Es ist geschafft! Hacker fälschten erstmals erfolgreich ein SSL-Zertifikat und die Browser Firefox und Internet-Explorer haben es nicht gemerkt. Eine Gruppe von amerikanischen und europäischen Hackern hat demonstriert, dass sie sich selbst als CA (Certificate Authority) ausgeben können. Die Hacker haben für diese Fälsche eine Lücke im Hashalgorithmus MD5 ausgenutzt. Die Schwäche ist schon lange bekannt und bildete jetzt die Grundlage für den extrem aufwendigen Versuch.
Die Hacker haben für die Errechnung des kollidierten Hashwertes einen Cluster aus 200 Playstation 3 Konsolen verwenden. Dazu eine durch die Hacker selbst weiterentwickelte Umsetzung des bekannten MD5-Kollisionsangriffes. Das ganze Spektakel der Berechnung dauerte nur zwei Tage und wenn man herkömmliche Desktop-CPUs benutzt hätte, bräuchte man wohl ca. 8000 Stück davon.
Kommt dieser Angriffscode in die Öffentlichkeit, sind Phishing-Attacken nicht mehr richtig identifizierbar und massenweise gefakte Websites würden im Netz nicht entdeckt werden können. Allerdings behalten die Hacker den Code bisher für sich, damit kein Super-GAU im Internet entsteht. Mit einer Demo-Website demonstrieren die Hacker die Funktionstüchtigkeit des eigenen CA-Zertifikates. Wer sich das mal ansehen will, schaut hier vorbei: Demo-Seite. Stellt jedoch die Zeit vom Rechner auf August 2004 zurück, da dies die Hacker extra so gemacht haben damit kein Missbrauch entstehen kann. Wer die Zeit umstellt, kommt zur Website und dem auf MD5 Collisions Inc. ausgestellten Zertifikat.
