Produtos e Serviços

 

Entenda o experimento que resultou no ataque ao algoritmo MD5 e saiba porque a certificação digital continua sendo uma tecnologia à prova de fraudes

Nos primeiros dias deste ano, a mídia especializada noticiou a realização de um ataque ao algoritmo MD5 (Message-Digest, algoritmo 5), que teria possibilitado a criação de certificados digitais falsos para servidores web. O ataque, a bem da verdade, não passou de um experimento divulgado na conferência alemã 25C3 (25º Chaos Communication Congress).

Por meio do poder de processamento de nada menos que 200 consoles Playstation 3, os pesquisadores conseguiram criar uma Autoridade Certificadora (AC) falsa. Na prática, foi gerado um certificado e uma “procuração” cujas assinaturas (em MD5) seriam iguais. Os pesquisadores enviaram para a AC uma solicitação de certificado, que foi assinado sem problemas. Depois, copiaram a assinatura do certificado para a “procuração”, Autoridade Certificadora falsa capaz de emitir certificados falsos. Concluída essa etapa, conseguiram fazer com que o “cadeado de segurança”, aquele que aparece na parte inferior da tela e identifica se você está em um ambiente protegido, aparecesse em páginas falsas, sem que qualquer aviso ou erro fosse apresentado pelo navegador.

Todo o experimento só foi possível graças à fragilidade do algoritmo MD5, que já havia sido constatada nos idos de 2004. Alguns dos artigos publicados na mídia especializada, no entanto, chegaram a sugerir errôneamente que a tal vulnerabilidade seria fruto da existência de uma falha na certificação digital.

O enfraquecimento de algoritmos criptográficos é um acontecimento natural da evolução da capacidade de processamento. Cabe às entidades reguladoras e aos principais players do mercado de segurança da informação acompanharem esta evolução com a substituição destes algoritmos. 

A Certisign, já há algum tempo, emite certificados utilizando o algoritmo SHA-1 em substituição ao MD5. Enquanto o MD5 produz um valor hash de 128 bits, para uma mensagem de entrada de tamanho arbitrário; o SHA-1 (Secure Hash Algorithm) gera um valor hash de 160 bits, o que atesta a sua invulnerabilidade.

Enfim, a certificação digital é reconhecida mundialmente como a tecnologia existente mais segura para a troca de documentos eletrônicos. Nenhum certificado digital até hoje foi quebrado, e para que isso jamais aconteça, a Certisign, como líder do segmento no país, investe 10% da sua receita anual em pesquisa e desenvolvimento.