Marc Stevens, Arjen K. Lenstra, y Benne de Weger han publicado un paper titulado "'Vulnerability of software integrity and code signing applications to chosen-prefix collisions for MD5" ("Vulnerabilidad de aplicaciones de firma de código e integridad de software para colisiones de prefijo predefinido para MD5").

(vía Slashdot)

En 2004 (publicado en 2005) el equipo de Xiaoyun Wang habría encontrado un procedimiento para detectar colisiones en MD5 definiendo al mismo tiempo una serie de condiciones que -de cumplirse- reducirían sustancialmente la complejidad del proceso y por tanto el tiempo requerido.

Ahora, publicada el 30 de Noviembre de 2007, aparece una aplicación de este procedimiento dirigida a conseguir dos ficheros diferentes tales que su hash MD5 fuese idéntico. En caso de usar firmas de documento basadas en MD5, esto permitiría a un atacante hacer creer a la víctima que está viendo uno de los ficheros cuando en realidad estaría viendo el otro.

Básicamente, esto significa que un atacante puede generar un sufijo a añadir a dos programas:

1. Un programa legítimo, que enviará para revisión y firma
2. Un programa ilegítimo, al que copiará la firma del primero

De esta forma, un atacante puede hacer creer al usuario que el software malicioso tiene el visto bueno de la autoridad certificadora, cuando en realidad dicha autoridad certificadora habría basado su decisión en un software completamente diferente.

Otra aplicación podría ser la falsificación de firmas en documentos guardados en formatos en los que el documento no varía al añadirle un segmento de datos, como serían documentos Word u otros documentos que pueden dar error al abrirlos, pero este error puede ser corregido de forma más o menos transparente al usuario.

En este caso, un atacante podría generar dos documentos:

1. Un documento con el que la víctima estaría de acuerdo
2. Un documento completamente diferente, beneficioso para el atacante

Si el atacante consiguiese convencer (engañar) a la víctima para que firmase el primer documento, más tarde podría copiar la firma del mismo al segundo documento y presentarlo como firmado por la víctima.

Todo esto hace que para beneficiarse del ataque el usuario necesite generar ambos documentos, legítimo e ilegítimo, antes de someter el legítimo a su revisión por la autoridad de certificación o la víctima, no resultando práctico por ahora el duplicar un hash MD5 determinado con posterioridad a la creación del mismo.

Esto es, el MD5 seguiría siendo fiable como medio para comprobar la no-modificación de ficheros propios de cuyo contenido estuviésemos seguros en un primer momento, pero dejaría de ser fiable como base para cualquier tipo de firmas o certificados.

Potenciales objetivos para el ataque:

• Transferencia de firmas entre programas
• Transferencia de firmas entre documentos en formatos sin comprobación estricta de integridad
• Microsoft Authenticode [2] (usando MD5 en certificados X.509)

El DNI Electrónico (eDNI) expedido en España, aunque se basa en certificados X.509, utiliza en su árbol de autoridad hashes SHA-1 como base para un cifrado RSA. Aún así, sería importante no utilizarlo para firmar hashes MD5 de programas ni documentos no confiables.