OpenSSL, de meestgebruikte versleutelingssoftware op souce besturingsysstemen op servers en pc's, bevat een zeer ernstig lek waardoor een kwaadwillenden zonder man-in-the-middle de private keys kan achterhalen. Er is inmiddels een patch en de race om alle systemen te updaten is in volle gang. Bovendien moeten in bepaalde gevallen bestaande sleutels worden ingetrokken en nieuwe certificaten uitgegeven.

Eerder verkeer gecompromitteerd

Dit betekent ook dat al de in het verleden met deze keys versleutelde data zou kunnen worden uitgelezen, tenzij Perfect Forward Secrecy is gebruikt. Dit is een goudmijn voor bijvoorbeeld de NSA, die ook veel versleuteld verkeer opslaat.

Door een inplementatiefout in OpenSSL lekt cruciale data] uit het geheugen van systemen, inclusief dus de primaire private key. Dit kan doordat de zogenaamde heartbeat-feature is te manipuleren waardoor een piepkleine request leidt tot een grote response (tot 64 KB) vol met data uit het geheugen. De kwetsbaarheid is Heartbleed gedoopt, de officiële codenaam is CVE-2014-0160.

OpenSSL is de populairste SSL-library op bijvoorbeeld Apache en Nginx, twee van de meestgebruikte webservers. Het versleutelt veel gevoelig webverkeer, maar ook e-mail en chats. Het is tevens de standaard SSL-library in bijvoorbeeld Ubuntu, Debian, Fedora en OpenBSD. Het Delftse securitybedrijf Fox-IT geeft uitleg en tips over het lek.

Wat is Heartbleed precies, wat zijn de gevolgen en wat moeten we doen om weer veilig te kunnen internetten?

5 brandende vragen over OpenSSL-gat Heartbleed