Cryptanalist Marc Stevens van het Centrum Wiskunde & Informatica (CWI) in Amsterdam heeft forensische software ontwikkeld om systemen te beschermen tegen aanvallen zoals die van het recente Flame-virus: collision aanvallen. Daarnaast toonde hij met geavanceerde wiskundige technieken aan, dat niet alleen de veelgebruikte MD5-standaard maar ook SHA-1 op termijn niet meer veilig is voor digitale handtekeningen en internetbeveiliging.
Het onderzoek maakt deel uit van zijn promotieonderzoek op het CWI. Stevens promoveert op 19 juni 2012 aan het Mathematisch Instituut van de Universiteit Leiden op zijn proefschrift 'Attacks on Hash Functions and Applications'. Onlangs analyseerde hij ook het Flame-virus, dat technisch zeer hoogstaand bleek te zijn.
Tijdens zijn promotiewerk onderzocht Marc Stevens in het bijzonder de MD5 en SHA-1 hash functies, internationale standaarden die veel gebruikt worden voor digitale handtekeningen op certificaten, applicaties, e-mails en documenten. Hij construeerde efficiëntere en flexibelere aanvallen op MD5 door de introductie van zogenaamde 'chosen-prefix collisions'.
Ook zette Stevens met wiskundige theorieën een stap naar een praktische aanval op SHA-1. De methode die hij daarvoor ontwierp is preciezer, succesvoller en flexibeler dan eerdere aanpakken. Tot slot ontwierp Stevens een methode die kan detecteren of communicatie en bestanden met collision aanvallen geconstrueerd zijn, zodat de verbinding verbroken kan worden voordat er gevoelige informatie gelekt kan worden.
Https-kraak
In 2008 kreeg wiskundige Stevens wereldwijd bekendheid door met een internationaal team de https-internetbeveiliging te 'kraken'. 'Als niet wij maar kwaadwillenden dit hadden gedaan, dan zou bijvoorbeeld het digitale betalingsverkeer ongemerkt gehackt kunnen worden', zegt Stevens. De industrie reageerde dan ook snel: internationale Certification Authorities zagen binnen een paar dagen af van gebruik van MD5 voor internetbeveiliging. Nederland droeg zo belangrijk bij aan de internetveiligheid.
Met zijn https-kraak haalde Stevens internationale media zoals de New York Times. Zijn onderzoek leidde tot verschillende prijzen, zoals de prestigieuze Best Paper Award van Crypto 2009, een van de topconferenties op cryptografisch gebied. 'Toch zit MD5 nog steeds in allerlei toepassingen', zegt Stevens. 'Voor bedrijven is het vaak een afweging tussen de risico's en kosten om deze standaards te vervangen. Daarom heb ik ook software ontworpen die collision aanvallen zoals van het Flame-virus kan aantonen.'
Baan
Na zijn promotie wordt Marc Stevens post-doc onderzoeker aan het CWI. Het baanbrekende cryptografie-onderzoek wordt gedaan in CWI's Cryptology-groep, die onder leiding staat van prof.dr. Ronald Cramer. Deze groep onderzoekt fundamentele cryptografische vragen vanuit een breed wetenschappelijk perspectief, met name vanuit de wiskunde, computerwetenschap en natuurkunde. Het onderzoek werd gefinancierd met Ronald Cramers Vici-subsidie van de Nederlandse Organisatie voor Wetenschappelijk onderzoek (NWO).
Kaspersky Lab
Op 28 mei 2012 ontdekte Kaspersky Lab het uiterst kwaadaardige Flame-virus. De securityleverancier bracht de Command & Control (C&C)-infrastructuur in kaart. De malware wordt voor cyberspionage en het infecteren van computers gebruikt om zo data en gevoelige informatie te stelen.
“Ook zette Stevens met wiskundige theorieën een stap naar een praktische aanval op SHA-1. De methode die hij daarvoor ontwierp is preciezer, succesvoller en flexibeler dan eerdere aanpakken.”
Zo… Er waren dus al eerdere methodes om het aan te vallen?!
“De industrie reageerde dan ook snel: internationale Certification Authorities zagen binnen een paar dagen af van gebruik van MD5 voor internetbeveiliging.”
Gezien bovenstaande heeft men dus blijkbaar bij SHA-1 helemaal niet snel gereageerd. Het gaat hier tenslotte trouwens niet eens om de eerste aanval, maar een nieuwe. Hopelijk dat de industrie nu dan ook snel reageert en ook SHA-1 bij het oud vuil zet.
En overheden moeten MD5 in nieuwe software (daar waar er sprake is van opslag van persoonlijke gegevens) natuurlijk gewoon verbieden (als dat niet al zo is?).
“Als niet wij maar kwaadwillenden dit hadden gedaan, dan zou bijvoorbeeld het digitale betalingsverkeer ongemerkt gehackt kunnen worden”
Er is aangetoond dat SHA-1 ook gehackt kan worden. Wie zegt dan dat dat niet reeds her en der ongemerkt gehackt wordt?
@m
“een stap naar een praktische aanval” betekent dat de praktische aanval zelf er nog niet is. “Eerdere aanpakken” zijn dan ook eerdere aanpakken van (een) stap(pen) naar een praktische aanval. Ook die eerdere praktische aanval zelf was er dus nog niet.