Hola, escribe Christian Linacre,

para informarles acerca de un nuevo documento informativo recién liberado. El Documento Informativo de Seguridad 961509, describe los potenciales problemas por posibles ataques de colisiones en el algoritmo MD5.

Estamos al tanto de que dos investigadores recientemente publicaron en una conferencia de seguridad una nueva forma de generar ataques exitosos contra certificados digitales X.509 firmados con el algoritmo de hashing MD5. El método de ataque podría permitir la generación de certificados digitales con diferente contenido que tiene la misma firma digital como un certificado original. Los investigadores no revelaron detalles de cómo esto podría convertirse en ataques activos, sabemos que clientes podrían estar interesados o tener preguntas al respecto. Este nuevo descubrimiento NO aumenta significativamente el riesgo de los clientes ya que sin la información anterior no es posible reproducir el ataque.

Esta NO es una vulnerabilidad en nuestros productos, es en realidad un problema que afecta a toda la industria. Esto no significa que haya que obviar este problema sino que verificar que las entidades certificadoras están usando un protocolo más seguro.

Invito a quienes tengan soluciones de entidades certificadoras, de cualquier proveedor, a revisar sus soluciones y verificar que algoritmos están utilizando.

Más información puede ser encontrada en el Documento Informativo de Seguridad 961509

Saludos, Christian.-

**Esto se publica “como está” sin garantías y no confiere derechos**