Oracle bloqueará todos los JAR firmados con MD5 a partir de abril

Oracle bloqueará todos los JAR firmados con MD5 a partir de abril

La verdad es que son muchas las ocasiones en las que hemos hablado de Oracle. La mayoría han sido para informar sobre problemas o decisiones muy discutidas. En esta ocasión la noticia está relacionada con una mejora de seguridad que afecta directamente a los JAR. Más que una mejora de seguridad, podría decirse que es una restricción, ya que la empresa bloqueará aquellos que estén firmados haciendo uso de MD5.

Para ser más exactos, será a partir del próximo 18 de abril cuando la empresa comenzará a bloquear todos los que estén firmados haciendo uso de este algoritmo. La empresa ya ha comenzado a advertir sobre este aspecto en la página web. Cuando procedemos a la descarga de una de las versiones para desarrolladores, se puede leer un mensaje en el que se indica esto que hemos dicho.

Desde Oracle habían fijado esta decisión para esta misma semana. Sin embargo, dado que muchos desarrolladores no tenían tiempo material para realizar los cambios oportunos, los responsables han tomado la decisión de aplazar esta decisión para mediados del próximo mes de abril.

Oracle Java SE 8u131 será la primera versión que no dispondrá de este algoritmo.

MD5 comenzó a retirarse en 2006
Se considera como un algoritmo muy básico que permite el cifrado de ficheros y datos en las bases de datos. Sin embargo, se demostró que era inseguro, algo que no precipitó su retirada de los softwares. Sin ir más lejos, en los navegadores web la retirada se realizó de forma paulatina.

Al menos han sido dos los métodos utilizados para saltarse este cifrado o firma, obteniendo en ambos casos la misma palabra hash que permitía el acceso a los datos.

– Ver informacion original al respecto en Fuente:
todos-los-jar-firmados-md5-partir-abril/#sthash.puozxj4b.dpuf