針對SSL認(rèn)證加密技術(shù)被攻破的消息,英國網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)Netcraft又發(fā)現(xiàn),互聯(lián)網(wǎng)上14%的使用MD5算法進(jìn)行加密的SSL認(rèn)證都存在安全漏洞,足以引起黑客的濃厚興趣。其實早在2004年就有了針對MD5的第一次破解,并成功使用同一個數(shù)字簽名制造了兩條不同的消息。2007年,破解技術(shù)更加高級,理論上已經(jīng)能夠讓研究人員得到任何想要的兩條消息。
Netcraft經(jīng)過調(diào)查后發(fā)現(xiàn),目前有13.5萬個有效的第三方數(shù)字認(rèn)證使用MD5算法,占互聯(lián)網(wǎng)上所有認(rèn)證的大約14%,這其中有12.8萬個(95%)來自RapidSSL(Equifax),另外7000個來自Thawte和Verisign,不過Netcraft指出,后兩家公司的大多數(shù)數(shù)字認(rèn)證使用的都是SHA-1算法,而這種加密技術(shù)現(xiàn)在看起來還是安全的。
Verisign宣稱已經(jīng)停止為其RapidSSL認(rèn)證使用MD5算法,并計劃到本月底的時候在所有認(rèn)證產(chǎn)品中放棄MD5,預(yù)計其他認(rèn)證機(jī)構(gòu)也會如 此。由于SHA-1算法非常成熟,且已經(jīng)被大多數(shù)SSL認(rèn)證簽名所采用,所以過渡轉(zhuǎn)移會非常簡單順利,針對MD5的攻擊自然也就沒有目標(biāo) 了。(注:Verisgn在2006年收購了RapidSSL)
微軟最近通知其客戶,已經(jīng)知曉針對MD5算法X.509數(shù)字認(rèn)證的成功攻擊,但這并不會帶來很明顯的危險性,因為研究人員并沒有公開背景資料,使得其他人無法重復(fù)進(jìn)行攻擊。微軟還強(qiáng)調(diào)說這并非是微軟平臺獨有的漏洞,用戶應(yīng)當(dāng)向相應(yīng)的認(rèn)證機(jī)構(gòu)尋求幫助。
