Auf dem 25C3 stellen ein paar Forscher vor, wie sie sich bei einer CA ein Zertifikat haben ausstellen lassen und dann ein paar Schwachstellen beim Hashing-Verfahren (MD5) ausgenutzt haben. In den nächsten Tagen wird auf heise oder bei anderen Newsseiten etwas über diesen praktischen Angriff stehen. Hoffentlich deutlich besser erklärt werden als ich das jemals könnte.
Alexander Sotirov und Jacob Appelbaum weisen auf ein kleines Problem hin. MD5-Angriffe sind seit 2004 bekannt, sie werden mit einer respektablen Geschwindigkeit besser und erlauben inzwischen weitgehend freie Erzeugung von Kollisionen. Dies hat aber die CAs nicht davon abgehalten, MD5 weiterhin zu nutzen. Sie machen so lange weiter, bis ihnen die Decke über dem Kopf auseinanderfällt.
Wenn das schon bei Technikfirmen so schlimm ist, bleibt eigentlich keine Hoffnung mehr für Politiker, wenn es um Hinweise auf Bug in der von ihnen geschriebenen Software (Gesetze genant) geht. Schlussfolgerung: Nicht mehr in der Annahme auf die Fehler hinweisen, man könne dadurch den Prozess konstruktiv befördern oder das Schlimmste verhindern. Ab jetzt nur noch demonstrieren, was so alles schiefgehen kann.
Tags: Politik, SicherheitVerwandte Artikel
Tags: Politik, Sicherheit