Beveiliging en cryptografie zijn niet hetzelfdeOpinie

De nieuwsdienst van Automatisering Gids informeerde ons op 18 augustus 2004 via de website dat cryptografie veel zwakker is dan gedacht. Dat wetenschappers zich zorgen maken is oud nieuws, omdat al jaren bekend is dat producten die digitale informatie moeten beveiligen, vaak falen. Dat falen heeft niets te maken met het gebruiken van een verkeerde formule, maar alles met het onjuist toepassen van het algoritme of met een algoritme waarvan achteraf blijkt dat de code die hiermee is gegenereerd toch is te decoderen. Beveiliging en cryptografie zijn verschillende zaken en mogen niet met elkaar verward worden. Cryptografie is namelijk een middel om informatie te beveiligen, in casu af te schermen voor onbevoegde personen. Beveiligen omvat meer. De procedure, de kwaliteit van de codewoorden, correct gebruik van het codeermiddel, de fysieke toegankelijkheid van ruimten en bestanden enzovoorts. Het is niet voor het eerst dat een onderzoeker zijn twijfels uit over de veiligheid van het MD5-algoritme. Hans Dobertin was de eerste die midden jaren negentig het MD4- en MD5-algoritme aan de tand voelde en concludeerde dat het niet zo krachtig is als men dacht. MD5 en MD4 zijn zogenaamde "Hash algoritmen", die een blok informatie verhaspelen tot een unieke waarde die men vaak aanduid met de term "digest". De theorie is dat men niet in staat is om het oorspronkelijke blok informatie aan de hand van de digest te herleiden. Het algoritme moet dus collisiebestendig zijn. Een collisie ontstaat als men met een ander informatieblok hetzelfde resultaat verkrijgt. Dobbertin heeft in 1996 tijdens een Eurocrypt-conferentie aangetoond dat het compressiegedeelte van het MD5-algoritme gevoelig is voor een collisie. Dat wil zeggen dat het MD5-algoritme niet zonder meer aan te bevelen is, maar dat men het - mits men de beperkingen ervan in het oog houdt - nog steeds kan toepassen mits de gewenste beveiliging dit toestaat. Eigen onderzoek toonde begin 2004 al aan dat het verhaspelalgoritme SHA-1 ook zijn beperkingen heeft. Het nieuws van 18 augustus was dus geen verrassing voor mij. Jammer genoeg is SHA-1 van groot belang voor het bepalen van een rechtsgeldige digitale handtekening. Ik denk dat voor dit doel een ander algoritme wenselijk is. Feit is dat men deze verhaspelalgoritmen nog steeds kan gebruiken als onderdeel bij het ontwikkelen van cryptografische primitieven. Het nieuws zou moeten zijn dat men niet blind mag vertrouwen op de kwaliteit van een algoritme, maar dat men voordat men het toepast moet onderzoeken of het geschikt is voor de beoogde toepassing. Dit kan leiden tot andere algoritmen voor andere toepassingen. Denk hierbij maar aan internetbankieren in vergelijking met bijvoorbeeld PGP - waar helaas ook van vaststaat dat het niet echt 100 procent veilig is. Overigens wordt vaak niet het codeermechanisme gebroken, maar wordt het bericht onderschept tijdens het decoderen. Codeersystemen die een zwakke binding hebben met besturingssystemen moet men dus niet inzetten als de informatie bijvoorbeeld over tien jaar nog steeds koren op de molen van de boulevardjournalisten is. Lucebert had het bij het rechte eind met zijn opmerking: "Wat van waarde is kan men alleen dan beschermen als men op zijn hoede blijft!" AUTEUR: Joop van der Burg Joop van der Burg is informatieanalist bij een cryptografieproducentBijdragen in de rubriek Opinie staan los van de redactionele opvattingen van AG. De redactie behoudt zich het recht voor artikelen te redigeren en in te korten. Bijdragen voor de rubriek kunnen worden gestuurd aan: ag@wkths.nl onder vermelding van ‘opinie’.