Forskare förfalskar HTTPS

Suck, när ska folk sluta lita på MD5?

Lite kul att de valde att använda just PS3 konsoller dock.
Någon som vet någon direkt anledning till detta?

//Gorian

För att den ger mycket beräkningskraft per krona inom vissa tillämpningar.

Ja, hur var det....GPU räknar snabbare än CPU? Jag kan ha fel....

Kom och tänka på den 16åringen som hackade nasas main server....

Hur f'n bar sig han åt egentligen?

Är du intresserad av detta så ska du läsa på högskolan.
Ett exempel på hur jag har förstått det (bara principen)

1. Du gissar
2. Kollar resultatet om det är logiskt
3. Är det fel, så gissar du något annat
4. Är det rätt bockar du för och går på nästa uppgift.

Om två hundra pers lånar ut sina ps3 till mig så kan jag hosta SSL-knäckning q:

lol....

Jag tror han skickade en keylogger.exe på MSN!!! xD

Tycker det är intressant att de använder PS3's för detta. Självklart vet jag att det har att göra med att Cell passar utmärkt för att beräkna men måste väl finnas bättre implementationer än en spelkonsol? Skulle tro att 200 GPGPU kompatibla grafikkort skulle utprestera med.

Intressant nyhet iallafall, då vet man att HTTPS inte är säkert heller.

HTTPS med SHA-1 är fortfarande säkert, MD5 har varit knäckt i flera år så att vissa fortfarande körde med MD5 är ganska idiotiskt.

Så egentligen är det inget problem, för att inga sidor använder MD5 för HTTPS?

Haha, ja, så måste de ha varit.

*Adda Nasa1337@hotmail.com

*skicka keylogger

*be dem dubbelklicka på den.

*Done, Du har nu tillgång till allt

Rätt så säkert är det ändå, vem köper 200st PS3 för att hacka in på en bank, kostnaden är enorm med tanke på att det kanske inte lyckas.

Sen lär man ju se vem som köpt 200st PS3, när farbror Blå knackar på dörren så har man nog svårt att komma på en tro värdig förklaring till varför man har så många hemma

Skämt å sido, jag vet att nyheten handlar om att dyngan MD5 inte är säker som vissa inbildar sig.

Jag tänker = Kan man bygga något så kan alltid någon riva det, inget är för evigt.

200 stycken PS3 är en inte så mycket tycker jag, även om detta tar mer än 400
PC Zombies att köra så finns det en massa zombies..

Bankerna ska nog vara väldigt glada att det inte räcker med 200 PS3.

Går inte säkerheten höjas i HTTPS?

Jo, fast sådana kommer ju inte förrän tidigast Q3 2009...

Varför skulle inte SHA1 gå lika bra att "knäcka"? Det här har väl bara handlat om att hasha ner ett certifikat tills man hittat ett som får samma md5? Ungefär som Rainbow tables. Eller är jag fel ute då?

Om inte annat så borde det ju iofs fungerar precis lika bra med sha1?

Math is the shit!

Visst går detta att göra med SHA1, skillnaden är ju som sagt att MD5 knäckts och därmed inte anses vara säkert.

Hela poängen med dagens krypton är inte att det ska vara omöjligt att knäcka något utan bara att det ska vara så ruskigt jobbigt att det ska ta miljontals år för att man ska ha någon statisktisk möjlighet att komma någon vart.
Och det är ju jusst det som misslyckats med MD5. Det är gammal skåpmat sedan flera år att MD5 inte håller måttet och att man kan knäcka det på betydligt kortare tid. Detta är förstås svårt att veta i förväg men i dagsläget är det verkligen ingen nyhet och det var år sedan som man avråddes att använda MD5 för sådana här saker.

Det kanske viktigaste stycket från källsidan:

Det illa i detta är alltså att vissa Certification Authorities använder sig av MD5. Och det är ett sådant certifikat som dom har lyckats knäcka. Detta handlar alltså inte om att knäcka en enskild banks certifikat utan att man tagit fram ett eget root-certifikat.

Detta innebär att de själva kan certifiera vilken hemsida de vill och eftersom alla webbläsare har original-certifikatet inlagt så kommer ingen webbläsare att märka att detta certifikat är "ogiltigt" (det går inte att upptäcka eftersom det rent matematiskt är giltigt).

Bara för att ex. handelsbanken är signerad i en kedja som aldrig använder sig av MD5 så spelar det ingen roll, de skapar bara ett nytt certifikat med MD5 som fortfarande kommer vara godkänt. Man kommer kunna se skillnad i certifieringskedjan men hur många går in och kollar på den...

Med hjälp av certifikat så försöker man undvika att någon ska kunna avlyssna eller påverka informationen (genom en så kallad man in the middle attack) och detta går helt åt skogen om någon kan skapa egna certifikat. Särskilt svårt bör det inte vara att vara 'man in the middle' på ett bibliotek eller internetkafé och ändra lite i de bankärenden som folk utför...
Ok, jag är inte särskilt insatt i hur de olika banklösningarna ser ut, men paypal och andra liknande är nog inget problem.

Tycker jag inte.
Nu kommer jag inte på exemplet ordagrannt, men ett vanligt exempel är att en person är riktigt motiverad att knäcka ett system. Och i detta så finns det kalkyler för hur mycket resurser och tid en sådan person kan tänkas lägga på det hela och då tycker hag inte detta inte alltför långsökt resursmässigt.
Och så enkelt får det aldrig någonsin vara... Att MD5 fortfarande används för detta är katastrof och kudos till dom som gjorde denna rapport för nu kommer det uppmärksammas (ännu mer).

Och betänk då att detta är en barnlek för större botnät och för de som har mycket pengar (rent beräkningsmässigt).

Vem har sagt att man ska köpa 200 ps3. man stjäla 200 stycken istället när man ändå ska begå brott.

Värt att notera är att det inte direkt krävdes 200 PS3s...

Japp. Fråga Pelle på jobbet vilket lösenord han har. Förmodligen delar han med sig om du har en tillräckligt vettig anledning varför du skulle behöva hans lösenord (t.ex. "jag behöver en fil från din dator").

Det var inte direkt genom 200 PS3or som man gjorde dataintrången hos sossarna i valrörelsen heller.

När jag läste kursen i datasäkerhet på universitetet så skulle vi knäcka en server på tre olika sätt i en labb. Ett sätt jag gjorde var att helt enkelt fråga läraren om den info jag behövde från servern, vilket förstås blev godkänt.