Nederlander kraakt veelgebruikte digitale beveiliging

SHA-1 wordt gebruikt om communicatie digitaal te ondertekenen, zoals formulieren waar een digitale handtekening onder moet, of waar creditcardgegevens in staan. 

Door de beveiliging te doorbreken, kan eenzelfde handtekening onder twee verschillende documenten terechtkomen. Internetters hoeven zich echter geen zorgen te maken over gegevens die ze de afgelopen jaren online hebben ingevoerd. Hoewel al veel eerder bekend was dat het certificaat onveilig was, is Stevens de eerste die erin geslaagd is de code ook echt te kraken.

Stevens, werkzaam voor het Centrum Wiskunde en Informatica (CWI), doet al sinds 2005 onderzoek naar het SHA-1, en is samen met Google twee jaar bezig geweest met de aanval. De computers van Google moesten 9,2 triljoen berekeningen uitvoeren. “Dit is het eerste tastbare voorbeeld dat SHA-1 onveilig is.” 

Desondanks wordt het certificaat nog veel gebruikt, weet hij. “Eigenlijk is dat gek, er moet gewoon van afgestapt worden”, zegt Stevens. “Door het gebrek aan een praktisch voorbeeld van de onveiligheid werd het risico laag ingeschat, maar dat voorbeeld is er nu. Hopelijk wordt de code nu snel uitgefaseerd.”

Veilige alternatieven

Er zijn gelukkig genoeg alternatieven voor SHA-1, waarbij geen vermoeden is van onveiligheid. Het is makkelijk om naar het veilige alternatief over te stappen, al kunnen er wel compatibiliteitsproblemen optreden, of het kan voor grote systemen veel tijd kosten. “Hopelijk toont de aanval die wij hebben gedaan nu duidelijk aan dat SHA-1 echt onveilig is, en dat we hem niet meer moeten gebruiken”, zegt Stevens.

Internetbrowsers als Google Chrome en Mozilla Firefox waren al eerder op hun hoede, en bouwden een waarschuwing in: zodra de internetter langs een SHA-1 algoritme komt, plopt er een waarschuwing het scherm in.