Het onderzoek wordt vandaag gedemonstreerd op de jaarlijkse hackersconferentie Chaos Communication Congress (CCC) dat ieder jaar tussen kerst en nieuwjaar in Berlijn wordt gehouden.

De certificaten worden gebruikt voor versleutelde verbindingen en dankzij een digitale handtekening kunnen internetters controleren dat ze op de juiste website zitten. Door nu de populaire MD5-handtekeningen na te maken, konden de onderzoekers zelf gemaakte certificaten uitgeven, waarbij de browsers niet doorhadden dat het een kloon betrof.

De aanval opent de deur om internetters te doen geloven dat ze op een veilige website zitten, terwijl dat juist niet het geval is. De kraak vergroot het risico op grootschalige fraude of phishing aanvallen, waarbij niet langer naar andere domeinnamen verwezen hoeft te worden.

Certificate Authority

De onderzoekers van het Nederlandse Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven en onafhankelijke security-onderzoekers in Californië bouwden voor de demonstratie een eigen Certificate Authority (CA).

Een goed werkende dienst geeft certificaten uit en valideert ze. Hierdoor kunnen webbrowsers vaststellen dat een site authentiek is en kunnen internetters dat ook zelf controleren, door bijvoorbeeld op het icoon van het slotje in de adresbalk te klikken.

De nepdienst geeft ogenschijnlijk goede resultaten af. Wie dan de verkeerde CA bevraagt heeft niet door dat hij met kwaadwillenden te maken heeft. Een dergelijke aanval is volgens de makers mogelijk door bijvoorbeeld misbruik te maken van het eerder ontdekte lek door Dan Kaminsky in DNS, met behulp van malware of een XSS-aanval.

MD5-handtekeningen wijdverbreid

Het probleem zit in MD5. Dat is een cryptografische hash of een manier om een controle getal over een stuk data te maken. De techniek werd al beschouwd als gekraakt toen in 2007 12 PDF-bestanden waren gemaakt, die allemaal precies dezelfde handtekening hadden.

Terwijl het advies was MD5 niet meer te gebruiken, ontdekten de wetenschappers dat diverse officiële CA's dat in 2008 nog wel deden. Daartussen zitten ook bekende partijen als RSA Data Security, Thawte, Verisign en RapidSSL.

Om de kraak te zetten is dit lek gebruikt om duplicaten van digitale handtekeningen te maken. Hiervoor is wel voor 700 dollar in certificaten geïnvesteerd. Pikant detail is dat men om de controlegetallen te kraken, gebruik heeft gemaakt van een cluster van maarliefst 200 PS3-gameconsoles. Die zijn bruikbaar, omdat zij veel rekenkracht bezitten voor grafische bewerkingen.

Nieuwe browser versies

De onderzoekers waarschuwen dat het nu tijd is voor de CA's om nieuwe certificaten te maken met een andere handtekening. Een tijdelijk alternatief kan het SHA1-algoritme zijn, maar ook daarvan is bekend dat het binnenkort gekraakt zal worden. Het SHA2-algoritme lijkt wel sterk, maar is nog niet breed beschikbaar.

Ook de leveranciers van webbrowsers zullen aan de slag moeten op het moment dat de identiteitsproviders nieuwe root- of hoofd-certificaten zijn gemaakt. Zij zullen de wijzigingen in de browser moeten meenemen, zodat de internetters weten dat het goed zit.

De onderzoekers geven nog niet alle details prijs om misbruik door cybercriminelen te voorkomen, maar wijzen erop dat mensen met verstand van MD5 het werk waarschijnlijk met een maand kunnen herhalen.

Certificaatuitgevers nalatig

Ronald Prins, directeur bij Fox IT, is blij dat voor deze manier van onthullen is gekozen, zodat criminelen niet direct met het lek aan de slag kunnen. "Ik vind het vooral ernstig dat de leveranciers van certificaten een steek hebben laten vallen", zegt hij. "Gelukkig is het voor nieuwe certificaten eenvoudig te voorkomen. Het (MD5 - redactie) is vrij snel uit te zetten voor ze."

"Wat ik het mooie hiervan vindt is dat er twee werelden bij elkaar komen. De helden op cryptogebied en de mensen die door hebben waar dat impact kan hebben bij ons dagelijks gebruik op internetgebied", stelt Prins. "Je moet een keer een moeilijke klus doen en daarna kun je zelf een certificaat uitgeven die door browsers worden geaccepteerd. Dat kan heel snel gaan. Ik kan me voorstellen dat mensen een handeltje beginnen in foute, vervalste certificaten."

Wel benadrukt hij dat het wel eventjes kan duren voordat de aanval door criminelen herhaald wordt. "Ik vind het wel heel ernstig dat bedrijven die security verkopen dat ze een techniek gebruiken, waarvan de aanval al in 2004 is ingezet."