Victor Shoup van IBM Research en Ronald Cramer van het Eidgenössische Technische Hochschule, een federaal onderzoeksinstituut in Zwitserland, zullen hun vondst vandaag bekendmaken op Crypto '98 – een jaarlijkse conferentie van Amerikaanse cryptodeskundigen in Santa Barbara (Californië). De Cramer-Shoup-methode heft één van de zwakke plekken op die elke moderne versleutelingstechniek kent. Bij encryptie wordt een bestand onleesbaar gemaakt met een code, waarvoor een ingewikkelde wiskundige berekening wordt gebruikt (het zogeheten algoritme). Om zware encryptie te kraken (bijvoorbeeld met een 128-bits sleutel) zou een computer in theorie miljoenen jaren moeten rekenen om achter de juiste code te komen. Hackers kunnen drie methoden toepassen om de sleutel tot een vergrendeld bestand te achterhalen. De bekendste heet `brute force' (brute kracht) waarbij een computer volgens vooraf ingestelde patronen iedere mogelijke code op het versleutelde bestand loslaat. Een tweede methode staat te boek als `social engineering': de hacker ontfutselt een gebruiker het wachtwoord door zich voor te doen als een systeembeheerder, de politie, een onderhoudstechnicus of een andere autoriteit. Bij de derde methode luistert een hacker het dataverkeer tussen een bonafide gebruiker en de server waarop de versleutelde informatie staat om zo achter de gebruikte code te komen. Daarbij kan bijvoorbeeld ook een server worden bestookt met miljoenen opdrachten om te zien wat voor antwoorden er los komen. Deze methode werd vorig jaar juni nog gebruikt om de versleutelingstechniek achter de Secure Sockets Layer, waarmee vrijwel iedere commerciële webserver voor het afhandeling van betalingen via het Internet werkt (zie details in Het web lekt weer). Shoup en Cramer hebben een methode bedacht om het `afluisteren' te voorkomen. En die werkt, zoals de ontdekker van het beveiligingsprobleem bij SSL heeft beaamd. Hun methode maakt het betalen voor goederen en diensten via het Internet een stuk veiliger. IBM heeft besloten om de technologie vrij beschikbaar te stellen aan producenten van software voor elektronische transacties.