特定のCAからのX509証明を使用したSSLベースのセキュリティは、たとえ「安全な」接続でも偽のX509証明のもと、なりすましサイトに、脆弱性がある。これは最近のベルリンでのChaos Conference(リンク)において、真の証明になりすますことで実証された。
「論理的に可能にすることは、ときとして変化に作用し、インターネットを保護することが出来る唯一の手段である」。これは2008年12月29日にベルリンで開催された第25回Chaos Communication Congressでの演説「MD5 Considered Harmful Today: Creating a rogue CA certificate」(リンク)の結論である。この講演では作成者は、これまで論理的なアタックをMD5署名(PDF)にどのように使用したのかについて、明らかにした。 最初は2004年に記述されSSLセキュアなWebサイトでの「アタック」を可能にする偽の証明を構成した。
そのアタックは、以下のように機能する。SSLサーバは、多くの「トラステッド署名権」または「CA's」の1つによって発行されるx.509証明を使用 して認証される。署名権は複数の暗号アルゴリズムの1つを使用して、証明に「署名」し、ハッシュを生成する。同一のハッシュ値を計算している、2つの異な るデータセットの可能性(衝突)が極めて小さくなるように、アルゴリズムは設計されている。
アタックをするためには、アタッカーがMD5アルゴリズムで証明に署名するCAから複数のSSL証明を購入する必要がある。こうした証明から導き出される情報を使用し、特別に計算されたデータのブロックを追加し、衝突を強要することで、購入した証明の1つから、有効な署名(別の内容)が付いた明らかに有効 であるが、偽の証明を構成することが可能である。MD5アルゴリズムが、署名が新たな内容と合致すると間違って証明する。実際には、合法的に署名された紙面に新たに内容を付け加えることで、手紙を偽造するようなものである。
偽の証明が作成されると、「man in the middle」アタックで使用可能である。証明を使用することでプロキシはSSL接続の両端に合法であるかのように設定される。この時アタッカーにより、すべての機密情報がとらえられ、格納される。
アタックは、コンピュータ的に集中しているが、最近の進歩やムーアの法則により、衝突した証明の計算が実行可能になった。この場合、Amazon EC2クラウドでは計算はおよそ$2000で可能だと思われる。もしくはPS3ゲームコンソール(参考記事)の集団を構築することによる「家庭用スーパーコンピュー タ」によって可能である。
このアタックは、すべてのインターネットやSSLセキュリティが危険にさらされていることを意味するわけではなく、ベンダーがMD5署名アルゴリズムを使わないようにすべきことを意味している。作成者は、MD5署名付きのアクティブな証明をまだ所有している多くの署名権を特定し、通知した。