quarta-feira, 7 de janeiro de 2009

Descoberta de vulnerabilidade em protocolo de criptografia não afeta o comércio online no Brasil



Em dezembro de 2008, um time composto por 03 pesquisadores revelou a possibilidade de exploração de uma vulnerabilidade (ataque) do protocolo MD5 durante o evento Chaos Communication Congress. A vulnerabilidade foi publicada no Paper denominado "MD5 considered harmful today" - www.win.tue.nl/hashclash/rogue-ca.



No que consiste o Ataque?

Segundo os pesquisadores, obteve-se sucesso no procedimento intitulado “MD5 collision attack” ( “Colisão” no algoritmo de hash MD5), quando utilizou-se um substancial poder computacional para criar um certificado SSL falso, por meio de uma Autoridade Certificadora falsa, a RapidSSL - www.rapidssl.com/index_ssl.htm

Este tipo de ataque já era conhecido há alguns anos, todavia ainda não havia sido executado na prática contra um Certificado Digital emitido por uma Autoridade Certificadora. 

O ataque é consiste em uma ação denominada “Colisão” executada contra o algoritmo de hash MD5. Uma Colisão acontece quando dois conjuntos de dados têm o mesmo resultado de hash. Vale lembrar que algoritmos como o MD5 são desenhados para que colisões sejam extremamente difíceis de serem encontradas.

Impactos práticos

Como citado, a vulnerabilidade relacionada às colisões encontradas no algoritmo MD5 não são novidade, tendo sido demonstradas pela primeira vez em 2004. Desde esta época, diversas organizações relacionadas à Certificação Digital abandonaram o uso do protocolo MD5 em todo o mundo. Sedo que a maioria das Autoridades Certificadoras atualmente em operação utiliza o algoritmo de hash SHA-1, mais forte e até o momento 100% seguro. Ressaltando que os Certificados Digitais assinados usando algoritmo SHA-1 não são afetados por este ataque.

O Brasil está totalmente  imune a essa vulnerabilidade, pois, na ICP-Brasil, o uso do algoritmo MD5 não é permitido, conforme demonstra documentação que reza sobre os padrões e algoritmos criptográficos a serem empregados em todos os processos que envolvem geração de chaves criptográficas, solicitação, emissão e revogação de certificados digitais no âmbito da ICP-Brasil www.iti.gov.br/twiki/pub/Certificacao/DocIcp/DOC-ICP-01.01_-_v_1.1.pdf

Finalmente, a fim de resguardar o atual estado de segurança absoluta em sua ICP, o Brasil já estuda a migração para uma nova cadeia de certificação usando a família SHA-2 (SHA-256 ou SHA-512), aposentando o SHA-1, dentro em breve.

2 comentários:

Daniel disse...

Ponto para a ICP Brasil! segurança é um tema sempre recorrente na Internet..
é uma clássica corrida de sapos..
as vezes o site seguro.. as vezes os hackers na frente...

Anônimo disse...

Desculpa, mas na seção 'Impactos Praticos' não foi relatado nenhum impacto prático...