25th Chaos Communication Congress (25C3)でMD5アルゴリズムへの衝突攻撃により公開鍵証明書を偽造する・・という発表があったらしい．もともと，MD5はだいぶ前からコリジョンが発見され，理論的な脆弱性が明らかになっていた．しかし，今回は現実的な攻撃事例が発表されたということもあり，このことは非常に大きな意味を持つだろう．今回，発表された内容に関しては，以下が詳しい．

　MD5 considered harmful today: Creating a rogue CA certificate - セキュリティホールmemo
　MD5コリジョンでインチキ認証局は作れる（ネットにとっては悪い報せ）- TechCrunch Japan

　TechCrunch Japanの記事にもあるように，ユーザー側では本物か偽物かを判断するのは非常に難しい．実際のところ，MD5による署名はすべて無視するか，CA(Certificate Authority)を信じるしかない・・といった感じか．脆弱なCAが早々にSHA-1やより安全なSHA-2, SHA-3に乗り換えてくれるのを期待するしかない．