SSL-certificaten gekraakt en gekloond

Gepubliceerd: Dinsdag 30 december 2008

Onderzoekers hebben het certificaatmechanisme voor vertrouwde sites gekraakt. Zo kunnen malafide websites zich voordoen als authentiek én veilig.

Toon volledig artikel

little_peet op Dinsdag 30 December 2008 15:36

"Ik vind het wel heel ernstig dat bedrijven die security verkopen dat ze een techniek gebruiken, waarvan de aanval al in 2004 is ingezet."

Ik vind het wel heel naïef van een "security expert" om de suggestie te wekken dat er een beveiligingsmechanisme zou bestaan waarop de aanval nog niet is ingezet.

Zodra er een nieuwe beveiligingsmechanisme ontstaat wordt de aanval ingezet. Een techniek is veilig zolang de kosten van het kraken hoger zijn dan de potentiële winst, of de duur die nodig is om een beveiliging te breken niet opwegen. Uiteindelijk zal elke beveiliging omvallen.

7 / 7

Zwooop op Dinsdag 30 December 2008 16:51

Vind je? Een beveiliging van bijna 5 jaar oud, hoe goed is die nu nog? Met 200 relatief betaalbare gameconsoles kun je tegenwoordig een simpele DES-hash in minuten kraken, een LANMAN hash in seconden, en een zwaardere MD5-hash in uren tot dagen. Daar had je 5 jaar geleden onbetaalbare machines voor nodig en maanden zo niet jaren rekenwerk. Wat destijds niet 'feasible' was, is nu aan de orde van de dag.

Zelfs voor m'n interne SSL-certificaten gebruik ik al een paar jaar SHA-1 hashes in combinatie met MD5. 't Is niet alsof ze huiverig zijn om onbekende nieuwe technieken te gaan toepassen. Ze willen het gewoon uitmelken tot het echt niet meer kan, en daarna natuurlijk aan al hun klanten dure nieuwe certificaten verkopen, met extra beveiliging. (Lees: de simpelste nog niet gekraakte beveiliging.. want ze zouden eens te snel innoveren!)

6 / 6

Jeroenh op Dinsdag 30 December 2008 19:56

Vind je? Een beveiliging van bijna 5 jaar oud, hoe goed is die nu nog?Je kunt iets niet als veilig definieren. Je kunt iets als onveilig definieren dmv zwakheden aan te tonen. Het is dus goed mogelijk dat je een beveiligingsmechanisme hebt dat erg oud is, goed getest is, een goede peer review heeft, en niet eenvoudig is te kraken.

Indien SHA-3 bekend wordt gemaakt ga je dat ook niet direct uitrollen omdat het nieuw is. Het zal eerst goede peer review moeten krijgen en goed getest moeten worden. Daarnaast zijn er andere problemen zoals backwards compatibility.

Het is ook niet bekend wie welke lekken weet over bijvoorbeeld SHA1 of MD5, en hoe lang men dat al wist.

SSL is eenvoudiger te misbruiken, het is op een fundamenteel (orig. betekenis v.h. woord) aspect lek. CAs worden toegevoegt in programmas en worden daardoor standaard geaccepteert omdat de verbinding veilig is. Echter, diegene die het certificaat heeft gekregen hoeft niet per defintie degene te zijn die hij beweert te zijn. Erger nog, een CA is in theorie om te kopen, te kraken, of wordt door overheid gedwongen om de boel te flessen.

SSH daarentegen heeft standaard geen CAs. Die moet men zelf toevoegen.

3 / 3

kwark op Dinsdag 30 December 2008 22:20

SSL is eenvoudiger te misbruiken, het is op een fundamenteel (orig. betekenis v.h. woord) aspect lek. CAs worden toegevoegt in programmas en worden daardoor standaard geaccepteert omdat de verbinding veilig is. ...

SSH daarentegen heeft standaard geen CAs. Die moet men zelf toevoegen.

CAs hebben 2 functies in SSL. De CAs hebben op zich niets te maken met het wel of niet veilig zijn van de verbinding zelf. Sterk nog: certificaten zijn helemaal niet nodig voor een beveiligde verbinding (Diffie-Hellman key exchange). CAs zijn voornamelijk een poging om de MitM in DH te voorkomen (en natuurlijk gewoon geldklopperij, een zinnig gpg netwerk is IMHO te preferreren)

Maar als jij vertrouwen hebt in de "ssh manier" dan is het wellicht handig om te weten dat de ssh-key fingerprint slechts gebruik maakt van sha1, maw een accident waiting to happen (tenminste in het ssh2 protocol).

2 / 2

Jeroenh op Woensdag 31 December 2008 01:44

Ja, die FUD heb ik ook gelezen op de OpenSSH ML. Ik doel op OpenSSH implementatie. Je hoeft geen fingerprint te gebruiken. Het kan/mag. Je kunt daarnaast ook een ASCII image gebruiken. Ook verkeerde RFC: http://tools.ietf.org/html/rfc4716

Je hoeft geen SHA-1 of MD5 te gebruiken. Je kunt ook voor SHA-512 (onderdeel van SHA-2) kiezen. Een combinatie van SHA-1 + MD5 biedt in theorie ook een stuk meer zekerheid. HMAC-SHA-1 is vziw niet gekraakt. Ik weet niet of je ook RIPEMD-160 of Tiger kunt kiezen. Voor hashing prefereer ik al jaren SHA-1 + MD5 + RIPEMD-160 (in ieder geval 2 van de 3) of Tiger. Spijtige is dat je weer afhankelijk bent van aanbieder.

SSH heeft het probleem van backwards compatibility minder. PGP gebruikt standaard vast ook SHA-1. OpenPGP dan weer niet; die gebruikt RIPEMD-160. Ander probleem is dat een 'zinnig GPG netwerk' ook vaak niet veilig wordt opgezet.

1 / 1

Q200 op Dinsdag 30 December 2008 16:59

Het gaat er niet om dat de aanval is ingezet, maar dat er al wezenlijke resultaten zijn die aantonen dat MD5 kan falen. Al snel na uitkomen is er een potentiele zwakheid ontdekt, op dat moment geen reden tot paniek. Vorig jaar is echter al aangetoont dat het zwak is en kan falen. Toch wordt het kennelijk nog steeds door de grote partijen gebruikt...

Stel je voor: een auto fabrikant die weet dat een component kan falen, en dit component gewoon blijft gebruiken in nieuwe auto's, terwijl er betere alternatieven zijn?

1 / 1

little_peet op Woensdag 31 December 2008 13:46

Zo moeilijk is dat niet voor te stellen, een autofabrikant zal bij een "defect" onderdeel gewoon de kosten en de risico's afwegen. Als bekend wordt dat er een veiligheidsprobleem is zal er gewoon gekeken worden naar wat de kans is dat het mis gaat en wat dan de schade is voor het bedrijf. Wegen de kosten van nieuwe ontwikkeling niet op tegen de risico's worden die onderdelen gewoon gebruikt in nieuwe auto's.

En soms liegen de bedragen er niet om. Kijk naar onze banken, die verliezen tientallen miljoenen per jaar door de slechte beveiliging van pinpassen & creditcards. Door frauderen met certificaten voor websites zal in het begin maar een paar miljoen extra verlies geleden worden. Als er dan onder tussen nog flink verdiend kan worden aan onveilige certificaten zullen ze dit verlies gewoon voor lief nemen!

0 / 0

Puist ☺ op Dinsdag 30 December 2008 16:30

Wat voegt het stukje van Fox-IT toe? Ziet er uit als sluikreclame.

0 / 6

Zwooop op Dinsdag 30 December 2008 16:44

Gewoon een stukje achtergrondinformatie van een bekende contactpersoon bij een beveiligingsbedrijf. Voegt niet echt veel toe, maar maakt het artikel wel uniek. Beter dit dan de boel klakkeloos van een ANP-bericht overplaatsen.

1 / 5

U4iA op Dinsdag 30 December 2008 17:03

Pikant detail is dat men om de controlegetallen te kraken, gebruik heeft gemaakt van een cluster van maarliefst 200 PS3-gameconsoles. Die zijn bruikbaar, omdat zij veel rekenkracht bezitten voor grafische bewerkingen.
Nu is alleen de vraag waarom de PS3 geen betere GFX kan leveren dan de X360? Ach, is Sony iig op de valreep nog positief in het nieuws dit jaar met zijn PS3. ;)

-7 / 9

Core-TX op Dinsdag 30 December 2008 19:22

Het is spijtig om te moeten lezen dat de console fanboys nu ook op Webwereld toeslaan.
Of is het een onderwerp waarmee de Microsoft astroturfers die hier alom aanwezig zijn extra punten kunnen scoren ?

Anyway ik zal het "grof" uitleggen.

De XBOX 360 is eigenlijk een "normale PC" maar dan met een PPC CPU, en IGP Graphics.
Sony's PS3 beschikt over een totaal andere architectuur. Namelijk de CELL architectuur.
http://nl.wikipedia.org/wiki/Cell_(processor) gebruik makend van extreem snel dedicated XDR ram.
http://en.wikipedia.org/wiki/XDR_DRAM

Een CELL cpu, beschikt over zogenaamde SPE's, welke vergelijkbaar zijn met FPGA's
Daarnaast, zit er een "normale" PPC cpu ernaast + een GPU met dedicated DDR RAM ( Nvidia 7 series )
Die inderdaad iets minder krachtig is dan de GPU van de xbox360.Maar dat kan in theorie dus RUIM gecompenseerd worden door de SPE's
Ook beschikt de XBOX360 over een "chip" die "gratis" anti aliasing effecten levert.
( Heeft de ps3 niet )

Wat betreft "brute rekenkracht" is de PS3 dus aanzienlijk krachtiger dan de XBOX360.
Het is het verschil in architectuur, en de onkunde van programeurs ( Slechts een paar % van de programeurs weet parallel te coden ) in combinatie met bedrijven als EA en Microsoft die slechts quantiteit, en niet qualiteit na streven die jou perceptie vormt.

Conclusie: Eigenlijk is het vooral reclame voor IBM & Toshiba - en niet voor Sony ;)

9 / 9

Baloo op Donderdag 1 Januari 2009 13:38

De werkelijke vraag doe dit oproept is natuurlijk: Hoeveel certificaten per dag kan je kraken met een niet overdreven groot, commercieel geexploiteerd botnet van zeg 50.000 PC's? Ik denk niet dat er iemand blij wordt van het antwoord (behalve misschien de "beheerder" van het botnet).

0 / 0

NULL op Dinsdag 30 December 2008 17:29

Van de meeste CA's heb ik een beetje de indruk dat ze er vooral zijn om veel geld binnen te harken. Ze doen precies dat wat nodig is om door de browserfabrikanten te worden opgenomen, maar dat is het dan. Enige bevlogenheid en "beroepseer" is ver te zoeken. Maar goed, dat gedrag zie je vaak bij grotere bedrijven helaas.

Ik heb dan nog meer vertrouwen in een niet-commerciele CA, zoals CACert.org.

3 / 3

vanbroup op Dinsdag 30 December 2008 17:35

Networking4all heeft een super tool op hun website welke tevens aangeeft welk algoritme er gebruikt is voor alle certificaten in de chain!

https://www.networking4all.com/nl/helpdesk/tools/site+check/

2 / 2

Jeroenh op Dinsdag 30 December 2008 19:47

Op zich handig, maar dat kun je zelf ook uitvogelen. Je kunt ook bepaalde hash functies blacklisten. SSL wordt niet alleen op websites gebruikt.

0 / 2

NULL op Dinsdag 30 December 2008 17:37

Hmm, eigenlijk zouden browserfabrikanten de betreffede CA's er middels een update gewoon uit moeten gooien. Het is nu aangetoond dat ondanks het hele auditing-circus die CA's gewoon niet meer te vertrouwen zijn. Je treft daarmee helaas wel ontzettend veel sites.

Toch lijkt me dat een goede opschudder voor de markt. Met security ben je nooit "klaar"; het moet bijgehouden worden. Als de CA's het blijkbaar niet doen, dan moeten de browserfabrikanten die verantwoordelijkheid maar nemen.

1 / 1

robert_ op Dinsdag 30 December 2008 19:58

Hoewel het bericht verontrustend is vind ik het nu ook weer niet zo'n groot nieuws, zoals ook Zwooop meldt.
Het is altijd een kwestie van tijd voordat relatief oude algoritmes (zoals MD5) gekraakt worden.

SSL websites van banken zoals Rabo en postbank zijn niet gebaseerd op MD5, maar op SHA1.
Men verwacht dat SHA1 idd op relatief korte termijn gekraakt zal worden, maar het is nog niet gebeurd!, dus waar hebben we het dan over ?
Ben het er wel mee eens dat men certificaten moet blijven "doorontwikkelen", zodat men zoveel mogelijk voorop blijft lopen.

Die Prins van FOX gebruikt Webwereld idd vaak als klankbord en blijkbaar om reclame te maken...kan 'm geen ongelijk geven, maar weet wel dat de ECHTE Nederlandse security kenners nog altijd in Eindhoven zitten bij Madison Gurkha. (en nee, ik heb hiermee geen directe relatie, ken ze slechts als extern bedrijf).

2 / 2

Zwooop op Dinsdag 30 December 2008 20:53

Er zijn genoeg experts mbt beveiliging. Sommige zitten in Delft, andere in Eindhoven. Maar ook in Nijmegen kom je ze tegen, en vergeet de utwente ook niet. En in Den Haag ken ik er ook nog wel een paar (alleen helaas niet op enig ministerie). Het klankbordgroepje van Webwereld zou dus wel eens wat uitgebreid kunnen worden. Meer dan 1 hashing functie gebruiken zegmaar, heeft doorgaans positieve invloed op de kwaliteit van de artikelen en de reacties daarop ;-)

1 / 1

NULL op Dinsdag 30 December 2008 22:58

Het verontrustende vind ik dat de CA's dit hebben laten gebeuren. Ook al wordt de soep niet zo heet gegeten als dat deze wordt opgediend, het ondermijnt het vertrouwen in het systeem.

1 / 1

Jeroenh op Woensdag 31 December 2008 17:18

Bruce Schneier is al een paar keer geinterviewed door Webwereld. Zijn blog + reacties zijn van een hoog niveau hoewel vaak gericht op de Angelsaksische maatschappij (VS, VK en enigzins AU).

1 / 1

Frankie123 op Dinsdag 30 December 2008 20:33

Wat is er nou pikant aan het detail? Het is misschien opvallend; pikant was het geweest als ze de servers van Verizon zelf hadden gebruikt om het rekenwerk uit te voeren.

1 / 1

grizzler op Dinsdag 30 December 2008 21:09

Een beveiliging van bijna vijf jaar oud? MD5? LOL!

Het protocol is beschreven in RFC1321 van april 1992. Waarschijnlijk is het dus van 1991 of nog wat eerder.

4 / 6

Peter1 op Dinsdag 30 December 2008 21:14

Kijk ook naar het IP-adres van de bank. Want beiden moeten juist zijn (certificaat en IP-adres). In Firefox kun je een add-onn "Show IP" installeren. Is het certificaat juist, maar het IP-adres niet, dan is er mogelijk iets aan de hand.

3 / 5

tweaktubbie op Dinsdag 30 December 2008 21:36

IP's zeggen geen dr0l. Kan soort forwarder zijn, loadbalancer zijn, contentswitch, firewall, proxy. Zat mensen die ook Netcraft-tooltjes checken en denken dat machines op Windows draaien omdat 'n frontendfireall daarop draait.

5 / 5

Niels Sijm op Dinsdag 30 December 2008 21:55

X509-certificaten bevatten geen IP-adres maar een common name. In de common name komt in het geval van HTTPS een domeinnaam te staan. Deze domeinnaam wordt door de browser vergeleken met de domeinnaam waarmee verbinding wordt gezocht. Wel zo handig, want zo kunnen websites van IP-adres wisselen zonder hun certificaat te hoeven vernieuwen.

Iedereen kan een certificaat aanmaken voor www.postbank.nl. Probleem is alleen dat de handtekening van een CA ontbreekt. Afspraak is dat CA's de identiteit van een domeinnaam controleren voordat een certificaat wordt afgegeven. Ik kan bij een (gerespecteerde) CA dus geen cerfiticaat aanvragen voor www.postbank.n&#314;; de Postbank kan dat wel als ze kunnen bewijzen in het bezit te zijn van www.postbank.nl. Het is dus geen technische kwestie maar een beleidsbeslissing.

4 / 4

Metallator op Dinsdag 30 December 2008 23:19

Leuk bedacht, maar hoe weten we of het ip-adres correct is??

-1 / 1

nogffenikplof op Dinsdag 30 December 2008 22:28

Wel zo handig, want zo kunnen websites van IP-adres wisselen zonder hun certificaat te hoeven vernieuwen.

Volgens 'mij' geeft dit meer problemen dan oplossingen...

Plof...

0 / 2

Niels Sijm op Woensdag 31 December 2008 13:43

Het hele idee achter DNS is dat je een machine a.d.h.v. een naam kunt bereiken. Ik kan me geen situatie voorstellen waarin het handiger is met IP-adressen te werken. Kun jij mij een voorbeeld geven?

Een simpele reden achter een IP-wissel is als je van provider verandert of zelf een IP range krijgt toegewezen. Als iedereen zijn oude IP-adressen zou blijven aanhouden zou dat, zeker in het geval van kleine IP ranges, de routingtabellen nog tien keer zo groot maken. En die routingtabellen zijn nu al veel te groot.

1 / 1

Q200 op Woensdag 31 December 2008 01:48

Korte update:
(zie http://www.win.tue.nl/hashclash/rogue-ca/)
het is (nog) niet mogelijk een willekeurig bestaand certificate te kraken.
De onderzoekers hebben daarom twee certs gegenereerd met dezelfde hash, een echte, en een "foute". Ze hebben de echte laten signen, en konden toen de "foute" voor echt laten doorgaan (bevatte immers de goede hash).
Het genereren van twee certs met dezelfde hash is vele malen eenvoudiger dan het genereren van een tweede cert met dezelfde hash als van een reeds bestaand cert.

In het artikel wordt gemeld dat de meeste CA's geen MD5 meer gebruiken. Dit moet je niet lezen als: het is bijna veilig. Immers, voor een browser maakt het niet uit of een cert van een officiele bank is gesigned door een CA uit verweggistan, het enige wat wordt gecontroleerd is of de root vertrouwd wordt.

Misschien tijd om de laatste CA's die MD5 gebruiken uit de set met vertrouwde root CA's te halen?

2 / 2

Jeroenh op Woensdag 31 December 2008 17:21

Misschien tijd om de laatste CA's die MD5 gebruiken uit de set met vertrouwde root CA's te halen?RapidSSL/FreeSSL zou 89% van de certificaten welke nog MD5 gebruiken uit hebben gegeven. Aan de andere kant staat deze standaard ook niet in Mozilla Firefox of Opera.

1 / 1

splinter op Woensdag 31 December 2008 09:02

Misschien tijd om de laatste CA's die MD5 gebruiken uit de set met vertrouwde root CA's te halen?

en daarmee elimineer je meteen 30% van de nog geldige certificaten die al uitgegeven zijn

0 / 0

Q200 op Woensdag 31 December 2008 11:36

Ik weet niet hoe je aan de 30% komt: volgens het artikel hebben slechts 6 van de 58 door Firefox geaccepteerde CA's in 2008 certificates uitgegeven met een MD5 hash. Het gaat dus niet om bestaande certificaten met een MD5 hash, alleen certificaten die uitgegeven worden door deze 6 CA's.

0 / 0

Zwooop op Woensdag 31 December 2008 11:57

En doorgaans moet je na 1 of 2 jaar toch een nieuw certificaat genereren en laten signen. Ik heb het zelfs 1 keer meegemaakt dat we van de CA een mailtje kregen over een mogelijk onveilig certificaat. Daar kregen we gratis een vervanger voor, halverwege het jaar. De CA's hebben immers de contactgegevens van al hun klanten, dus zelfs een tussentijdse certificaat-update moet met een week of 5 a 6 wel geregeld kunnen zijn.
I don't see the problem. 't Is bijna voorjaar, dus dan kunnen ze in de browserwereld ook eens een schoonmaak houden.

1 / 1

Peter1 op Woensdag 31 December 2008 20:16

Via Perspectives add-onn in Firefox kan je valse SSL-certificaten ontdekken. Ga daarvoor naar dit artikel:

http://www.security.nl/artikel/25921/1/Firefox_plugin_beschermt_tegen_valse_SSL-certificaten.html