Ikasten.IO
Learning, Aprendiendo

MD5 no es efectivo para la firma de aplicaciones 2 Diciembre, 2007

Leo en Slashdot: Marc Stevens, Arjen K. Lenstra, y Benne de Weger han publicado un paper bajo el título ‘Vulnerability of software integrity and code signing applications to chosen-prefix collisions for MD5’. Describe un ataque que puede ser reproducido contra el algoritmo MD5 para falsificar resúmenes criptográficos generados por el mismo. Los investigadores en sus ejemplos parte de dos ficheros ejecutables simples para Windows: HelloWorld.exe y GoodbyeWorld.exe. El ataque consiste en añadir un prefijo que haga que el valor md5() de ambos ejecutables (con código distinto) sea idéntico. Los investigadores advierten no obstante de que para poder lanzar este ataque basado en añadir prefijos a un fichero para que genere el mismo valor md5 que otro fichero distinto es necesario, lógicamente, tener acceso al código antes de que éste sea firmado (o pasado por md5).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *