Onderzoekers van het Nederlandse onderzoekscentrum CWI en beveiligingsexperts van Google hebben samen de SHA-1 veiligheidsstandaard gehackt. Deze industriële standaard wordt gebruikt voor digitale handtekeningen, die creditcard-transacties, online bankieren en de distributie van software beveiligen. Browsers moeten vanaf 1 januari 2017 de SHA-1 handtekeningen als onveilig markeren, ten gunste van de veilige opvolger SHA-2. Cryptoanalist Marc Stevens van het CWI stelt dat de it-industrie zo snel mogelijk de nieuwe standaard, SHA-2 of SHA-3, moet implementeren.
Het project startte zo’n twee jaar geleden onder leiding van Stevens van het CWI en Elie Bursztein van Google. Ze combineerden het cryptoanalytische onderzoek van Stevens met de infrastructuur van Google. Door middel van een zogenaamde ‘collission-aanval’ hebben ze de code gekraakt. Deze aanval, bestaande uit verschillende berichten met dezelfde digitale vingerafdruk, kan leiden tot vervalsing van digitale handtekeningen.
SHA-vingerafdrukken
Met de methode slaagden ze erin identieke SHA-vingerafdrukken te maken op basis van twee verschillende pdf-documenten, iets wat niet mag gebeuren bij de zogenaamde hashingalgoritmes die ingezet worden voor beveiliging. Die beveiliging berust er juist op dat bepaalde invoer tot een enkele specifieke uitvoer, de hash, leidt. Die koppeling wordt gebruikt om bijvoorbeeld te verifiëren dat een contract ook echt het authentieke document is zoals partijen dat hebben afgesloten. Door de aanval van Stevens vervalt de garantie die de SHA1-hash moet bieden; de hash kan nu ook de uitvoer zijn van een ander contract met bijvoorbeeld andere bedragen.
PDF-generator
Stevens brengt over negentig dagen een pdf-generator uit die gebruikmaakt van zijn collisionaanval om iedereen de mogelijkheid te geven nep-pdf’s met identieke hashes te maken. Dit doet hij om partijen de mogelijkheid te geven SHA-1 in de komende tijd uit te faseren. De werking van die tool is gebaseerd op Stevens’ eerdere onderzoek naar de detectie van bestanden die met een collisionaanval gegenereerd zijn. Google integreert die tool in Gmail en Drive ter bescherming tegen misbruik.
Om misbruik tegen te gaan, biedt het onderzoeksteam een gratis online tool aan. Hiermee kunnen gebruikers verdachte documenten scannen.
Het Centrum Wiskunde & Informatica (CWI) is sinds 1946 het nationale onderzoeksinstituut voor wiskunde en informatica. Het is gevestigd op het Amsterdam Science Park en is deel van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO).
SHA-beveiligingsprotocollen
De geslaagde aanval komt op een moment dat de markt nog in de transitie van SHA-1 naar SHA-2 en SHA-3 zit. SHA-1 stamt uit 1995 en is een 160bit-hashfunctie. De onveiligheid zit niet zozeer in zwakheden in de versleutelingstechniek zelf, maar in de lengte van de gebruikte sleutels en de capaciteit van moderne systemen om de diverse combinaties snel door te rekenen.
Het probleem is dat SHA-1 nog altijd veel gebruikt wordt voor het ondertekenen van software en voor de verificatie van de ssl/tls-beveiliging van onder andere online transacties en inlogverbindingen. Wel zijn browsers als Chrome, Edge en Firefox er inmiddels toe overgegaan waarschuwingen te tonen bij het openen van https-verbindingen die beveiligd zijn met een SHA-1-certificaat. Het CA-browserforum heeft bepaald dat in 2017 geen nieuwe SHA-1-certificaten meer uitgegeven mogen worden.
Onderdeel van de SHA-2-familie zijn onder andere SHA-256 en SHA-512. SSHA-2 en SHA-3 bevatten significante verbeteringen waardoor die standaarden nog aanzienlijke tijd meekunnen. De overgang van het zwakke SHA-1 naar het krachtigere – en dus veiligere – SHA-2 heeft nogal wat voeten in de aarde. In tegenstelling tot encryptietechnologie die niet centraal wordt geregeld, zoals de lokaal in te stellen Wi-Fi-versleuteling van WEP en WPA1, zit er een heel ecosysteem ‘achter’ de SHA-certificering.
Alweer? SHA-1 is al veel eerder gekraakt door Chinese wiskundigen onder leiding van Xiaoyun Wang, die er in 2005 een paper over publliceerde: http://people.csail.mit.edu/yiqun/sha-crypto2005-talk-distribution.pdf
Zij sprak hierover op Eurocrypt (http://www.brics.dk/eurocrypt05/acceptedpapers.html) en zou hierover ook in de USA spreken, maar haar werd een inreisvisum voor de USA geweigerd. (…)
Eind 2006 is door de nederlander Benne de Weger gedemonstreerd, dat hiermee een PDF document viel te genereren met een vervalste digitale handtekening: http://www.win.tue.nl/~bdeweger/CollidingCertificates/index.html
Kortom: ik zie eigenlijk niks nieuws