Daniel Bleichenbacher, een onderzoeker bij het Amerikaanse Bell Labs, heeft een beveiligingsgat ontdekt in het SSL-protocol. Deze codeermethode is een van de populairste beveiligingen voor elektronische handel op het web. De grote softwareleveranciers werken al aan oplossingen voor het lek.
Het probleem betreft de PKCS#1-standaard die de RSA-encryptie van het SSL-protocol gebruikt. Bleichenbacher ontdekte dat een boodschap die met PKCS#1 is beveiligd, kan worden ontcijferd door een groot aantal speciaal geconstrueerde boodschappen naar de doelserver te sturen. Deze machine weigert de berichten te accepteren en stuurt die terug. Na analyse van de afgewezen boodschappen kon de onderzoeker de SSL-sessie decoderen.
Volgens de ontdekker zijn er bijna een miljoen van dergelijke berichten nodig om SSL te kunnen kraken. Dit betekent dat een systeembeheerder kan zien dat zo’n aanval plaatsvindt. Het gat in SSL bedreigt ondermeer de serversoftware van Netscape, zoals de Enterprise, Proxy, Messaging, Collabra en Directory-servers. Netscape heeft al een lapmiddel uitgebracht, verklaart Brian Byun, manager beveiligingsproducten bij de firma. Hij noemt het probleem een ’theoretische kwestie’, maar benadrukt dat Netscape het wel serieus behandelt. Er zijn overigens nog geen rapporten opgedoken dat krakers al gebruik hebben gemaakt van het SSL-lek.
