بنا بر اظهارات اين گروه، روش مذكور منجر به حملههاي سرقت هويت غير قابل تشخيص ميشود. باگ كشف شده در الگوريتم درهمسازي MD5، راه را براي جعل گواهينامههاي ديجيتالي كه وبسايتها براي تأييد هويتشان از آن استفاده ميكنند، هموار ميكند.
با استفاده از اين نقص، محققان توانستند با به كار گيري 200 دستگاه playsatation3، وبسايت تأييد هويت RapidSSL.com را كه متعلق به شركت VeriSign ميباشد، مورد نفوذ قرار داده و موفق به ايجاد گواهينامههاي ديجيتالي جعلي براي هر وب سايت دلخواه شدند.
علاوه بر شركت VeriSign، شركتهايي چون TC TrustCenter AG، EMC Corp.’s RSA unit و Thawte Inc. نيز از الگوريتم MD5 براي توليد گواهينامههاي ديجيتالي خود استفاده ميكنند و اين نفوذ زنگ خطري براي آنها و همهي كساني است كه از MD5 استفاده ميكنند.
طبق گفتهي محققان مذكور، احتمال حملهي واقعي در آيندهي نزديك با استفاده از آسيبپذيري كشفشده كم است، چرا كه آنها كدها و رمزنگاريهايي را كه براي حمله به كار بردهاند منتشر نكردهاند و بدون آنها امكان بازسازي حمله وجود ندارد.
اين آسيبپذيري در مورد هيچكدام از محصولات مايكروسافت نبوده ولي با اين حال اين شركت يك راهنمايي امنيتي را بر روي وبسايت خود قرار داده تا از خطرات احتمالي بكاهد.
- 3