Pas compression, hashage: md5 n'est pas réversible.
Si tu préfères. (Le terme compression ne signifie pas inversible.)
Le projet Rogue CA date de 2008 donc en 2006 il n'y avait que des doutes.
"
que des doutes", tu plaisantes j'espère!
Déjà en 1993 :
"Collisions for the compression function of MD5", 23 July 1993En 1996 "il n'y avait que des doutes", mais aussi et surtout de la prudence :
RSA's CryptoBytes - Summer 1996The Status of MD5 After a Recent AttackConclusions
The presented attack does not yet threaten practical applications of MD5, but it comes rather close. In view of the flexibility of the new analytic techniques it would be unwise to assume that the attack could not be improved.
(...)
Therefore we suggest that in the future MD5 should no longer be implemented in applications like signature schemes, where a collision-resistant hash function is required.
En 2005 des collisions "utiles" sont trouvées :
Colliding X.509 Certificates version 1.0, 1st March 2005We announce a method for the construction of pairs of valid X.509 certificates in which the “to
be signed” parts form a collision for the MD5 hash function. As a result the issuer signatures
in the certificates will be the same when the issuer uses MD5 as its hash function.
With this construction we show that MD5 collisions can be crafted easily in such a way that
the principles underlying the trust in Public Key Infrastructure are violated.
Colliding X.509 Certificates based on MD5-collisionsdonc
l'idée d'une signature basée sur MD5 était morte et enterrée.
En 2008 ça fait déjà 12 ans que l'usage de MD5 n'est pas recommandé, c'est mort-enterré-bouffé-par-les-vers, au point que la plupart des gens pensaient que ça n'existait plus, et
tout ce monde est tombé des nues en apprenant qu'un CA fournissait des certificats MD5. À cette époque quasiment personne ne pense que MD5 est encore en vie quelque part.
Tient, on disait quoi déjà sur md5 comme fonction de hashage utilisé pour l’intégrité d'une session tls ?
Oui?
Plus sérieusement, cela fait 3 ans qu'il aurait du révoquer ce certificat intermédiaire.
Au moins ne plus l'utiliser.
La racine CACert peut rester en md5 par contre, ce n'est pas important.
Bien sûr que c'est important!
Il faut interdire l'usage de MD5-RSA, point final.
Et ça fait plus de dix ans qu'on le sait.