Tim inženjera i sigurnosnih stručnjaka je objavio otkriće i potvrdu u praksi velikog sigurnosnog problema u samoj jezgri PK infrastrukture. Uz pomoć 200 playstation računala uspješno su kreirali lažni CA (Certification Authority) certifikat kojim su usjpešno prevarili sve uobičajene web preglednike uključujući Firefox i Internet explorer.
Napad iskorištava sigurnosnu ranjivost MD5 algoritma, koja omogućava kreiranje različitih poruka s istim MD5 hash-om. Iako je ranjivost u teoriji poznata već više godina, ovo je prvi put da ju je dokazano moguće iskoristiti za realni napad.
Iako je, već danas, većina certifikata potpisana teoretski sigurnijim SHA-1 algoritmom, kao rezultat ovog eksperimenta očekuje se prelazak svih preostalih CA servisa na korištenje SHA-1, te blokiranje lažnog proizvedenog CA u Firefoxu i Internet exploreru.
Kompletan izvještaj o napadu je objavljen na
Phreedom.org, osim dijela koji pokriva sofisticirani algoritam za računanje MD5 kolizije, uz napomenu, da je to isključeno zbog zaštite internetske javnosti od ovog, zaista opasnog, tipa napada.
