Hackers vinden manier om valide certificaten te genereren
Een zevental beveiligingsonderzoekers claimt een kwetsbaarheid te hebben benut bij de uitgifte van certificaten die websites moeten beveiligen. De zwakte zou liggen in het MD5-algoritme.
De kraakmethode van de onderzoekers werd uit de doeken gedaan tijdens de hackersbijeenkomst 25C3 in Berlijn. De Nederlanders Marc Stevens, verbonden aan het Centrum Wiskunde & Informatica in Amsterdam, en Benne de Weger van de Technische Universiteit Eindhoven, maakten deel uit van het team. De hackers zouden er bij een proof-of-concept in geslaagd zijn om een certificaat te maken waarmee zij een vervalste Certificate Authority zijn geworden. Hierdoor kunnen browsers elk certificaat dat is getekend door deze fictieve identiteitsprovider als legitiem interpreteren. Dit geeft kwaadwillende websites de mogelijkheid om als authentiek te worden gezien, mede doordat de site een versleutelde https-sessie kan opzetten.
De onderzoekers hebben eerst dertigduizend certificaten van diverse websites verzameld, waarvan negenduizend met het als kwetsbaar bekendstaande MD5-mechanisme zijn uitgegeven. Nader onderzoek leerde dat zes Certificate Authorities nog steeds certificaten leveren die een MD5-hash worden ondertekend: Rapidssl, Freessl, TC Trustcenter AG, RSA Data Security, Thawte en Verisign.co.jp. Dit is opvallend, omdat al sinds 2004 bekend is dat met zogeheten MD5-collissions andere gegevens toch dezelfde hashwaarde kan krijgen. Vervolgens bleek Rapidssl, dat geheel geautomatiseerd werkt, precies 6 seconden nodig heeft om een aangekocht certificaat te ondertekenen, waardoor de te verwachten verloopdatum is in te schatten. Daarnaast bleken de uitgegeven serienummers sequentieel en niet willekeurig.
Vervolgens werden er met behulp van tweehonderd geclusterde Playstation 3's en Linux-software berekeningen uitgevoerd om een MD5-collission tussen een nepcertificaat en een gekocht exemplaar te vinden. Na 18 uur rekenwerk was het raak en kon in combinatie met de te voorspellen gegevens van Rapidssl - waarvoor 657 dollar aan certificaataanvragen nodig was - een vervalst certificaat worden gemaakt.
De bevindingen tonen volgens de beveiligingsonderzoekers aan dat de Certificate Authorities zo snel mogelijk dienen over te stappen op het SHA1-algoritme, dat momenteel nog als veilig wordt gezien. In de nabije toekomst zou echter al naar SHA2 gekeken moeten worden, omdat dit hash-algoritme als minst kwetsbaar wordt gezien. De hackers hebben onder andere aan Microsoft en Mozilla de problemen binnen Firefox 2 en IE6 - het niet controleren op ingetrokken certificaten - voorgelegd, terwijl ook contacten zouden zijn gelegd met de instanties die de certificaten uitgeven. Verder zullen de beveiligingsonderzoekers voorlopig niet alle details prijsgeven over de algoritmes die zij gebruikt hebben bij het zoeken naar MD5-collissions, in de hoop zo grootschalig misbruik te voorkomen. Het zou volgens hen met enkele optimalisaties zelfs mogelijk zijn om tweeduizend dollar aan rekentijd op Amazons EC2-clouddienst te gebruiken om certificaten te klonen of kopiëren.
Reacties (87)
Zat dit er niet al jaren aan te komen ?
Ja, maar dat geldt voor elke soort van certificering of beveiliging. Er komt een dag dat het gehacked wordt
Ik doelde vooral op het feit dat MD5 al eeuwen geleden nutteloos is verklaard.
En blijkbaar nog steeds word gebruikt....
Dat is gewoon vragen om problemen.
En blijkbaar nog steeds word gebruikt....
Dat is gewoon vragen om problemen.
Eeuwen geleden is wel wat overdreven, zo lang geleden is het nu ook weer niet dat men MD5 "gekraakt" heeft...
Verder is het afhankelijk van de toepassing of gebruik veilig/onveilig is - voor SSL-certificaten komt nu de tijd dat het inderdaad onveilig is en in 2009 zal men dan ook moeten werken aan het uitbannen van alle certificaten die nog van MD5 gebruik maken.
Gebruik je MD5 achter voor andere toepassingen, dan kan 't algoritme nog wel even mee hoor - als het maar niet op gevoelige informatie gaat...
Verder is het afhankelijk van de toepassing of gebruik veilig/onveilig is - voor SSL-certificaten komt nu de tijd dat het inderdaad onveilig is en in 2009 zal men dan ook moeten werken aan het uitbannen van alle certificaten die nog van MD5 gebruik maken.
Gebruik je MD5 achter voor andere toepassingen, dan kan 't algoritme nog wel even mee hoor - als het maar niet op gevoelige informatie gaat...
Meer dan een jaar, noem ik in de IT wereld "een eeuw" en ik denk niet de enige te zijn die er zo over denkt 
In "Security gebakken lucht" termen, houd dat in dat je een exposure tijd hebt gehad van meer dan 300 dagen. Dat is nergens aanvaardbaar ! Ben je je er van bewust dat ook banken MD5 SSL certificaten gebruiken ?
In "Security gebakken lucht" termen, houd dat in dat je een exposure tijd hebt gehad van meer dan 300 dagen. Dat is nergens aanvaardbaar ! Ben je je er van bewust dat ook banken MD5 SSL certificaten gebruiken ?
[Reactie gewijzigd door coretx op dinsdag 30 december 2008 19:33]
Ik zeg niet dat men heel 2009 daarvoor moet gebruiken, maar aangezien 2008 zo goed als ten einde is kunnen we het in 2008 niet meer oplossen.
Zie het als goed voornemen voor begin 2009 (jan-mar oid).
Welke Nederlandse bank maakt er dan gebruik van een met MD5 ondertekend certificaat?
Zie het als goed voornemen voor begin 2009 (jan-mar oid).
Welke Nederlandse bank maakt er dan gebruik van een met MD5 ondertekend certificaat?
Het is veel erger. De CA's hebben na de publicatie in 2004 niet een verandering doorgevoerd in hun beleid of eventueel hun CA een nieuwe key gegeven. Het is nu meer dan 4 jaar verder en grote CA's zijn niet vernieuwender gaan handelen om de problemen preventief de wereld uit te helpen.
Je raakt precies het achilleshiel van PKI. De processen en procedures rondom fatsoenlijk beheer van certificaten is dusdanig complex dat het in de praktijk (zelfs voor gerenommeerde CA's) onwerkbaar is. Wijzigen van CA root cerificaten heeft een enorme impact.
Persoonlijk vind ik de huidige opzet van PKI i.c.m. CA's en certificaten niet geschikt voor wereldwijd gebruik. Met veel moeite (processen en procedures) kan het binnen een enterprise (groot bedrijf) goed ingezet worden, omdat je alle aspecten dan nog zelf in de hand hebt.
Persoonlijk vind ik de huidige opzet van PKI i.c.m. CA's en certificaten niet geschikt voor wereldwijd gebruik. Met veel moeite (processen en procedures) kan het binnen een enterprise (groot bedrijf) goed ingezet worden, omdat je alle aspecten dan nog zelf in de hand hebt.
@MrGG: Helemaal mee eens. Een CA role-over is problematisch en complex. Maar ook dat valt te doen. Je hebt een jaar (gemiddelde leeftijd van en certificaat) nodig voor de uitfasering van een CA tot dat je certificaten zijn verlopen van de oude CA. Je moet nog steeds de CRL werkzaamheden voor die CA vervullen. Als voorbereiding op de overgangsperiode kan het nieuwe certifcaat van de CA al worden aangeboden aan gerenomeerde bedrijven die dit nodig hebben, zoals Mozilla, Microsoft, Apple, Opera en allerlei andere partijen aan wie je dat al de laatste 15 jaar hebt gedaan.
Het proces duurt meestal twee keer de lengte van je langslevende uitgegeven certificaat. Het wordt een tikkie complexer als je met sub-CA's werkt, dus je bent ietsje meer bezig met hetzelfde en je hebt meer te coordineren.
Renewals lopen altijd door, dus het is zowisso een natuurlijk bewegend proces. Veranderingen gaan langzaam, maar zijn niet onmogelijk. Certificaten zijn draken van dingen, maar echt groots en ongeschikt vind ik het nou ook weer niet.
Het proces duurt meestal twee keer de lengte van je langslevende uitgegeven certificaat. Het wordt een tikkie complexer als je met sub-CA's werkt, dus je bent ietsje meer bezig met hetzelfde en je hebt meer te coordineren.
Renewals lopen altijd door, dus het is zowisso een natuurlijk bewegend proces. Veranderingen gaan langzaam, maar zijn niet onmogelijk. Certificaten zijn draken van dingen, maar echt groots en ongeschikt vind ik het nou ook weer niet.
Men kan een vals certificaat maken die als trusted wordt herkend, men kan niet zich voordoen als een andere site !
Als je een rootcertificaat van bijvoorbeeld Thawte kan namaken, kan je op die basis ook certificaten uitgeven die verleend zijn aan een bepaalde site. Bijvoorbeeld abnamro.nl.
Ik vergiste me kennelijk, zie http://tweakers.net/react...ting&ParentID=2911967
Ik vergiste me kennelijk, zie http://tweakers.net/react...ting&ParentID=2911967
[Reactie gewijzigd door Alex) op woensdag 31 december 2008 03:05]
MD5 is technisch nog steeds niet gekraakt. Dat het bruteforce-baar is is wat anders dan letterlijk gekraakt.
MD5 is prima bruikbaar mits goed toegepast.
MD5 leent zich redelijk voor zeer beperkte beveiliging.
Lokale wachtwoordencryptie voor een standaard bedrijfsomgeving bijvoorbeeld.
Het als authenticatiemiddel toepassen van MD5 in geval van certificaten is daarmee uitgesloten mede vanwege het resultaat dat dezelfde HASH resultaten verkregen worden bij verschillende 'te versleutelen' datasets.
't is dus niet zozeer dat MD5 'goed toegepast' moet worden; want een andere vorm van MD5 toepassen voor één en dezelfde oplossing (versleuteling van bijv. bankverkeer) is er niet.
't is meer dat MD5 in bepaalde situatie 'nog' goed ingezet kan worden.
Lokale wachtwoordencryptie voor een standaard bedrijfsomgeving bijvoorbeeld.
Het als authenticatiemiddel toepassen van MD5 in geval van certificaten is daarmee uitgesloten mede vanwege het resultaat dat dezelfde HASH resultaten verkregen worden bij verschillende 'te versleutelen' datasets.
't is dus niet zozeer dat MD5 'goed toegepast' moet worden; want een andere vorm van MD5 toepassen voor één en dezelfde oplossing (versleuteling van bijv. bankverkeer) is er niet.
't is meer dat MD5 in bepaalde situatie 'nog' goed ingezet kan worden.
En welke reden nog meer dan? Een hash-functie heeft per definitie collisions als de data die je erin stopt groter is dan de uitkomst (het aantal bits in de hash).Het als authenticatiemiddel toepassen van MD5 in geval van certificaten is daarmee uitgesloten mede vanwege het resultaat dat dezelfde HASH resultaten verkregen worden bij verschillende 'te versleutelen' datasets.
Zie hashing dan maar als bijzonder lossy compression ;-)
Het idee is uiteraard een hash te gebruiken met een minimale kans op een duplicaat of op het überhaupt vinden van een duplicaat.
Verder heb je overigens volkomen gelijk; het gebruiken van een techniek als hashing zal altijd tot collisions leiden.
Verder heb je overigens volkomen gelijk; het gebruiken van een techniek als hashing zal altijd tot collisions leiden.
Het zijn geen hackers maar onderzoekers! 
Ze hebben er geen schade mee aangericht..
Maar het komt er dus op neer dat CA's nu echt moeten geloven dat het niet meer veilig is. De colliosions waren immers al eerder aangetoond maar toen hebben ze niet de moeite genomen over te stappen.
Kunnen onderzoekers wel bij alle cores van PS3? of kan iedereen dat tegenwoordig? Dacht dat de hypervisor die over de cores ging nog niet was gehacked..
Ze hebben er geen schade mee aangericht..Maar het komt er dus op neer dat CA's nu echt moeten geloven dat het niet meer veilig is. De colliosions waren immers al eerder aangetoond maar toen hebben ze niet de moeite genomen over te stappen.
Kunnen onderzoekers wel bij alle cores van PS3? of kan iedereen dat tegenwoordig? Dacht dat de hypervisor die over de cores ging nog niet was gehacked..
Dus zijn het wél hackers. Waar jij op doelt (het bewust schade aanrichten na het hacken van een systeem) zijn crackers.Het zijn geen hackers maar onderzoekers!
@coretx: Blackhat hacker is idd nog correcter ja. Overigens kennen de meeste digibeten en media de term (en betekenis van) cracker niet eens en noemen ze iedereen maar gelijk een hacker terwijl ze bijna zonder uitzondering blackhat hacker of cracker bedoelen.
[Reactie gewijzigd door Bubbles op dinsdag 30 december 2008 19:23]
Blackhat is een betere naam. en meer geaccepteerd. Het zijn voornamelijk digibeten en de media die hacker/cracker hanteren. ( Omdat het makkelijker is )
Nou... Het zijn eigenlijk de blackhats en media die aan het respectabele "hacker" een negatief beeld hebben gehangen.
http://www.catb.org/~esr/jargon/html/H/hacker.html
Maar goed, taal verandert (en dat is maar goed ook) en het heeft niet veel zin om aan het verleden te blijven vastklampen. De huidige black-, gray- en whitehat klassering werkt ook prima.
Overigens is MD5 NIET gekraakt, het is alleen, onder bepaalde omstandigheden mogelijk een bestand aan te maken met dezelfde MD5 als een ander. Niet helemaal hetzelfde.
edit: spelfaut...
http://www.catb.org/~esr/jargon/html/H/hacker.html
Maar goed, taal verandert (en dat is maar goed ook) en het heeft niet veel zin om aan het verleden te blijven vastklampen. De huidige black-, gray- en whitehat klassering werkt ook prima.
Overigens is MD5 NIET gekraakt, het is alleen, onder bepaalde omstandigheden mogelijk een bestand aan te maken met dezelfde MD5 als een ander. Niet helemaal hetzelfde.
edit: spelfaut...
[Reactie gewijzigd door .J|IA op dinsdag 30 december 2008 20:38]
Toen de Rainbow tables populair werden had men MD5 er overal al uit moeten gaan gooien.
De term waar jij op doelt heet overigens "Collision"
De term waar jij op doelt heet overigens "Collision"
Gelukkig hebben ze daar salts voor verzonnen. Voor wachtwoorden e.d. werkt MD5 dus nog prima. En het scheelt aan database ruimte.
Maar het salt concept werkt niet voor dig. handtekeningen, dus daar moeten ze dus wel 'upgraden'.
Maar het salt concept werkt niet voor dig. handtekeningen, dus daar moeten ze dus wel 'upgraden'.
't is maar net wat je kraken noemt.
MD5 is bedoeld als een single-way encryption welke zich voornamelijk goed leent voor bijv. wachtwoordverificatie zonder dat het daadwerkelijke wachtwoord echt opgeslagen wordt.
Two - Way (wachtwoord is terug te halen; geschikt voor gegevens encryptie):
wachtwoord => encrypt(wachtwoord) = versleuteld_wachtwoord
versleuteld_wachtwoord => decrypt(versleuteld_wachtwoord) = wachtwoord
(Bijvoorbeeld DES encryptie)
Single - Way:
wachtwoord => encrypt(wachtwoord) = versleuteld_wachtwoord
Decryptie is hierbij niet mogelijk omdat er een opvolging van wiskundige functies heeft gezorgd voor een zgn. onnauwkeurigheid wat daarmee een enorm aantal mogelijke uitkomsten als gevolg zou hebben.
(Bijvoorbeeld MD5 algoritme)
Een floating point naar integer conversie is een heel simpel voorbeeld van het realiseren van een onnauwkeurigheid
Voorbeeldje:
int(wachtwoord * 0.3) = hash
int(100,0 * 0.3) = 30
int(100,4 * 0.3) = 30
Beide 'wachtwoorden' geven hetzelfde hash resultaat.
Omgekeerd zal je dus bij een hashwaarde van 30 als wachtwoord alles
tussen bijvoorbeeld 100 en 100,9999999999999999999999999999998
In zo verre is het dus niet iets dat echt te 'kraken' is.
Het kraken van een Single way algorithme zou in mijn ogen een 'decrypt' mogelijkheid zijn op basis van een ander algorithme.
(Iets dat zelden tot nooit voorkomt)
Los daarvan is Collision (Het voorkomen van één en 't zelfde hash resultaat met twee verschillende 'wachtwoorden'; wat dus eigenlijk een zgn. false positive kan opleveren)
een vorm van 'zwakte' van een dergelijk algorithme.
Op dit principe (false positives) zijn ook de Rainbow tables succesvol geworden.
MD5 is bedoeld als een single-way encryption welke zich voornamelijk goed leent voor bijv. wachtwoordverificatie zonder dat het daadwerkelijke wachtwoord echt opgeslagen wordt.
Two - Way (wachtwoord is terug te halen; geschikt voor gegevens encryptie):
wachtwoord => encrypt(wachtwoord) = versleuteld_wachtwoord
versleuteld_wachtwoord => decrypt(versleuteld_wachtwoord) = wachtwoord
(Bijvoorbeeld DES encryptie)
Single - Way:
wachtwoord => encrypt(wachtwoord) = versleuteld_wachtwoord
Decryptie is hierbij niet mogelijk omdat er een opvolging van wiskundige functies heeft gezorgd voor een zgn. onnauwkeurigheid wat daarmee een enorm aantal mogelijke uitkomsten als gevolg zou hebben.
(Bijvoorbeeld MD5 algoritme)
Een floating point naar integer conversie is een heel simpel voorbeeld van het realiseren van een onnauwkeurigheid
Voorbeeldje:
int(wachtwoord * 0.3) = hash
int(100,0 * 0.3) = 30
int(100,4 * 0.3) = 30
Beide 'wachtwoorden' geven hetzelfde hash resultaat.
Omgekeerd zal je dus bij een hashwaarde van 30 als wachtwoord alles
tussen bijvoorbeeld 100 en 100,9999999999999999999999999999998
In zo verre is het dus niet iets dat echt te 'kraken' is.
Het kraken van een Single way algorithme zou in mijn ogen een 'decrypt' mogelijkheid zijn op basis van een ander algorithme.
(Iets dat zelden tot nooit voorkomt)
Los daarvan is Collision (Het voorkomen van één en 't zelfde hash resultaat met twee verschillende 'wachtwoorden'; wat dus eigenlijk een zgn. false positive kan opleveren)
een vorm van 'zwakte' van een dergelijk algorithme.
Op dit principe (false positives) zijn ook de Rainbow tables succesvol geworden.
Nou, ik ook. Het is idd makkelijker en ik wordt helemaal dol van mensen die het zichzelf en anderen moeilijk maken om voor elke term 10.000 varianten te vinden die slechts een subtiel verschil hebben. Waarschijnlijk alleen maar om een beetje belangrijker gevonden te worden.
Een hacker is een hacker, klaar. Laten we het allemaal niet interessanter maken dan het is. Als een hacker een bank kraakt, is het een stoute hacker...
Een hacker is een hacker, klaar. Laten we het allemaal niet interessanter maken dan het is. Als een hacker een bank kraakt, is het een stoute hacker...
Een hacker is een hacker die die een bank kraakt maar er geen misbruik van maakt, een cracker is een hacker die er Criminele actieviteiten mee uitvoert
Who cares? Al die verschillende termen voor hetzelfde. Maak het toch niet zo ingewikkeld, man!
hackers zijn ook niet de mensen die schade aanrichten, dit zijn ze:
Deze mensen zoeken bugs en exploits in software, en testen bijvoorbeeld de beveiliging van je site. Het doel van de hackers is om de computer beter te leren kennen, en zichzelf te trainen.
bron: http://www.digitalplace.n...nsen-in-de-computerwereld
Deze mensen zoeken bugs en exploits in software, en testen bijvoorbeeld de beveiliging van je site. Het doel van de hackers is om de computer beter te leren kennen, en zichzelf te trainen.
bron: http://www.digitalplace.n...nsen-in-de-computerwereld
Ik heb de proef op de som genomen en een aantal certificaten bekeken - van de bekeken certificaten hadden de meeste een certificaatsondertekingsalgoritme waar 'SHA-1 met RSA-versleuteling' gemeld werd.Maar het komt er dus op neer dat CA's nu echt moeten geloven dat het niet meer veilig is. De colliosions waren immers al eerder aangetoond maar toen hebben ze niet de moeite genomen over te stappen.
Ik ga er, met mijn beperkte kennis van SSL-certificaten, vanuit dat ik dan een "veilig" certificaat heb...
(Toch kwam ik nog wel een certificaat tegen, ondertekend door RapidSSL als ik 't goed zag, dat als algoritme 'MD5' meldde!)
"De ketting is zo sterk als de zwakste schakel", aldus onze man Rikkers*.Hiernaast vraag ik me af hoe het dan bijvoorbeeld zit met CAcert. Zij gaven mij een certificaat met een sha1 signature. Echter heeft hun root certificate een md5 signature.
Het grote probleem van deze MD5-hack is waarschijnlijk dan ook het feit dat er een aantal root-certificaten zijn die nog gebruik maken van MD5. De meesten maken gebruik van SHA1, maar er zijn een aantal -niet verlopen- certificaten die nog gebruik maken van MD5. Waarbij sommigen nog een jaar of wat geldig zijn.
Het grootste gevaar zit 'm dus in de roots, want die zijn het aantrekkelijkst om te vervalsen - hoewel een certificaat van 'n bekende site natuurlijk ook een mooi doel is om te kraken...
*: Zie Bob Evers belegert Fort B :-)
Edit@Belboer - Aha, in dat geval is het inderdaad niet zo erg dat de root certificaten "slechts" MD5 gebruiken - de zwakste schakel is dan dus het uitgegeven certificaat dat d.m.v. MD5 ondertekend is...
[Reactie gewijzigd door Little Penguin op dinsdag 30 december 2008 23:16]
Dat een root certificaat een md5 signature heeft is niet zo erg. Het gaat om de de certificaten die ze uitgeven. En bij CACert zijn worden die dus keurig met SHA-1 ondertekend. De aanval wordt namelijk gepleegd door de inhoud van een nieuw aangevraagd certificaat te veranderen zonder dat de md5 veranderd. In het bijzonder zetten ze de basic constraints om van CA is nee naar CA is ja. En dat lukt alleen als de ondertekening zwak is zoals bij md5.
[Reactie gewijzigd door Belboer op dinsdag 30 december 2008 23:10]
Een root certificaat met een md5 signature is véél erger dan een ander certificaat. Als ze een root certificaat kunnen maken met hun eigen details dan kunnen ze zelf andere certificaten uitgeven voor gelijk welk domein!
Zo te zien zit er een nieuw root certificaat in de pijplijn en bereiden ze zich voor op certificering en standaard aanwezigheid van het root certificaat in browsers. In ieder geval goed om te zien.
Uit het verhaal van de onderzoekers:
De onderzoekers geven daar ook een lijstje van zes CA's die in 2008 nog MD5 certificaten uitgeven.Unfortunately it is not possible to determine the hash function a CA uses from the CA certificate.
[Reactie gewijzigd door miw op dinsdag 30 december 2008 19:29]
Dus (in iets meer tekst) de CA's met SHA1 hebben een veilige basis, maar dat wil niet zeggen dat de certificaten nog md5 gebruikten tijdens het aanmaken. Dat is niet af te leiden uit het CA certificaat.
[off-topic wat betreft het nieuwsbericht]
Deze truc werd trouwens al eerder gebruikt: Intel maakte indertijd 486 CPUs met ingebouwde FPU. Als het CPU gedeelte het wel deed, maar er iets mis was met de FPU dan werd die uitgeschakeld en werd het resultaat verkocht als een "486 SX". Overigens heeft de Cell (zo heet ie officieel) ook nog een PowerPC core. Als daar een defect in zit kun je, voor zover ik weet, het hele ding weggooien (net zoals een 486 met een defect in het CPU deel waardeloos is).
Extra detail: als je Linux draait op een SP3 dan heb je toegang tot 6 SPEs omdat de zevende (werkende) SPE op de één of andere manier in gebruik is door de kernel.
Nee, omdat één van de acht SPE cores (de "crunch" cores) kapot is. Heel in het kort: in het ontwerp zitten 8 SPEs, als die allemaal naar behoren functioneren dan kun je die chip voor (relatief) veel geld verkopen. Als blijkt dat er 7 SPEs correct werken dan verkoop je de chip voor wat minder geld aan Sony (die 'em in een PS3 stopt). Of er nog iets nuttigs te doen valt met exemplaren met 6 werkende SPEs weet ik niet.Kunnen onderzoekers wel bij alle cores van PS3? of kan iedereen dat tegenwoordig? Dacht dat de hypervisor die over de cores ging nog niet was gehacked..
Deze truc werd trouwens al eerder gebruikt: Intel maakte indertijd 486 CPUs met ingebouwde FPU. Als het CPU gedeelte het wel deed, maar er iets mis was met de FPU dan werd die uitgeschakeld en werd het resultaat verkocht als een "486 SX". Overigens heeft de Cell (zo heet ie officieel) ook nog een PowerPC core. Als daar een defect in zit kun je, voor zover ik weet, het hele ding weggooien (net zoals een 486 met een defect in het CPU deel waardeloos is).
Extra detail: als je Linux draait op een SP3 dan heb je toegang tot 6 SPEs omdat de zevende (werkende) SPE op de één of andere manier in gebruik is door de kernel.
In het bericht wordt aangegeven dat de Certificate Authorities zo snel mogelijk dienen over te stappen op het SHA1-algoritme of een nog beter hashingalgoritme. Dat is natuurlijk een waarheid als een 
.
Wat ik me afvraag, is het ook niet mogelijk om vanuit de browser(s) een extra waarschuwing te genereren als een certificaat (alleen) voorzien is van een MD5 hash? Zodat de gebruiker weet dat er mogelijk met 't certificaat gerommeld kan zijn? Zo'n waarschuwing zou dan op eenzelfde manier getoond kunnen worden als de melding die verschijnt als je een website hebt die nog steeds gebruik maakt van een 40-bits versleuteling.
In het verleden zijn er ook acties geweest om verouderde SSL-protocollen de wereld uit te helpen, deze waarschuwing zou een eerste aanzet kunnen zijn t.o.v. certificaten die nog gebruik maken van MD5.
Op middellange termijn kan zo'n certificaat dan een meer agressieve waarchuwing tot gevolg hebben en misschen zelfs wel helemaal genegeerd worden...
.Wat ik me afvraag, is het ook niet mogelijk om vanuit de browser(s) een extra waarschuwing te genereren als een certificaat (alleen) voorzien is van een MD5 hash? Zodat de gebruiker weet dat er mogelijk met 't certificaat gerommeld kan zijn? Zo'n waarschuwing zou dan op eenzelfde manier getoond kunnen worden als de melding die verschijnt als je een website hebt die nog steeds gebruik maakt van een 40-bits versleuteling.
In het verleden zijn er ook acties geweest om verouderde SSL-protocollen de wereld uit te helpen, deze waarschuwing zou een eerste aanzet kunnen zijn t.o.v. certificaten die nog gebruik maken van MD5.
Op middellange termijn kan zo'n certificaat dan een meer agressieve waarchuwing tot gevolg hebben en misschen zelfs wel helemaal genegeerd worden...
In mijn ogen maak je het dan veel te ingewikkeld. De gemiddelde surfer weet nog niet eens wat een certificaat is, laat staan dat ze weten wat MD5 is en wat de gevaren daarvan zijn ...
"De door u bezochte site maakt gebruikt van een onveilig certificaat, het is mogelijk dat de verbinding afgeluisterd wordt"
Bovenstaande kreet, of een die nog beter de lading dekt - maar ik denk dat vooral man-in-the-middle attacked hierdoor meer voor de hand liggen...
Verder zijn er ook meldingen als men een site bezoekt die aan phishing doet, door in die trant de gebruiker te (blijven) informeren denk ik dat de gebruiker wel degelijk te waarschuwen is.
Tel daarbij bij op dat -volgens mij*)- het overgrote deel van de certificaten reeds gebruik maken van SHA1 (of beter), dan kan een waarschuwing wel degelijk een oplossing zijn.
*) Er vanuit gaande dat ik 't goede veld heb gevonden in 't certificaat...
Bovenstaande kreet, of een die nog beter de lading dekt - maar ik denk dat vooral man-in-the-middle attacked hierdoor meer voor de hand liggen...
Verder zijn er ook meldingen als men een site bezoekt die aan phishing doet, door in die trant de gebruiker te (blijven) informeren denk ik dat de gebruiker wel degelijk te waarschuwen is.
Tel daarbij bij op dat -volgens mij*)- het overgrote deel van de certificaten reeds gebruik maken van SHA1 (of beter), dan kan een waarschuwing wel degelijk een oplossing zijn.
*) Er vanuit gaande dat ik 't goede veld heb gevonden in 't certificaat...
Te ingewikkeld. Wat is onveilig? Een betere methode is er een euro-bedrag aan te hangen. Encryption quality: ~ ¤10.00. Een beveiliging hoeft niet perfect te zijn, als het meer geld (rekentijd) kost om in te breken dan het oplevert, dan is het veilig genoeg. Nu is het certificaat van de Rabobank natuurlijk miljoenen waard, dus daar is MD5 geen goed idee. Maar voor de tweakers secure login?
Even een vraag over de werking van dergelijke certificaten...
Voert de browser nog wat extra checks uit richting de betreffende CA die in het certificaat staat? Bijvoorbeeld of die CA wel een certificaat heeft uitgegeven voor dat domein en met welke methode het originele certificaat gesigneerd is.
Indien niet, dan kan je toch voor elke willekeurige te vervalsen site een MD5 certificaat maken en dan zal je browser dat accepteren.
Blijft over dat je als vervalser de DNS moet vervuilen van de gebruiker, maar dat is dit jaar ook niet heel lastig gebleken en anders is er nog wel spyware/malware wat de hosts file kan aanpassen of de DNS kan omgooien naar een andere server.
Voert de browser nog wat extra checks uit richting de betreffende CA die in het certificaat staat? Bijvoorbeeld of die CA wel een certificaat heeft uitgegeven voor dat domein en met welke methode het originele certificaat gesigneerd is.
Indien niet, dan kan je toch voor elke willekeurige te vervalsen site een MD5 certificaat maken en dan zal je browser dat accepteren.
Blijft over dat je als vervalser de DNS moet vervuilen van de gebruiker, maar dat is dit jaar ook niet heel lastig gebleken en anders is er nog wel spyware/malware wat de hosts file kan aanpassen of de DNS kan omgooien naar een andere server.
Voor zover ik weet wordt er verder geen extra online controle uitgevoerd. Er is dus geen check of het certificaat + domeinnaam combinatie bij de Certificate Authority bekend is.Voert de browser nog wat extra checks uit richting de betreffende CA die in het certificaat staat?
De enige controle die plaatsvind, dat is of dat de certificaatketen terugvoert tot één van de bekende root-certificaten zoals die in de browser opgeslagen zijn.
In theorie is dat mogelijk ja, waarbij -volgens mij- de CA's met een MD5-signed root het grootste gevaar vormen. De meeste roots zijn echter voorzien van een SHA1 ondertekening...Indien niet, dan kan je toch voor elke willekeurige te vervalsen site een MD5 certificaat maken en dan zal je browser dat accepteren.
Als ik het goed begrepen heb, is het probleem nog groter en is dus in feite elk certificaat wat je ziet (en dat hoeft niet te zeggen dat het het officiële certificaat is), wat met MD5 is gesigneerd, verdacht.
Oftewel de CA's moeten geen mogelijkheid meer bieden om MD5-certificaten te verifiëren.
Je zou dan dus van elke bank een certificaat kunnen maken met een CA die nog MD5-signed accepteert. Dus ongeacht of die CA ook zelf een certificaat voor dat domein heeft ondertekend.
Oftewel jouw eigen bank kan nog zo zorgvuldig te werk gaan, maar als er ook maar 1 concurrerende CA is die MD5 accepteert, is het al niet veilig meer.
Oftewel de CA's moeten geen mogelijkheid meer bieden om MD5-certificaten te verifiëren.
Je zou dan dus van elke bank een certificaat kunnen maken met een CA die nog MD5-signed accepteert. Dus ongeacht of die CA ook zelf een certificaat voor dat domein heeft ondertekend.
Oftewel jouw eigen bank kan nog zo zorgvuldig te werk gaan, maar als er ook maar 1 concurrerende CA is die MD5 accepteert, is het al niet veilig meer.
Volgens mij moet de controle of een certificaat met MD5 ondertekend is door de UserAgent gedaan worden. De CA geeft alleen maar certificaten uit en de CA's gezamenlijk moeten dus gewoon stoppen met het uitgeven van certificaten die met MD5 ondertekend zijn - punt!
Als de UserAgents (of-te-wel de browser) MD5 dan gewoon als minder veilig bestempeld, net zoals 40 bit encryptie onveilig is, dan zullen de CA's wel heel snel gaan stoppen met het uitgeven van dit soort certificaten.
Hiervoor is het daarentegen dan weer wel nodig dat alle browserfabrikanten met >5% marktaandeel dit soort certificaten als onveilig gaat bestempelen - hierbij is het vooral zaak dat Microsoft en Mozilla mee gaan werken, de rest volgt dan vanzelf wel (hoop ik).
Als de UserAgents (of-te-wel de browser) MD5 dan gewoon als minder veilig bestempeld, net zoals 40 bit encryptie onveilig is, dan zullen de CA's wel heel snel gaan stoppen met het uitgeven van dit soort certificaten.
Hiervoor is het daarentegen dan weer wel nodig dat alle browserfabrikanten met >5% marktaandeel dit soort certificaten als onveilig gaat bestempelen - hierbij is het vooral zaak dat Microsoft en Mozilla mee gaan werken, de rest volgt dan vanzelf wel (hoop ik).
Om even de comments met 'volgens mij...' even aan te vullen met: 'zoals het hoort'
Je gaat met je browser naar een site toe: https://mijn.bank.is.rijk.nl
Je browser krijgt bij het begin van de SSL handshake het certificaat van de server overhandigd.
Dan verifieer je het certificaat met de op je desktop geinstalleerde set CA certificaats die je via je browser al meegekregen hebt en die je automatisch vertrouwd.
Als dat gelukt is, kan je verder en ga je in het certificaat kijken, daar heb je in de subjectAltNames:dnsName waarde en dat moet hetzelfde stringetje zijn als de 'mijn.bank.is.rijk.nl' string die je ingevuld hebt op je browser regel.
Soms staan er meerdere regels in de certificaten of worden er wildcards gebruiks, dan is het certificaat dus geldig voor meerdere DNS entries of een heel DNS boompje. Ook kan je het doen op basis van het ipadres in de subject altname, maar dat gebruikt niemand.
Je gaat met je browser naar een site toe: https://mijn.bank.is.rijk.nl
Je browser krijgt bij het begin van de SSL handshake het certificaat van de server overhandigd.
Dan verifieer je het certificaat met de op je desktop geinstalleerde set CA certificaats die je via je browser al meegekregen hebt en die je automatisch vertrouwd.
Als dat gelukt is, kan je verder en ga je in het certificaat kijken, daar heb je in de subjectAltNames:dnsName waarde en dat moet hetzelfde stringetje zijn als de 'mijn.bank.is.rijk.nl' string die je ingevuld hebt op je browser regel.
Soms staan er meerdere regels in de certificaten of worden er wildcards gebruiks, dan is het certificaat dus geldig voor meerdere DNS entries of een heel DNS boompje. Ook kan je het doen op basis van het ipadres in de subject altname, maar dat gebruikt niemand.
Dit is dus eigenlijk gewoon een brute force attack op een hash. Dat heeft altijd al gekunt. Er is niets nieuws hier....tweehonderd geclusterde Playstation 3's en Linux-software berekeningen uitgevoerd om een MD5-collission...
Je kan dit artikel samenvatten als:
Zoals iedereen al verwachtte, moet men weer eens naar sterkere crypto overstappen omdat door snellere chips dingen beter te bruteforcen zijn.
edit: Ah I stand corrected. Het niews is dus dat er nog Certificate Authorities zijn die crypto gebruiken waarvan het bekend was dat het beter-dan-bruteforce te kraken en is en daar nu op worden afgerekend.
[Reactie gewijzigd door SuperNull op dinsdag 30 december 2008 19:44]
Fout. MD5 kraken via pure bruteforce zou nog steeds eeuwen duren.
Er zijn echter zwakke plekken gevonden in het algoritme waardoor men veel sneller tot een collision kan komen.
Bij SHA-1 zijn er afaik nog zo geen plekken gevonden, wat dus de bruteforce tijd weer onpraktisch lang maakt.
Edit: Verdorie, minder traag typen... 2 minds, 1 thought
Er zijn echter zwakke plekken gevonden in het algoritme waardoor men veel sneller tot een collision kan komen.
Bij SHA-1 zijn er afaik nog zo geen plekken gevonden, wat dus de bruteforce tijd weer onpraktisch lang maakt.
Edit: Verdorie, minder traag typen... 2 minds, 1 thought
[Reactie gewijzigd door twabi2 op dinsdag 30 december 2008 19:02]
Er zijn reverse MD5 databases die al tot 8 characters lengte (met in middels de volledige character set) opzoekbaar zijn, opgeslagen in een tiental terabytes. Sure, het duurt lang en de opslag is nog het lastigste verhaal eigenlijk, maar niet onmogelijk lang in een brute force.
Ik vraag me af waarom ze niet MD5 in een beperkt aantal gates in FPGA's hebben kunnen bakken. Het komt bij een PS3 ongeveer op hetzelfde neer, maar komt op hetzelfde neer.
Ik vraag me af waarom ze niet MD5 in een beperkt aantal gates in FPGA's hebben kunnen bakken. Het komt bij een PS3 ongeveer op hetzelfde neer, maar komt op hetzelfde neer.
Je kunt in je browser, bij de pagina info, het certificaat opvragen. Als in het certificaatonder 'Certificate signature algorithm' MD5 vermeld staat moet je oppassen.
Overigens zijn dergelijke 'colissions' ook met SHA-1 mogelijk, ze zijn alleen veel lastiger te berekenen. Ongetwijfeld gaan ze met SHA256 en SHA512 (SHA-1 is eigenlijk SHA160) ook gevonden worden, maar dan nog moeilijker te berekenen.
Digitale handtekeningen werken met hashes. Het is altijd mogelijk dat twee sets data dezelfde hash genereren, al neemt de waarschijnlijkheid af met de lengte van de hash. Om een dergelijke hash te neppen moet je overigens wel de nodige 'rare' data in het certificaat plaatsen. Als het belangrijk is dus altijd het certificaat controleren.
Je kunt overigens in je browser de CA's die nog certificaten met MD5 hashes uitgeven disablen. Dan wordt het probleem ook al kleiner.
Overigens zijn dergelijke 'colissions' ook met SHA-1 mogelijk, ze zijn alleen veel lastiger te berekenen. Ongetwijfeld gaan ze met SHA256 en SHA512 (SHA-1 is eigenlijk SHA160) ook gevonden worden, maar dan nog moeilijker te berekenen.
Digitale handtekeningen werken met hashes. Het is altijd mogelijk dat twee sets data dezelfde hash genereren, al neemt de waarschijnlijkheid af met de lengte van de hash. Om een dergelijke hash te neppen moet je overigens wel de nodige 'rare' data in het certificaat plaatsen. Als het belangrijk is dus altijd het certificaat controleren.
Je kunt overigens in je browser de CA's die nog certificaten met MD5 hashes uitgeven disablen. Dan wordt het probleem ook al kleiner.
Een digitale handtekening hoeft niet met een hash te werken. Het gebruik van een hash is puur en alleen om tijd en opslag te winnen. In principe zou je gewoon de hele tekst kunnen ondertekenen, nu doet men vaak alleen de veel kleinere hash.Digitale handtekeningen werken met hashes.
Als ik me niet vergis is bij SHA-1 is zelfs al eerder dan MD5 aangetoond dat er collisions gevonden kunnen worden. Schneier on Security en RSA Laboratories
Hopelijk wordt dit snel gefixt anders is het de dood van ecommerce.
Mwoah. Certificaten worden overgewaardeerd als beveiliging voor websites. Als je domweg self-signed certificate plempt doen mensen ook wel *klik* *klik* *klik* hoor.
Vraag me af welk gedeelte van de gebruikers van bijvoorbeeld internet bankieren nou daadwerkelijk weet hoe certificaten werken.
Die zijn dan toch beter beveiligd door het feit dat ze zaken als TAN-code of eDentifier moeten gebruiken. Anders zouden ze *zo* hun bankgegevens aan een willekeurige site geven.
Vraag me af welk gedeelte van de gebruikers van bijvoorbeeld internet bankieren nou daadwerkelijk weet hoe certificaten werken.
Die zijn dan toch beter beveiligd door het feit dat ze zaken als TAN-code of eDentifier moeten gebruiken. Anders zouden ze *zo* hun bankgegevens aan een willekeurige site geven.
[Reactie gewijzigd door Keypunchie op dinsdag 30 december 2008 19:20]
Er zijn veel "domme" computergebruikers, en die beginnen gelijk te piepen als ze iets zien dat niet standaard is. Als een gespoofte banksite dus een self-signed certificate voorschotelt dan is de kans groot dat ze verder niets meer durven te doen.
De slimme computergebruiker weet wat'ie moet doen en die gaat eens kijken waarom het certificaat niet klopt...
Blijft over de groep computergebruikers die niet direct slim zijn, maar die zichzelf wel slim vinden - bij heb is de kans groot dat men doorklikt en het certificaat inderdaad toelaat.
(In hoeverre de gewijzigde manier van afhandeling van de certificaten in Mozilla hier nog verandering in brengt weet ik eigenlijk niet...)
De slimme computergebruiker weet wat'ie moet doen en die gaat eens kijken waarom het certificaat niet klopt...
Blijft over de groep computergebruikers die niet direct slim zijn, maar die zichzelf wel slim vinden - bij heb is de kans groot dat men doorklikt en het certificaat inderdaad toelaat.
(In hoeverre de gewijzigde manier van afhandeling van de certificaten in Mozilla hier nog verandering in brengt weet ik eigenlijk niet...)
uhm, snel gefixed? wat willen ze fixen dan?
Mensen moeten gewoon geen MD5 meer nemen, al jaren niet.. staat in je certificaat wat voor alghoritme het gebruikt dus zo moeilijk is het niet..
Dood van ecommerce? Waarom dan? denk dat je even wat meer over je berichtje moet nadenken.
Mensen moeten gewoon geen MD5 meer nemen, al jaren niet.. staat in je certificaat wat voor alghoritme het gebruikt dus zo moeilijk is het niet..
Dood van ecommerce? Waarom dan? denk dat je even wat meer over je berichtje moet nadenken.
Hoe legt men mensen uit hoe men veilig zijn transacties kan doen? Men hamert er op van steeds naar de url te kijken en men verzekerd je dat je als je https ziet dat je dan veilig zit.
Als nu blijkt dat deze methode niet meer voldoet haken mensen gewoon af.
Als nu blijkt dat deze methode niet meer voldoet haken mensen gewoon af.
Meer (gerelateerde) info is te vinden op de website van Benne de Weger:
http://www.win.tue.nl/hashclash/TargetCollidingCertificates/
http://www.win.tue.nl/~bdeweger/
Het playstation lab in Swiss: http://www.win.tue.nl/~bdeweger/PS3Lab/
En natuurlijk een foto van de rakkers (een wel heel stoere action shot ): http://www.win.tue.nl/hashclash/rogue-ca/images/team.png
De aanbeveling is wel een heel open deur:
http://www.win.tue.nl/hashclash/TargetCollidingCertificates/
http://www.win.tue.nl/~bdeweger/
Het playstation lab in Swiss: http://www.win.tue.nl/~bdeweger/PS3Lab/
En natuurlijk een foto van de rakkers (een wel heel stoere action shot
): http://www.win.tue.nl/hashclash/rogue-ca/images/team.pngDe aanbeveling is wel een heel open deur:
Question. What is the best way to ensure that the attack scenario we developed is not possible in the future?
Answer. Stop using MD5 as soon as possible, and migrate to more secure cryptographic hash functions.
[Reactie gewijzigd door Bor de Wollef op dinsdag 30 december 2008 20:18]
Networking4all heeft een tool waarmee je kunt controleren welk algoritme er gebruikt is voor alle certificaten in de chain!
Handig om te controleren of een site last heeft van dit beveiligings probleem.
Zie: http://www.networking4all.com/nl/helpdesk/tools/site+check/
Handig om te controleren of een site last heeft van dit beveiligings probleem.
Zie: http://www.networking4all.com/nl/helpdesk/tools/site+check/
Het valt me toch behoorlijk tegen dat XS4All blijkbaar nog MD5 gebruikt!
Zowel in de webmail als in haar servicecenter.
En voor mij was het nieuw dat de Staat der Nedelanden een Root CA is. (Bleek uit het checken van DigID).
Zowel in de webmail als in haar servicecenter.
En voor mij was het nieuw dat de Staat der Nedelanden een Root CA is. (Bleek uit het checken van DigID).
[Reactie gewijzigd door comecme op woensdag 31 december 2008 11:35]
Wat mij weer opvalt is dat de meeste gebruikers automagisch alle vertrouwen bij de browser makers legt. Inclusief voor het beveiligen van hun eigen bank zaken, middels de ingebakken CA.
Eigenlijk een voortzetting van hun eerdere MD5 werk - zie onder andere http://www.win.tue.nl/hashclash/SoftIntCodeSign/ en ook hun voorspelling van de winnaar van de amerikaanse verkiezingen - waarbij ze een tal van documenten hadden samengesteld met elk één naam van een 'mogelijke' winnaar - die allemaal dezelfde MD5 hash als resultaat hadden. In ieder geval weer een goede publiciteit van het CWI.
*Roept Tweakers aller Lande op om zich te verenigen met de PS3 om te kijken waartoe we in staat zijn* 
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Politiek en recht Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
