DigiCert QuoVadis

News/Events

QuoVadis SSL Zertifikate halten neuesten Angriffen stand
5 Jan 2009

Vor einigen Tagen hatten Wissenschaftler am „Chaos Communication Congress“ einen Angriff durchgeführt, welcher durch die Kombination von erheblicher Rechenkraft und der Nutzung einer Sicherheitslücke im Verschlüsselungsalgorithmus (MD5) die Erstellung von gefälschten SSL Zertifikaten ermöglichte. Von diesem Angriff betroffen waren SSL Zertifikate führender Anbieter.

QuoVadis SSL Zertifikaten konnten diese Angriffe nichts anhaben. QuoVadis nutzt die Kombination von SHA und RSA Verschlüsselungsverfahren. Studien zwischen 2004 und 2007 haben die Schwachstellen des MD5 Verschlüsselungsalgorithmus bereits erkannt. Viele Zertifikatsdienstleister haben damals schon die Nutzung von MD5 eingestellt, manche nutzen diesen Verschlüsselungsalgorithmus noch heute.

Mehr Informationen über die MD5 Kollisionsattacke:
Artikel von Heise (Deutsch)
Beschreibung von den Wissenschaftlern (Englisch)
Microsofts Sicherheitsempfehlung (Englisch)
Artikel über das Thema in Microsofts Security Blog (Englisch) 

Übersetzter Auszug aus dem Artikel von US-CERT, den Informatikspezialisten des Amerikanischen Departements für Heimatschutz: Benutzen sie den MD5 Algorithmus nicht. Softwareentwickler, Zertifikatsdienstleister und Webseitenbetreiber sollten vermeiden, den MD5 Algorithmus für jegliche Funktion zu einzusetzen. Prüfen Sie SSL Zertifikate die von Zertifikaten mit MD5 Algorithmus signiert wurden genau: Benutzer möchten möglicherwiese SSL Zertifikate manuell prüfen (…) Zertifikate, die als md5RSA oder ähnlich beschrieben sind, sind betroffen.