Digitale certificaten blijken te vervalsen

En daar begint de ellende: veel sites werken nog met algoritmes waarvan de veiligheid dubieus is.

Cryptografiedeskundigen Arjen Lenstra van Bell Labs, Benne de Weger van de Technische Universiteit Eindhoven en Marc Stevens van het Centrum voor Wiskunde en Informatica (CWI) in Amsterdam toonden vorig jaar al aan dat het nog steeds gebruikte MD5-algoritme niet veilig was. Ze slaagden er met betrekkelijk gemak in twee verschillende bestanden te construeren die onder MD5 dezelfde ‘hash’ (van 32 tekens hexadecimaal) opleveren – een zogeheten ‘collision’. Dat was op zich al reden om het gebruik van MD5 voor versleuteling van bestanden te ontraden. Die waarschuwing is echter op grote schaal in de wind geslagen

Samen met Ronald Cramer van het CWI en de Universiteit Leiden hebben De Weger en Stevens nu ook aangetoond dat via dat mechanisme één van de certificaten verstrekkende instanties - de RapidSSL.com van Verisign - te hacken is. Langs die weg wisten ze valse certificaten te genereren die door de meestgebruikte browsers zonder morren geaccepteerd werden. Daarmee wordt het voor bijvoorbeeld phishers in principe mogelijk om een nepsite te voorzien van een nepcertificaat, waardoor het onderscheid voor de internetter met de site die hij wil bezoeken, helemaal vervalt.

Microsoft en Mozilla hebben erkend dat deze hackmethode werkt, maar volgens Microsoft valt het met de risico’s wel mee. De aanval zou niet te reproduceren zijn zonder kennis van de cryptografische achtergrond ervan, en die is door de onderzoekers niet vrijgegeven. Bovendien hebben de meeste certificerende autoriteiten MD5 al ingeruild voor het veiliger SHA-1. Ook de onderzoekers verwachten niet een, twee, drie een poging tot misbruik van hun methode.

Een al te laconieke reactie lijkt echter niet gepast. Er is geen reden te bedenken waarom anderen de cryptografische achtergrond van de aanval niet zouden kunnen reconstrueren, zeker niet nu ze weten waar ze naar op zoek moeten gaan. Bovendien is geen spectaculaire inzet van hardware nodig. De onderzoekers hadden voor hun hack van RapidSSL.com een cluster van 200 van Sony’s Playstations 3 nodig.

Bovendien is RapidSSL.com niet de enige certificerende website die nog steeds MD5 gebruikt. Ook onder andere TC Trustcenter AG, de RSA-divisie van EMC en Thawte gebruiken nog MD5 voor het genereren van de digitale handtekening. Volgens schattingen zou 30 procent van de beveiligde sites nog van dit soort te vervalsen certificaten gebruik maken. Overigens was RapidSSL.com al voor het bekend worden van de jongste aanval van plan eind januari te stoppen met het uitgeven van MD5-gebaseerde digitale certificaten; het zint nu op methoden om de klantenbasis te stimuleren de overstap naar veiliger methoden te maken.

En ten slotte moet men bedenken dat SHA-1 ook onder verdenking staat. Het lijkt niet uitgesloten dat dat algoritme op vergelijkbare manier te kraken is als MD5. De onderzoekers raden certificerende instanties dan ook aan zonder dralen SHA-2 te implementeren en zich op te maken voor de overstap op SHA-3, dat binnenkort beschikbaar komt.