’Digi-vingerafdruk is te kraken’

Elektronische vingerafdrukken beschermen zaken als e-mailverkeer en internetbankieren. Maar drie Nederlandse wetenschappers waarschuwen de wereld: die beveiliging is steeds makkelijker te kraken. Hoe kunnen zij bijvoorbeeld nu al voorspellen wie de volgende Amerikaanse president is?

Een fout is uitgesloten, zeggen drie Nederlandse wiskundigen. Wat er ook gebeurt in het komende jaar tijdens debatten, voorverkiezingen of gewoon in het land of in de wereld, onze Sony PlayStation 3 kent de uitslag al van de Amerikaanse presidentsverkiezingen.

Dat lijkt slecht nieuws voor het legertje analisten dat zich het komende jaar bezig dacht te houden met het volgen en analyseren van de race naar het Witte Huis. Maar die worden natuurlijk niet echt werkloos, ook wiskundigen kunnen de toekomst niet voorspellen. Het is wel echt slecht nieuws voor wie zich bezighoudt met het beveiligen van websites, elektronische post en vertrouwelijke databestanden. De Playstation heeft namelijk een allerminst speels gat geslagen in een van de beveiligingsmethoden die daarbij worden gebruikt.

De drie onderzoekers tonen dat aan op de site www.win.tue.nl/hashclash/Nostradamus, deel van de website van de TU Eindhoven waar een van de drie, dr. Benne de Weger, universitair docent is. De andere twee zijn Marc Stevens van het Centrum voor Wiskunde en Informatica in Amsterdam en Arjen Lenstra van de Federale Polytechnische School in Lausanne, Zwitserland en het Bell Laboratorium van het telecommunicatiebedrijf Alcatel-Lucent.

Op die Nostradamus-pagina krijgt de bezoeker te horen dat de naam van de volgende president van de VS al bekend is. De naam staat in een PDF-bestand, een netjes opgemaakt tekstdocument. Maar publicatie van deze keiharde voorspelling zou natuurlijk de loop van de gebeurtenissen kunnen beïnvloeden, dus we krijgen dat pas na de verkiezingen te zien.

Om te bewijzen dat de voorspelling echt nu al is gedaan en het PDF-bestand niet achteraf nog even in elkaar wordt geflanst, staat op de site een ’elektronische vingerafdruk’ (een ’hash’, in vakjargon) van het bestand. Dat is een reeks cijfers en letters, gedestilleerd uit het document met een speciaal computerprogramma. Na de verkiezingen zal iedereen het document aan datzelfde programma voeren en vaststellen dat de vingerafdruk hetzelfde is. En dat zo’n PlayStation dus verrassend veel kijk heeft op politiek.

Sommige collega’s hebben de pagina afgedaan als een frivole goochelvoorstelling. Maar dan toch wel een met een serieuze boodschap, zegt het Nederlandse trio: sommige van de standaardmethoden om elektronische vingerafdrukken te maken, met name een methode die ’MD5’ heet, zijn door het voortschrijdende onderzoek op dit terrein onacceptabel zwak geworden. En toch worden ze nog veel gebruikt bij het beveiligen van informatie. Elektronische vingerafdrukken spelen bijvoorbeeld een rol in het verkeer tussen de klant van een bank en de beveiligde website waarop je overschrijvingen aanmaakt. Ze zijn onmisbaar bij het zetten van elektronische handtekeningen waarmee een e-mail of tekstdocument van een zegel van echtheid wordt voorzien. Zonder al deze beveiligingstechnieken was het internet nog veel onveiliger dan het nu al vaak is, en zouden veel zakelijke transacties weer op papier moeten plaatsvinden.

Hoe bewijst de voorspelling van de presidentsverkiezingen dat die beveiliging lek is? De redenering achter de Nostradamus-website is: als straks de winnaar van de verkiezingen bekend is, is het onmogelijk dat de makers van de site even snel een document kunnen maken waar de naam van de winnaar in staat, en dat bovendien keurig netjes de vooraf gepubliceerde vingerafdruk heeft. Het recept ’MD5’ waarmee je een vingerafdruk maakt van een document, garandeert dat je dat proces alleen met enorme computers en heel veel tijd kunt omkeren (zie kader).

Alleen: dat omkeren is dus niet wat ze in dit geval deden, bekennen de onderzoekers uiteindelijk, als je verder leest op de website. Als echte goochelaars met een pak valse kaarten hebben ze niet één, maar wel twaalf PDF’s met presidentiële voorspellingen gemaakt, met de namen van kandidaten die veel kans lijken te maken. Die twaalf hebben allemaal dezelfde vingerafdruk. Als volgend jaar november de verkiezingen hun winnaar hebben opgeleverd, halen ze snel de goede PDF tevoorschijn.

Een goocheltruc dus, maar bepaald geen flauwe. Twaalf verschillende PDF’s maken met allemaal dezelfde elektronische vingerafdruk, dat is onmogelijk. Zelfs al hoeft niet van tevoren vast te staan wat die vingerafdruk is, dan nog zou het de krachtigste computer jaren en jaren moeten kosten. Maar die tijd is, tenminste voor het hash-recept dat MD5 heet, voorbij.

Als twee documenten dezelfde hash hebben, heet dat een ’botsing’. In 2004 ontdekte een Chinese onderzoekster, Xiaoyun Wang, echter een manier voor het recept ’MD5’ om gericht naar zo’n botsing toe te werken. Vanaf dat moment was de vakwereld gewaarschuwd.

De botsende documenten die je met de methode van Wang kreeg, waren nog lukrake rijen met letters en cijfers. Wil je de buitenwereld bedotten met twee of meer botsende PDF’s, dan moet je er betekenisvolle documenten van maken. Dat is wat De Weger en consorten is gelukt. Door scherp te kijken naar hoe het MD5-recept werkt, bedachten ze hoe je stap voor stap twee botsende documenten kunt veranderen, waarbij de vingerafdrukken veranderen, maar aan elkaar gelijk blijven. Zo ontstonden de twaalf presidentiële voorspellingen.

Vaklui die werken met dit soort elektronisch gereedschap, zegt Benne de Weger, kunnen daar een belangrijke les uit leren. Terwijl je denkt dat je beschermd bent door het blijvend sterke punt van MD5, namelijk dat het moeilijk is om bij een gegeven hash een document te maken, word je in werkelijkheid gefopt door een aspect van MD5 dat nu echt zeer zwak is geworden, namelijk het gemak waarmee je twee ’botsende documenten’, met welke vingerafdruk dan ook, kunt vinden. Het enige wat de bedrieger hoeft te doen is, verzwijgen dat hij meer dan één document heeft.

Die grote verzwakking van MD5 heeft nog geen gevolgen voor de andere veelgebruikte hash-recepten: SHA1 en SHA2. Maar een ’botsingsaanval op SHA1 lijkt volgens De Weger zeker mogelijk. Een groep aan de universiteit van Graz in Oostenrijk is al een heel eind op weg.

Rond de recepten MD5 en SHA1 hangt daarom wat hem betreft ’een smerige lucht’. Alleen het modernste recept, SHA2, kan nog volledig vertrouwd worden. Dat de wereld van de elektronische versleuteling en verificatie daarmee dan wel toe is aan zijn laatste betrouwbare recept is behoorlijk eng, beaamt hij.

Maar er wordt aan een nieuw recept gewerkt, in wedstrijdvorm. De Amerikaanse organisatie voor standaarden, NIST, heeft een competitie uitgeschreven voor een nieuw en beter hash-recept, SHA3.

Dat juicht De Weger van harte toe. „De wet van Moore, die zegt dat de kracht van computers elke anderhalf jaar verdubbelt, lijkt nog steeds op te gaan. We kunnen nu dingen die we vier jaar geleden niet voor mogelijk hadden gehouden. Als iemand opeens een manier vindt om SHA2 te breken, is dat een ramp. Dus een alternatief zou nu wel heel welkom zijn.”