Een internationaal team van cryptanalysten dringt er vandaag bij de industrie op aan om de SHA-1 internet security standaard eerder in te trekken, omdat de kosten van het breken aanzienlijk lager blijken te zijn dan gedacht. Deze industriële standaard wordt gebruikt voor digitale handtekeningen, die credit card transacties, online bankieren en de distributie van software beveiligen. Op dit moment zullen browsers de SHA-1 handtekeningen pas in januari 2017 als onveilig markeren, ten gunste van de veilige opvolger SHA-2. Marc Stevens van Centrum Wiskunde & Informatica (CWI) uit Amsterdam, Pierre Karpman van Inria uit Frankrijk en NTU Singapore en Thomas Peyrin van NTU Singapore ramen nu dat vervalste digitale handtekeningen veel eerder kunnen worden gemaakt. Stevens zegt: "We hebben net met succes de volledige binnenste laag van SHA-1 gebroken. We denken nu dat de state-of-the-art aanval op heel SHA-1, zoals beschreven in 2013, maar ongeveer 100.000 dollar zal kosten aan het huren van grafische kaarten in de cloud."
Grafische kaarten
Op 22 september leidde gezamenlijk onderzoek van Stevens, Karpman en Peyrin tot een succesvolle ‘freestart collision attack’ op SHA-1. Dit is een cryptografisch algoritme ontworpen door de NSA in 1995 om veilige digitale vingerafdrukken voor berichten te kunnen berekenen. Deze vingerafdrukken worden gebruikt in de berekening van digitale handtekeningen, die het fundament vormen van internetbeveiliging, zoals bij HTTPS (SSL) security, elektronisch bankieren, het ondertekenen van digitale documenten en software. Botsingen - verschillende berichten met dezelfde message fingerprint - kunnen leiden tot vervalsingen van digitale handtekeningen. Een freestart collision breekt de binnenlaag van SHA-1. "We hebben net laten zien hoe grafische kaarten zeer efficiënt kunnen worden gebruikt voor dit soort aanvallen. Nu kunnen we dit ook gebruiken om ook een state-of-the-art collision attack voor de complete SHA-1 meer kostenefficiënt te maken", legt Karpman uit.
Internationaal beleid
Het onderzoeksteam zegt: "In 2012 schatte beveiligingsexpert Bruce Schneier dat de kosten van een volledige SHA-1 aanval in 2015 ongeveer 700.000 dollar zouden bedragen. Dit bedrag zou dalen tot ongeveer 173.000 dollar in 2018, wat hij binnen de financiële mogelijkheden van criminelen achtte. We hebben nu echter aangetoond dat voor deze aanvallen grafische kaarten veel sneller zijn en we schatten nu, in de vroege herfst van 2015, dat een volledige SHA-1 botsing tussen de 75.000 en 120.000 dollar kost voor het huren van een paar maanden rekentijd op Amazon EC2 cloud computers. Dit impliceert dat botsingen nu al binnen de middelen van criminele organisaties vallen, bijna twee jaar vroeger dan werd verwacht, en een jaar voordat SHA-1 als onveilig zal worden gemarkeerd in moderne internet browsers. Daarom raden wij aan om op SHA-1 gebaseerde digitale handtekeningen al veel eerder als onveilig aan te merken dan het huidige internationale beleid voorschrijft. In het bijzonder doen we een dringend beroep op het het CA / Browser Forum om tegen een recent voorstel te stemmen om uitgifte van SHA-1-certificaten met nog een jaar uit te breiden. Hiervoor sluit de discussie morgen, op 9 oktober."
Zinkend schip
"Hoewel dit nog niet een volledige aanval is, is de huidige aanval niet het gebruikelijke deukje in een security-algoritme, waardoor het in de verre toekomst kwetsbaarder wordt," zegt Ronald Cramer, hoofd van de CWI's Cryptology-groep. "Vergelijk SHA-1 met een schip dat een ijsberg heeft geraakt en snel water aan het maken is. Wij weten hoe groot het gat is, hoe snel het water zal stromen en wanneer het schip zal zinken: binnenkort. Het is tijd om het schip van SHA-2 te springen. "Thomas PEYRIN, of SYmmetric and Lightweight cryptography Lab (SYLLAB) aan NTU, legt uit:". SHA-1 was al theoretisch gebroken, maar nu is een zeer praktische kosteneffectieve toepassing in zicht. SHA-1's opvolgers SHA-2 en SHA-3 worden niet beïnvloed door deze recente cryptanalytische ontwikkelingen en blijven veilig."
Daniel Augot, hoofd van het Grace team bij Inria Saclay - Ile-de-France waaraan Karpman verbonden is, zegt: "De impact van de werkelijke toekomstige SHA-1 botsingen zal misschien niet zo ernstig zijn als het geval was met het HTTPS-kraak in 2008 en de Flame malware in 2012. Maar botsingen luiden wel het einde in van het vertrouwen in digitale handtekeningen die op SHA-1 zijn gebaseerd." Huaxiong Wang, hoofd van NTU’s afdeling Mathematical Sciences, zegt: "Certification Authorities (CA's), browser vendors en de industrie in het algemeen wordt aanbevolen om de migratie naar SHA-2 te versnellen. Helaas kan zelfs een enkele onveilige CA de veiligheid bedreigen van alle HTTPS websites ter wereld, zoals duidelijk blijkt uit de HTTPS kraak van 2008. Desondanks adviseren we ook websites om snel naar SHA-2 te migreren, om waarschuwingen voor bezoekers te vermijden wanneer internetbrowsers SHA-1 niet meer vertrouwen." Stevens:"We hopen dat de industrie heeft geleerd van de gebeurtenissen met SHA-1's voorganger MD5 en in dit geval SHA-1 zal intrekken voordat in de nabije toekomst voorbeelden van vervalste ondertekeningen verschijnen. "
De groep beschreef hun aanbevelingen in een technisch rapport, dat online beschikbaar is: https://sites.google.com/site/itstheshappening/ . Het onderzoek werd deels gefinancierd door de 2014 Veni grant van de Nederland Organisatie voor Wetenschappelijk Onderzoek (NWO) voor Marc Stevens, door de Direction Générale de l'Armement voor Pierre Karpman, en door de Singapore National Research Foundation Fellowships 2012 voor zowel Pierre Karpman als Thomas PEYRIN.
Over het CWI
Het Centrum Wiskunde & Informatica (CWI) is sinds 1946 het nationale onderzoeksinstituut voor wiskunde en informatica. Het is gevestigd op het Amsterdam Science Park en is deel van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO). Het instituut heeft een sterke internationale positie. Ruim 150 wetenschappers doen er grensverleggend onderzoek en dragen de verkregen kennis over aan de maatschappij. Meer dan 30 van de onderzoekers zijn hoogleraar aan een universiteit. Het instituut heeft 22 spin-off bedrijven voortgebracht. Meer informatie: http://www.cwi.nl.
About Inria
Inria, the French National Institute for computer science and applied mathematics, promotes “scientific excellence for technology transfer and society”. Graduates from the world’s top universities, Inria's 2,700 employees rise to the challenges of digital sciences. With its open, agile model, Inria is able to explore original approaches with its partners in industry and academia and provide an efficient response to the multidisciplinary and application challenges of the digital transformation. Inria is the source of many innovations that add value and create jobs. More information: http://www.inria.fr.
About Nanyang Technological University, Singapore (NTU Singapore)
A research-intensive public university, Nanyang Technological University, Singapore (NTU Singapore) has 33,500 undergraduate and postgraduate students in the colleges of Engineering, Business, Science, Humanities, Arts, & Social Sciences, and its Interdisciplinary Graduate School. It has a new medical school, the Lee Kong Chian School of Medicine, set up jointly with Imperial College London. NTU is also home to world-class autonomous institutes – the National Institute of Education, S. Rajaratnam School of International Studies, Earth Observatory of Singapore, and Singapore Centre on Environmental Life Sciences Engineering – and various leading research centres such as the Nanyang Environment & Water Research Institute (NEWRI), Energy Research Institute @ NTU (ERI@N) and the Institute on Asian Consumer Insight (ACI). A fast-growing university with an international outlook, NTU is putting its global stamp on Five Peaks of Excellence: Sustainable Earth, Future Healthcare, New Media, New Silk Road, and Innovation Asia. The University’s main campus has been named one of the Top 15 Most Beautiful in the World. NTU also has a campus in Novena, Singapore’s medical district. For more information, visit http://www.ntu.edu.sg
Gezamenlijk persbericht van:
Centrum Wiskunde & Informatica (CWI) in Amsterdam, Inria in Frankrijk en Nanyang Technological University in Singapore (NTU Singapore)
--
Meer informatie:
In Ars Technica verscheen het volgende artikel:
http://arstechnica.com/security/2015/10/sha1-crypto-algorithm-securing-internet-could-break-by-years-end/
Reacties geplaatst op de website van het CA/Browser Forum: https://cabforum.org/pipermail/public/2015-October/006065.html
