El procolo SSL usado por los certificados digitales en todos los websites de comercio electrónico y banca electrónica como una forma segura no sólo de encriptar la información que se intercambia entre dos partes sobre Internet, sino que además nos permite validar la autenticidad de un servidor web ha sido roto haciendo uso de un cluster de 200 PlayStation3, por un grupo de investigadores liderados por Alexander Sotirov y Jacob Appelbaum, la técnica puede ser leída en detalle en un documento publicado por Sotirov aquí. Aunque Verisign la propietaria de la marca RapidSSL, cuya seguridad fuera rota y expuesta como evidencia en el 25vo Congreso del Chaos Computer Club (25C3), asegura que el problema ha sido resuelto, sin embargo la invulnerabilidad de la técnica de autoridad central para garantizar la autenticidad de un website ha quedado en duda.
El ataque ha sido posible debido a un error conocido del algoritmo md5 llamado collision construction md5, aunque esta vulnerabilidad era conocida desde el 2004, sin embargo no había sido posible sino hasta el día de ayer 30 de diciembre, que alguien había podido implementarla exitosamente. Lo que si ha quedado claro es que se necesita un tremendo poder de cálculo para poder implementar la técnica del collison construction. Las consolas de juego PlayStation 3, vienen equipadas con los procesadores Cell de IBM, que pueden ser capaces de ejecutar hasta 25.6 GFLOPS en teoría.
Una de las mayores limitaciones impuestas a los países considerados hostiles a los USA, es que no pueden adquirir supercomputadoras, la pregunta es que impide a un país como Iran, Korea del Norte o Cuba a comprarle a Japón 1000 o 2000 PlayStation 3 (en teoría son juguetes) y usarlas para desarrollar supercomputadoras para investigación atómica o sencillamente el romper los códigos que se utilizan para mover importante información financiera o militar.
Las implicancias para la seguridad del comercio electrónico son claras, pero las que pueden derivar en una amenaza para la seguridad misma del estado son aún mayores, ya que mientras a un delincuente sólo le interesa el robo del dinero, un enemigo podría crear el caos atacando el sistema bancario o la bolsa de valores de un país. Es decir que la antigua película "Juegos de Guerra", vuelve a tomar actualidad gracias a la demostración práctica de que a pesar de los billones de dólares gastados para hacer las redes más seguras, cualquiera con un presupuesto modesto puede armar tremendo alboroto.
Aquí la foto, tomada del blog de Amrit Williams del equipo que puedo romper el encriptamiento md5 usado en el protocolo SSL (Alex Sotriov, Jacob Appelbaum, Mark Stevens, Arjen Lenstra, David Molnar, Dag Arne Osvik y Benne De Weger):