Nederlander valt digitale beveiliging sha-1 aan
Auteur: Piipol
Geplaatst op: 24/02/17
Maar liefst 9,2 triljoen berekeningen zijn ervoor uitgevoerd. Met behulp van Google wist de Nederlandse onderzoeker Marc Stevens aan te tonen dat mailen en online betalen (binnenkort) aan grote beveiligingsrisico's blootgesteld staan.
Stevens onderzocht voor het CWI (Centrum voor Wiskunde en Informatica -Center for Mathematics and Computer Science- te Amsterdam) de veiligheid van het zogenaamde sha-1-algoritme, dat digitale diensten (voor de gebruiker onzichtbaar) versleuteld om misbruik tegen te gaan. Stevens kraakte de beveiliging en concludeert dat het algoritme liefst direct vervangen moet worden. Bedrijven moeten veel sneller dan gedacht op veiligere standaarden overstappen.
Kwetsbaar vanaf 2005
Dat sha-1 minder veilig is dan voorheen, was al jaren bekend. In 2011 werd de kwetsbaarheid van het certificaat al wereldkundig gemaakt. Vanaf 2005 kunnen aanvallen van buitenaf doel treffen. Het ging tot dusverre gelukkig alleen nog maar om theoretische of gedeeltelijke aanvallen op de beveiliging. Met het nieuwe resultaat van Stevens zijn aanvallen ook praktisch mogelijk.
Sha-2 en 3
Inmiddels zijn sha-2 en sha-3 al uitgebracht. Deze kunnen betere bescherming bieden tegen aanvallen van buitenaf. Ook is er een gratis programma beschikbaar waarmee gecontroleerd kan worden of bestanden op een computer of netwerk onveilige situaties kunnen veroorzaken als er met een sha-1-certificaat gewerkt wordt.
Webbrowsers zoals Google Chrome, Microsoft Edge en Mozilla Firefox laten tegenwoordig een waarschuwing zien als verbindingen zijn beveiligd met het sha-1-certificaat. Hoewel nu aangetoond is dat deze niet echt veilig meer zijn, zullen ze in de praktijk voorlopig juist veel meer beveiliging bieden dan wanneer verbindingen zonder sha-1 tot stand zijn gebracht.
Vanaf 2017 worden er geen nieuwe sha-1-certificaten meer uitgegeven.