Reménykedtem, hogy nem erre jövök haza, de nem volt szerencsém... Szóval a helyzet az, hogy a CCC-n volt egy előadás, melyben azt mutatta be egy több nemzetközi egyetemről és kutatóintézetből összeállt csapat, hogy bezony ma már 200 db. PS3-mal 1-2 napon belül lehet hamis SSL tanúsítványt gyártani, ha az alárírási algoritmusban MD5 hasht használnak. Szóval az SSL köszöni jól van, de figyelni kell, mert az egyik használható kriptográfiai eljárás gyenge láncszem lehet.

A jó hírek:

• MD5 hasht már nagyon kevés tanúsító szervezet használ. Magyarországon rövid tesztem eredményeként azt mondhatom, hogy a CIB, az Erste, az ING és az OTP oldalainak tanúsítványai nem hamisíthatóak. 
• Már csak azért sem, mert meglévő tanúsítványokat nem lehet hamisítani, bár az is igaz, hogy a támadásban kihasznált MD5 gyengeség már 2007 óta ismert!
• Ha olyan oldalon jártok ahol hosszú zöld csík van a böngészősávban, akkor az az oldal tuti kóser. Ezek Extended Validation tanúsítványok, melyeknél tilos az MD5 használata.
• A támadáshoz azt is kihasználták, hogy a megtámadott tanúsítószerv szisztematikusan növekvő azonosítót használ a tanúsítványaihoz, és itt is sok múlt az időzítésen.
• 200 db. PS3 alsó hangon is 10 millió forintos ár környékén mozog. Alternatívaként ki lehet bérelni az Amazon EC2-jét, 2000$-ért alkalmanként.
• A tanúsítványgyártók visszavonhatják a tanúsítványaikat, így a rosszban sántikálók tanúsítványai érvényteleníthetőek lesznek. 
• Nem sokára gyaníthatóan elkészül egy-egy böngésző plugin, ami visít, ha valaki MD5-tel aláírt tanúsítványt nyom az arcunkba. Jan 2.: Meg is érkezett az SSL Blacklist legújabb változata, ami gyenge, Debianon generált kulcsok mellett most már az MD5-tel aláírt tanúsítványokat is képes detektálni.

Rossz hír lehet, hogy az algoritmus vélhetően jól párhuzamosítható, tehat masszívabb botneteket is elméletileg be lehet állítani az ütközéskeresésre.

Szóval mindenki nyugodtan alhat (egyelőre), ma sem jött el a világvége.

A prezentáció letölthető innen
Az előadás meg innen

Frissítés: A VeriSign blogbejegyzésében közölte, hogy a prezentáció alanyául szolgáló RapidSSL azonosítógenerálási gyengeségét röviddel a prezentáció megjelenése után kijavították, és legkésőbb január végéig befejezik az MD5-tel aláírt tanúsítványok kiadását. A már meglévő MD5-ös tanúsítványokat - bár ezek jelenlegi ismereteink szerint nincsenek kitéve a támadás kockázatának - díjmentesen cserélik.