Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over het aanhoudende gebruik van oude, steeds makkelijker kraakbare encryptie.
De ict-wereld weet ondanks constante vooruitgang en nieuwe ontwikkelingen toch niet goed te ontkomen aan het verleden. Nu staat oud zeker niet gelijk aan slecht, maar in bepaalde gevallen wel aan onveilig. Het oude SHA-1-protocol is daar een goed voorbeeld van. Deze hashfunctie voor het encrypten van data en netwerkverkeer is in 1995 gepubliceerd en sindsdien zijn er diverse zwakheden in ontdekt.
Ondanks het bestaan van veiligere opvolgers, samengevoegd onder de naam SHA-2, en plannen om die tegen 2016 verplicht te stellen, houdt SHA-1 aan. Met ‘dank’ aan bijvoorbeeld Windows XP en oude Android-versies. Misschien moet ict toch eens breken met het onveilige deel van het verleden. Wat vind jij?
De enige reden waarom servers nog oude encryptiestandaarden ondersteunen is omdat de beheerders ervan onwetend of lui zijn. Er is werkelijk geen enkele reden te verzinnen om geen A+ score te krijgen op ssllabs.com.
Hugo,
Wat dacht je van legacy apparatuur en software ?
Het zijn niet enkel servers waar encryptie toegepast wordt.
Binnen die contekst heb je natuurlijk wel een punt.
Uit de stelling van Jasper blijkt ook wel dat er vaak commerciele belangen mee gemoeid zijn.
Om die zelfde reden was windows altijd backwards compatibel met MSDOS en 16bit software, en om die zelfde reden zijn we nog steeds niet massaal over naar IPv6
Er schijnen her en der zelfs nog IE6 browsers te draaien wegens specifieke webapplicaties die erop gebasseerd zijn.
@Hugo
Yeah right!
Over het algemeen is het de business die veranderingen tegen houdt, ben de tel kwijt geraakt van het aantal wijzigingen welke terug gedraaid moesten worden omdat functionaliteit verloren ging. De commerciële belangen zitten dan ook niet alleen aan de kant van de leveranciers want kosten van verandering zijn soms gewoon te hoog. Mooi voorbeeld daarvan is rechtszaak die notarissen aanspanden toen de stekker uit DigiNotar ging:
http://webwereld.nl/beveiliging/54977-notarissen-vochten-diginotar-besluit-aan-bij-rechter
En als het dan misgaat geef je gewoon anderen de schuld…….
Oud en vertrouwd, toch? Geen virus die mijn AppleII kan slopen.
@Hugo: oude encryptie ondersteunen -kan- toch echt nodig zijn om oude(re) apparaten te laten connecten die geen nieuwe(re) encryptie ondersteunen.
Je denkt teveel in één bepaalde context. Dat is een garantie om andere situaties fout te laten lopen…
Als je je alleen richt op de techniek en beveiliging, haken consumenten en bedrijven (helaas) snel af. Een product dient bruikbaar te zijn en het liefst zo simpel mogelijk. En zoals Pascal aangeeft accepteren we het niet als een ouder product niet meer functioneert. Daar zit de onbalans in dit dilemma. De POODLE-kwetsbaarheid is zo’n goed voorbeeld; web browsers schakelen over op een minder veilig protocol als de client het veiligere alternatief niet aankan. Volgens de berichten nota bene door de Amerikaanse veiligheidsinstantie opgelegd.
Het (technische) onderwerp vereist veel kennis die door een zeer kleine groep wordt beheerst. Om telkens adequaat met beveiliging om te gaan, wordt zo erg lastig gemaakt. En zolang er andere belangen mee gemoeid zijn, zal de techniek altijd achter lopen. Helaas.
Security, waaronder ook encryptie valt is gelukkig wel steeds meer onder de aandacht gekomen maar vormt nog vaak een sluitpost in projecten. Het zou juist boven aan de lijst moeten staan. Zeker bij systemen waarbij privacy van gebruikers geschaad kan worden zou erg dwingende wetgeving moeten komen, waarbij ICT leveranciers aansprakelijk moeten worden gesteld. Een soort Sox voor de ICT en softwarefabrikanten