'Houdbaarheid cryptografische sleutels overschat'

beveiliging

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (7)
1x Aanbevolen

Gepubliceerd: Vrijdag 26 juni 2009
Auteur: Andreas Udo de Haes

Securitywaakhond Govcert waarschuwt dat de houdbaarheid van cryptografische systemen wordt overschat. MD5 kan echt niet meer.

Dat is een van de conclusies uit het Trendrapport 2009 (pdf) van Govcert, het Computer Emergency Response Team van de Nederlandse overheid. Door een opeenvolging van theoretische zwakheden en aanvallen gevolgd door aanvallen in het wild, is de levenscyclus van cryptografische algoritmes een stuk korter dan wordt aangenomen.

Dit beeld wordt bevestigd door verschillende zwakheden en aanvallen van het afgelopen jaar, zoals bijvoorbeeld de verschillende aanvallen op de Mifare Classic chip van de OV-chipkaart.

MD5 is passe

Daarnaast werd eind 2008 het ssl-certificaatmechanisme voor websites gekraakt door het klonen van MD5-handtekeningen. Naar aanleiding daarvan zegde Govcert het vertrouwen in MD5-ssl's definitief op.

Uit een rondgang van Govcert langs 163 Nederlandse overheidssites blijkt dat de meeste sites MD5 inmiddels hebben uitgefaseerd: 93 procent gebruikt inmiddels SHA1. Govcert drukt organisaties op het hart om het gebruik van cryptografie 'periodiek te evalueren'.

"Hierbij dient bij voorkeur van gestandaardiseerde algoritmen gebruikgemaakt te worden. Organisaties moeten deze evaluatie in hun procedures opnemen en de verantwoordelijkheid beleggen binnen de organisatie. Indien MD5 nog wordt gebruikt: faseer het gebruik daarvan dan op korte termijn uit", adviseert Govcert.

TKIP

Govcert memoreert ook de aanval op draadloze routers door het hacken van het TKIP (Temporal Key Integrity Protocol) van WEP en WPA. "Dit incident toont ook aan dat het van belang is om cryptografische oplossingen op regelmatige basis te herzien", schrijft de organisatie, die adviseert over te stappen op AES-versleuteling in WPA2 voor draadloze netwerken.

Gat in OpenSSH

Ook de ontdekte kwetsbaarheid in OpenSSH vindt Govcert zorgwekkend. "Anderhalf jaar lang heeft er dus een zeer ernstige zwakheid gezeten in de kern van een cryptografisch algoritme van een vaak gebruikt besturingssysteem. Ondanks dat het een open source product was, en de broncode dus voor iedereen is in te zien, heeft het lang geduurd voordat het probleem werd gevonden", constateert het security instituut.

Het verhelpen van dit 'foutje' heeft "zeer verstrekkende gevolgen gehad voor de veiligheid van vele systemen wereldwijd, en het oplossen van het probleem heeft wereldwijd veel geld gekost."

Relevante whitepaper: Transactie-informatie online opslaan
Download
  • Categorieën:
  • Beveiliging

Totaal 7 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Peiling

Loading Poll

Video: World Tech Update: Apple-gadgets van ...

World Tech Update: Apple-gadgets van iWorld (video)

Verleden nieuws