Nederlander kraakt veelgebruikte digitale beveiliging

Foto: FlickrBeeld Flickr

De Nederlandse onderzoeker Marc Stevens heeft samen met Google een veelgebruikt algoritme voor online beveiliging gekraakt. Het was al sinds 2005 duidelijk dat het algoritme SHA-1 onveilig was, maar het was nog nooit met een praktisch voorbeeld aangetoond. 

SHA-1 wordt gebruikt om communicatie digitaal te ondertekenen, zoals formulieren waar een digitale handtekening onder moet, of waar creditcardgegevens in staan. 

Door de beveiliging te doorbreken, kan eenzelfde handtekening onder twee verschillende documenten terechtkomen. Internetters hoeven zich echter geen zorgen te maken over gegevens die ze de afgelopen jaren online hebben ingevoerd. Hoewel al veel eerder bekend was dat het certificaat onveilig was, is Stevens de eerste die erin geslaagd is de code ook echt te kraken.

Stevens, werkzaam voor het Centrum Wiskunde en Informatica (CWI), doet al sinds 2005 onderzoek naar het SHA-1, en is samen met Google twee jaar bezig geweest met de aanval. De computers van Google moesten 9,2 triljoen berekeningen uitvoeren. “Dit is het eerste tastbare voorbeeld dat SHA-1 onveilig is.” 

Desondanks wordt het certificaat nog veel gebruikt, weet hij. “Eigenlijk is dat gek, er moet gewoon van afgestapt worden”, zegt Stevens. “Door het gebrek aan een praktisch voorbeeld van de onveiligheid werd het risico laag ingeschat, maar dat voorbeeld is er nu. Hopelijk wordt de code nu snel uitgefaseerd.”

Veilige alternatieven

Er zijn gelukkig genoeg alternatieven voor SHA-1, waarbij geen vermoeden is van onveiligheid. Het is makkelijk om naar het veilige alternatief over te stappen, al kunnen er wel compatibiliteitsproblemen optreden, of het kan voor grote systemen veel tijd kosten. “Hopelijk toont de aanval die wij hebben gedaan nu duidelijk aan dat SHA-1 echt onveilig is, en dat we hem niet meer moeten gebruiken”, zegt Stevens.

Internetbrowsers als Google Chrome en Mozilla Firefox waren al eerder op hun hoede, en bouwden een waarschuwing in: zodra de internetter langs een SHA-1 algoritme komt, plopt er een waarschuwing het scherm in.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden