1024-bit encryptie ook niet meer veilig
Gepubliceerd: Maandag 8 maart 2010
Auteur: Chris Broesder
Wetenschappers zijn erin geslaagd een zwakte aan te tonen in de RSA 1024-bit private key encryptie. Met de encryptie worden onder andere smartphones, laptops en ecommerce servers beveiligd.
Er werd altijd gezegd dat het RSA algoritme niet te kraken is, tenzij iemand de key raadt of over je schouder meekijkt. Dat wordt nu weerlegd door drie onderzoekers aan de universiteit van Michigan. De zwakte in het systeem wordt in hun onderzoek blootgelegd door het reguleren van het voltage aan de sleutel. Volgens de wetenschappers loert het gevaar niet voor grote instituties, maar eerder voor bijvoorbeeld media bedrijven, mobiele telefoon fabrikanten en vooral ook de consument/gebruiker.
RSA in 100 uur te kraken
De private keys bevatten 1,000 digits aan binaire code en het zou millennia duren om de code te raden. Met de toepassing van het door de wetenschappers bedachte voltage tweaking system zijn ze erin geslaagd de code in 100 uur te kraken.
Met een goedkoop apparaatje varieerden ze het toegediende voltage en zorgden er zo voor dat er kleine communicatiefouten ontstaan met andere clients. Die fouten bevatten kleine stukjes van de private sleutel. Bij genoeg fouten, konden de onderzoekers van de universiteit van Michigan de sleutel bij elkaar puzzelen. Verder laat de methode geen sporen achter, aangezien er geen schade aangericht wordt.
Toekomst RSA
De wetenschappers denken dat de RSA sleutel gewoon kan blijven bestaan en dat RSA dit type aanval kan overleven, maar dan alleen wanneer fabrikanten wel actie ondernemen nu dit probleem is blootgelegd. Zo kan er bijvoorbeeld een cryptografische techniek genaamd 'salting' worden toegepast die de volgorde van de digits willekeurig herschikt elke keer als de sleutel opgevraagd wordt.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
