(CCC)会议上,研究人员透露他们可以用MD5碰撞创造假的数字证书认证(certificate authority),利用200台PS3,他们能在短时间破解SSL加密。 当你通过HTTPS安全连接访问网站时,一个数字证书将从服务器发送到你的电脑上。证书包含了一个验证网站身份的数字签名。签名来自数字证书认证中心(CA),它的角色相当于中间人。你信任CA,也就信任它的签名。任何人都能创造一个数字证书,因此浏览器如Firefox 3有一个可信任的CA列表,如果CA值得信任,浏览器就会认为它的证书也是可信的。CA使用的公开密钥也在逐步进化,从MD5算法到现在比较流行的SHA-1和SHA-2。安全研究人员和数学家几年前就证明,MD5算法、SHA-0和SHA-1算法都是弱安全的,可通过碰撞方法破解。 在CCC大会上,安全研究人员利用200台PS3攻击MD5算法,创造了一个假的来自可信CA的数字证书。研究人员表示用不着恐慌(PDF),受影响的CA可以换用SHA-1、SHA-2,甚至是SHA-3。
Solidot
FreeRange WebReader - bringing the Internet to your mobile phone like never before!
Reading this on your Windows Smartphone, Palm or Blackberry? Try it now by clicking http://mwap.at
没有评论:
发表评论