Development

Security
cryptografie

NSA krijgt backdoors op presenteerblaadje

Een nieuwe techniek maakt het mogelijk onzichtbare backdoors te maken in cryptografische sleutels.

© CC0 - Pixabay,  Tumbledore
13 oktober 2016

Een nieuwe techniek maakt het mogelijk onzichtbare backdoors te maken in cryptografische sleutels.

De techniek komt niet van de NSA zelf maar van een groep wetenschappers die laten zien dat het mogelijk is een onzichtbaar achterdeurtje aan te brengen in de 1024-bit sleutel van de Diffie-Hellman sleuteluitwisseling.

De Diffie-Hellman sleuteluitwisseling wordt toegepast bij het merendeel van de beveiligde communicatie over internet, bijvoorbeeld bij de bescherming van websites als bij het opzetten van VPN's. De beveiliging is gebaseerd op het versleutelen van de informatie met behulp van een berekening waar lange priemgetallen een cruciale rol inspelen, het zogeheten Digital Signature Algorithm (DSA).

De onderzoekers leggen in een wetenschappelijk artikel uit hoe zij ontdekten dat er 'zwakkere' priemgetallen bestaan die veel eenvoudiger zijn te ontdekken in een cryptografische sleutel. Deze is daardoor een factor 10.000 makkelijker te kraken. De onderzoekers demonstreerden dit door zo'n verzwakte sleutel in twee maanden te kraken met behulp van een computercluster met minder dan 3000 kernen. Toch doen deze 'zwakke' priemgetallen zich niet anders voordoen dan de 'gewone' en passen dus binnen de DSA-standaard.

1048 bits sleutel nog veelgebruikt

De methode werkt ook voor langere sleutellengten, maar de onderzoekers stellen dat het kraken dan nog steeds een onhaalbare opdracht blijft met 6,4 x 10 tot de macht 9 'computerkern-jaren'. Al sinds 2010 is het advies van onder meer het National Institute for Standards and Technology (NIST) om minimaal sleutellengten van 2048 bits te gebruiken. Desondanks berust de beveiliging van bijvoorbeeld de top 200.000 populairste websites nog altijd op een 1024 bits sleutel, bleek onlangs uit onderzoek van SSL Pulse. De reden daarvoor is dat niet alle webtechnologie overweg kan met de 2048 bits versleuteling. Zo is bijvoorbeeld DNSSEC - recent aanbevolen als verbetering van de beveiliging van internet - niet in staat gebruik te maken van sleutellengten groter dan 1024 bits.

Het probleem met de Diffie-Hellman sleuteluitwisseling is dat een relatief beperkt aantal priemgetallen veel wordt hergebruikt voor verschillende toepassingen. Wanneer een overheidsgerelateerde inlichtingendienst - zoals de NSA - of kwaadwillende hackers er in slagen een zwak priemgetal in het sleutelgeneratieproces binnen te loodsen of te ontdekken in de standaardset met veelgebruikte priemgetallen, is de weg vrij om ongemerkt de communicatie van miljarden te onderscheppen.

NSA deed het vaker

De onderzoekers zeggen geen bewijs te hebben dat er ook daadwerkelijk al gebruik gemaakt wordt van dergelijke verzwakte sleutels. Maar het zou niet de eerste keer zijn dat de NSA er in slaagt achterdeurtjes binnen te loodsen in algemeen gebruikte beveiligingssoftware. Zo werd in 2007 Dual_EC_DRBG - een nummergenerator - in gebruik genomen. Bij de publicatie van de Snowden-papers  - zes jaar later - werd duidelijk dat NSA deze nummergenerator gebruikte om te spioneren.

De onderzoekers pleiten voor een methode waarmee cryptografiegebruikers gemakkelijker kunnen controleren of de gebruikte priemgetallen wel uit de vereiste random reeks bestaat, bijvoorbeeld door gebruik te maken van afgeleiden van het getal pi.

 

Zie ook Development op AG Connect Intelligence
5
Reacties
Thijs 14 oktober 2016 07:50

@ Anoniem: Dank voor de correctie. Op de ene plek waar het mis ging in het artikel, is de fout gecorrigeerd.

ERwin 13 oktober 2016 15:52

@ Typisch Anonie.... waarschijnlijk omdat Crypto-virussen gebruik maken van Symmetrische versleuteling, en niet Asymmetrische. Voor Symmetrische versleuteling is er geen sleutel-uitwisseling.

Jan 13 oktober 2016 14:48

Twee maanden met een cluster met in totaal 3000 cores voor een sleutel.
Je kan het dus kraken maar je hebt er wel wat voor nodig.
En na al dat werk kan je dan een keer een onderschept bericht decoderen.

Ik geef toe dat het blijkbaar mogelijk is om in afzienbare tijd een sleutel te kraken maar lig hier nog niet meteen echt wakker van. Mijn mail gaat versleuteld de deur uit maar de reacties die ik vaak terug krijg zijn vaak niet versleuteld.
Waarom dan twee maanden besteden aan mijn ene berichtje als het antwoord met mijn oorspronkelijke bericht na vijf minuten al te lezen is.
Dus ja, het is mogelijk om een encrypted bericht te onderscheppen en te decoderen maar waarom al die moeite doen als (schatting) 90+% van het verkeer nog steeds direct te lezen is.

typisch Anonie… 13 oktober 2016 13:56

Als dit zo makkelijk is, waarom is er dna nog steeds niks tegen cryptovirussen?

Anoniem 13 oktober 2016 12:59

Er is nog nooit een1048 bits gebruikt. 1024 of 2048 bits sleutels zijn daarentegen heel normal.

Reactie toevoegen