一个来自美国和欧洲的联合研究团队在柏林25C3安全大会上公布论文称,他们利用由200台索尼PlayStation 3组成的超级计算网络已经可以成功**用于安全网页数字签名的加密算法MD5,并成功伪造安全网页数字证书,由此完全可以伪造安全网页。 此前,研究称MD5加密算法至少需要30年时间才能**一台桌面PC。
通常情况下,在使用浏览器浏览网页时,如果看到页面左下角出现"安全锁",用户就认为该网页是安全网页。当该加密算法被**之后,所谓的安全网页可能不再安全。
4年前,中国研究人员就曾指出加密算法MD5存在安全漏洞,但根据当时的计算能力,一台桌面PC至少需要30年的时间才能完成**。但周二公布的研究报告显示,使用索尼PlayStation 3组成的计算网络只要3天就可以完成**。
虽然MD5加密算法有些过时,但目前仍有部分网站使用MD5加密算法进行数字签名,而且这种签名的验证可以所有浏览器上通过。利用MD5的安全漏洞,就可以建立浏览器无法发现的钓鱼网站,因为浏览器会认为通过MD5验证的网页是安全的。
因此,一些安全研究人员认为,该研究成果的影响非常深远,将对各种浏览器甚至电子邮件、聊天服务器、在线协作等产生影响。
安全专家表示,已经将该情况通报给包括Mozilla和微软在内的主要浏览器厂商。
上网的人,或其它场合,不使用数码产品的已快绝迹了。但我们身边的数码产品安全吗?然而大多数人根本就没有意识到这个问题,而是盲目相信所谓专家之言,实际上,危险随时都可能爆发。 |