Aby tego dokonać zespół wykorzystał błąd w certyfikatach cyfrowych używanych przez witryny WWW do potwierdzania ich "tożsamości". Wykorzystując znane luki w algorytmie funkcji skrótu MD5, używanym do tworzenia niektórych z tych certyfikatów, naukowcy zdołali stworzyć fałszywy ośrodek certyfikacji, wydający sfałszowane certyfikaty cyfrowe dla dowolnej witryny w internecie.

Skróty są używane do tworzenia "odcisku palca" dokumentu - liczby, która jednoznacznie identyfikuje dany dokument i jest łatwa do wyliczenia w celu sprawdzenia czy dokument nie został zmieniony podczas transportu. Jednak algorytm MD5 zawiera luki umożliwiające utworzenie dwóch różnych dokumentów z taka samą wartością skrótu. To pozwala na utworzenie certyfikatu np. dla witryny phishingu mającego ten sam "odcisk palca" jak certyfikat prawdziwej witryny.

Wyprowadzenie takiego ataku nie jest proste, ponieważ napastnik musi przekonać ofiarę do odwiedzenia złośliwej witryny WWW, która przechowuje sfałszowane certyfikaty cyfrowe. Można to jednak wykonać z pomocą techniki "man-in-the-middle". W sierpniu br. Dan Kaminsky pokazał jak można wykorzystać poważna lukę w internetowym DNS do wyprowadzenia tego rodzaju ataku.

Niezależni naukowcy Jacob Appelbaum i Alexander Sotirov oraz naukowcy z różnych ośrodków uczelnianych w Europie i Stanach Zjednoczonych, zbudowali fałszywy urząd certyfikacji, używając farmy maszyn Playstation 3, który mógł wydawać fałszywe certyfikaty, wiarygodne dla praktycznie każdej przeglądarki. Procesor Cell konsoli Playstation jest szczególnie dobry w wykonywaniu funkcji kryptograficznych i podobno często jest wykorzystywany do łamania haseł.

Wyniki tych prac mają być zaprezentowane podczas konferencji hakerów Chaos Communications Congres, który wystartowała wczoraj w Berlinie.

Chociaż naukowcy twierdzą, iż w świecie realnym atak wykorzystujący tę technikę jest mało prawdopodobny, to jednocześnie chcą zwrócić uwagę na to, że do generowania skrótu przez ośrodki wydające certyfikaty nie powinien być dłużej używany algorytm MD5. I tak np. ośrodek certyfikacji Verisign, RapidSSL.com, zamierza zaniechać wydawania certyfikatów MD5 z końcem stycznia 2009 r.