Monday, January 12, 2009

HTTPS (อาจจะ)ไม่ปลอดภัยซะแล้้้ว

มีกลุ่มคนที่สามารถปลอม CA certificate ได้แล้ว โดยใช้จุดอ่อนของการเข้ารหัสแบบ MD5 ซึ่งมีความเป็นไปได้ที่ต้นฉบับคนละข้อความ จะได้ md5 hash ที่เหมือนกัน
ดูรายละเอียดได้ที่ Creating a rogue CA certificate

แม้จะไม่ต้องวิตกอะไรมานัก เพราะการกระทำครั้งนี้สำเร็จได้โดยการใช้ PlayStation 3 ประมาณ 200 เครื่องช่วยกันประมวลผลอยู่ 3 วันแน่ะ
แต่ก็ควรป้องกันก็คือ เปลี่ยนไปใช้การเข้ารหัสแบบอื่นที่ปลอดภัยกว่า เช่น SHA-2 ใน link เค้าบอกว่ามีคนกำลังวิจัยเรื่องเจาะ SHA-1 อยู่ด้วย

No comments: