Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

Nederlander kraakt veelgebruikte digitale beveiliging

Home

Charlot Verlouw

Foto: Flickr © Flickr

De Nederlandse onderzoeker Marc Stevens heeft samen met Google een veelgebruikt algoritme voor online beveiliging gekraakt. Het was al sinds 2005 duidelijk dat het algoritme SHA-1 onveilig was, maar het was nog nooit met een praktisch voorbeeld aangetoond. 

SHA-1 wordt gebruikt om communicatie digitaal te ondertekenen, zoals formulieren waar een digitale handtekening onder moet, of waar creditcardgegevens in staan. 

Lees verder na de advertentie

Door de beveiliging te doorbreken, kan eenzelfde handtekening onder twee verschillende documenten terechtkomen. Internetters hoeven zich echter geen zorgen te maken over gegevens die ze de afgelopen jaren online hebben ingevoerd. Hoewel al veel eerder bekend was dat het certificaat onveilig was, is Stevens de eerste die erin geslaagd is de code ook echt te kraken.

Stevens, werkzaam voor het Centrum Wiskunde en Informatica (CWI), doet al sinds 2005 onderzoek naar het SHA-1, en is samen met Google twee jaar bezig geweest met de aanval. De computers van Google moesten 9,2 triljoen berekeningen uitvoeren. “Dit is het eerste tastbare voorbeeld dat SHA-1 onveilig is.” 

Dit is het eerste tastbare voorbeeld dat SHA-1 onveilig is

Marc Stevens

Desondanks wordt het certificaat nog veel gebruikt, weet hij. “Eigenlijk is dat gek, er moet gewoon van afgestapt worden”, zegt Stevens. “Door het gebrek aan een praktisch voorbeeld van de onveiligheid werd het risico laag ingeschat, maar dat voorbeeld is er nu. Hopelijk wordt de code nu snel uitgefaseerd.”

Veilige alternatieven

Er zijn gelukkig genoeg alternatieven voor SHA-1, waarbij geen vermoeden is van onveiligheid. Het is makkelijk om naar het veilige alternatief over te stappen, al kunnen er wel compatibiliteitsproblemen optreden, of het kan voor grote systemen veel tijd kosten. “Hopelijk toont de aanval die wij hebben gedaan nu duidelijk aan dat SHA-1 echt onveilig is, en dat we hem niet meer moeten gebruiken”, zegt Stevens.

Internetbrowsers als Google Chrome en Mozilla Firefox waren al eerder op hun hoede, en bouwden een waarschuwing in: zodra de internetter langs een SHA-1 algoritme komt, plopt er een waarschuwing het scherm in.

Deel dit artikel

Dit is het eerste tastbare voorbeeld dat SHA-1 onveilig is

Marc Stevens