Microsoft: MD5-aanval vormt geen groot gevaar

Microsoft stelt in reactie op de dinsdag geopenbaarde kwetsbaarheid van certificaten met een MD5-hash dat de eindgebruiker geen grote risico's loopt. Ondertussen biedt Verisign gratis vervangende certificaten aan.

In een security advisory reageert de softwaregigant op de geslaagde aanvalspoging van beveiligingsonderzoekers op certificaten die door Rapidssl waren uitgegeven. Microsoft - die door de white hat-hackers eerder op de hoogte van de kraak was gebracht - erkent dat het MD5-algoritme onveilig is en niet voor het ondertekenen van certificaten gebruikt dient te worden, maar dat een praktische en bruikbare aanvalsmethode niet is aangetoond. Ook zouden er 'in het wild' nog geen aanvallen zijn gesignaleerd die misbruik maken van de kwetsbaarheid, waardoor gebruikers derhalve geen grote risico's lopen. Dit zou mede te danken zijn aan het feit dat de beveiligingsonderzoekers de cryptografische details van hun hackpoging niet hebben gepubliceerd.

Microsoft stelt verder dat vrijwel alle Certificate Authorities zijn overgestapt op de uitgifte van certificaten die met het SHA1-algoritme worden ondertekend. Bovendien wijst de softwaregigant er op dat de Internet Explorer-browser ook Extended Validation-certificaten ondersteunt, die door strengere veiligheidseisen als betrouwbaar te boek staan. Mozilla laat zich op zijn Security Blog in soortgelijke bewoordingen uit en laat weten dat ook zij vooralsnog geen concrete aanvalspogingen via gekloonde certificaten hebben gesignaleerd. Wel zegt de Firefox-ontwikkelaar in gesprek te zijn met de uitgevers van certificaten om het probleem op te lossen.

Verisign, eigenaar van de door de hackers gebruikte Rapidssl-website, laat inmiddels weten dat het aanpassingen heeft gedaan aan de geautomatiseerde uitgifte van certificaten. Bovendien worden deze niet langer met de gewraakte MD5-hash ondertekend, terwijl Verisign aangeeft MD5 eind januari geheel te hebben uitgefaseerd. Gebruikers die nog over een kwetsbaar certificaat met MD5-hash beschikken, kunnen deze kosteloos laten vervangen voor een SHA1-exemplaar, zo stelt de Certificate Authority.

Door Dimitri Reijerman

Redacteur

Feedback • 31-12-2008 13:52 31

31-12-2008 • 13:52

31

Lees meer

Kraken sha-1 kan veel goedkoper dan gedacht met gpu's
Kraken sha-1 kan veel goedkoper dan gedacht met gpu's Nieuws van 8 oktober 2015
Microsoft waarschuwt voor zero day-xml-lek
Microsoft waarschuwt voor zero day-xml-lek Nieuws van 13 juni 2012
CWI: Flame-malware gebruikte nog onbekende md5-aanval
CWI: Flame-malware gebruikte nog onbekende md5-aanval Nieuws van 8 juni 2012
Mozilla zet per ongeluk database met accountgegevens online
Mozilla zet per ongeluk database met accountgegevens online Nieuws van 28 december 2010
Waalse overheid verbiedt Firefox wegens 'veiligheidsprobleem'
Waalse overheid verbiedt Firefox wegens 'veiligheidsprobleem' Nieuws van 25 september 2009
Aanval op SHA-1 eenvoudiger gemaakt
Aanval op SHA-1 eenvoudiger gemaakt Nieuws van 11 juni 2009
Beveiligingsonderzoekers leggen gaten in routing-protocollen bloot
Beveiligingsonderzoekers leggen gaten in routing-protocollen bloot Nieuws van 16 april 2009
Microsoft stelt veilig Gazelle-browserontwerp voor
Microsoft stelt veilig Gazelle-browserontwerp voor Nieuws van 22 februari 2009
'Ook gesigneerde Windows-bestanden gevoelig voor md5-collision'
'Ook gesigneerde Windows-bestanden gevoelig voor md5-collision' Nieuws van 20 januari 2009
Hackers vinden manier om valide certificaten te genereren
Hackers vinden manier om valide certificaten te genereren Nieuws van 30 december 2008
Netgear introduceert extra beveiligde 802.11n-router
Netgear introduceert extra beveiligde 802.11n-router Nieuws van 9 oktober 2008
Chinese Skype logt onversleuteld chat- en persoonsgegevens
Chinese Skype logt onversleuteld chat- en persoonsgegevens Nieuws van 3 oktober 2008
Paypal gaat Safari niet blokkeren
Paypal gaat Safari niet blokkeren Nieuws van 21 april 2008
Meer producten en artikelen
Privacy Netwerk en systeembeheer Microsoft Mozilla Beveiliging Hackers

Reacties (31)

-Moderatie-faq
31
31
11
6
0
0
Wijzig sortering
Anoniem: 146814 31 december 2008 19:45
Ze zijn hier rijkelijk laat mee. Tijdens een stage in 2001 deed ik al aan het zoeken van collisions in de MD5 hash. TOEN wist ik al dat het technisch mogelijk was een CA certificaat na te maken met de nodige moeite.
Nu is er een proof of concept en opeens paniek paniek.
Microsoft stelt verder dat vrijwel alle Certificate Authorities zijn overgestapt op de uitgifte van certificaten die met het SHA1-algoritme worden ondertekend.
Vrijwel alle. Dat is niet alle. En er hoeft er maar één nog md5 te gebruiken -en gekraakt te worden- om MITM op ALLE sites uit te kunnen voeren. De browser heeft geen mogelijkheid te controleren of het certificaat door de juiste authority is gesigned, zolang het maar een geldige authority is.
Dwz: als postbank zijn certificaat via een veilige CA laat tekenen, kan een crimineel zonder problemen een fake certificaat door een onveilige CA laten signen.
Bovendien wijst de softwaregigant er op dat de Internet Explorer-browser ook Extended Validation-certificaten ondersteunt, die door strengere veiligheidseisen als betrouwbaar te boek staan.
Oehw, jippie! Helaas maakt niemand daar nog echt gebruik van. Ik heb gecontroleerd: postbank, rabobank, spaarbeleg, abn amro, sns bank. Alleen de laatste maakt gebruik van EV certificaten.
Gebruikers die nog over een kwetsbaar certificaat met MD5-hash beschikken, kunnen deze kosteloos laten vervangen voor een SHA1-exemplaar, zo stelt de Certificate Authority.
En dat is geheel 100% nutteloos, TENZIJ de CA een deadline stelt en het oude MD5 CA cert laat revoken. En zelfs dan is het pittig, omdat in de meeste browsers revoken niet mogelijk is.
Stevel @Anoniem: 1468141 januari 2009 01:42
> Oehw, jippie! Helaas maakt niemand daar nog echt gebruik van. Ik heb gecontroleerd:
> postbank, rabobank, spaarbeleg, abn amro, sns bank. Alleen de laatste maakt gebruik
> van EV certificaten.

Helaas zijn de EV-certificaten niets meer dan gewone certificaten waar aan toegevoegd is dat het om een EV-cert gaat. Je vertrouwt hier dus de uitgever dat deze de eigenaar van de sleutels voldoende heeft gecontroleerd. Dat het ondersteunen van deze EV-certificaten de aanval minder ernstig maakt is dus niet juist.

Het enige dat echt helpt om jezelf te beschermen is het verwijderen van de kwetsbare CAs uit de browser.
Sorcerer8472 31 december 2008 13:56
Ik zou het prima vinden als Firefox/IE (etc.) vanaf februari zouden aangeven dat MD5-certificaten niet veilig zijn, die krijgen dan dus dezelfde status/waarschuwing als certs waarvan de datum is verlopen enzo... Better safe than sorry.

Of zijn daar nog bezwaren tegen?

[Reactie gewijzigd door Sorcerer8472 op 24 juli 2024 12:48]

Sgreehder @Sorcerer847231 december 2008 14:03
Meld het maar aan, daar hebben ze een systeem voor.
Anoniem: 168548 @Sorcerer847231 december 2008 14:52
Ik ben er op tegen. Gebruikers worden tegenwoordig al helemaal gek van alle waarschuwingen over beveiligingen, phishing sites, activex content, javascripts, en flash content. Dat een stel hackers met notabene 200 PS3's een certificaat heeft weten te vervalsen is voor mij geen aanleiding om maar gelijk de MD5 certificaten het predikaat "Gevaarlijk" mee te geven, en dit direct in te bouwen in browsers.
Gwaihir @Anoniem: 16854831 december 2008 15:12
De organisaties achter dit soort aanvallen beschikken doorgaans over een botnet met aanzienlijk meer kracht dan 200 PS3's. Wel degelijk heel gevaarlijk dus.
Little Penguin
@Anoniem: 16854831 december 2008 15:45
Ik ben er op tegen. Gebruikers worden tegenwoordig al helemaal gek van alle waarschuwingen over beveiligingen, phishing sites, activex content, javascripts, en flash content.
Ik ben voor een dergelijke waarschuwing, al dan niet op termijn - laten we zeggen Q2/Q3 2009.

Het aantal sites dat nu [nog] gebruik maakt van 'n MD5 ondertekening, dat is betrekkelijk laag en met zo'n waarschuwing dwing je de sitebeheerders en de CA's om de nog overgebleven MD5-certificaten ook de wereld uit te helpen.

Nu noem je verder nog een aantal meldingen waarmee de gebruiker gek gemaakt wordt, maar eigenlijk is daarvan alleen phishing en beveiliging legitiem - de overige meldingen mogen maar 1x voorkomen OF zelfs helemaal niet (in het geval van ActiveX, die techniek hoort helemaal niet op het internet thuis* dus als een site daar gebruik van maakt...)

*: Tenzij het natuurlijk gaat om de melding om 'n Flash of Java installatie te doen, maar verder niet eigenlijk!
VisionMaster @Little Penguin31 december 2008 16:18
Het is niet helder in kaart te brengen, omdat de browsers geen CRL of OSCP controle aan hebben staan.

Dus, tijdens de geldigheidsperiode van 1 certificaat is het tot aan het eind van zijn leven (ook over 11 maanden eventueel nog) geldig, omdat er niets is dat het tegen zal spreken. Dus iedereen die nu een MD5 certificaat heeft zal pas vlakvoor het verlopen van dat certificaat pas echt in beweging moeten komen.
Qorne 31 december 2008 13:54
Gelukkig maar, ik maak alleen maar gebruik van SHA-1 certificaten.
De laatste tijd liggen de certificaten wel onder vuur, nu dit weer en laatst een OpenSSL bug :( Er komt vast nog meer boven water.
BarthezZ @Qorne31 december 2008 14:00
Dat er kwetsbaarheden gevonden worden vind ik eigenlijk geen probleem. Het is en blijft software, gemaakt door mensen, dus een aantal fouten is onoverkombaar. Het belangrijkste is hoe die fouten aangepakt worden. Het uitrollen van een fix voor de OpenSSL bug is vrij snel gegaan allemaal. Ook deze "aanval" (wat op mij overkomt als het bruteforcen van een collision) is opzich nog geen groot risico. Er is maar een kleine groep mensen die weten hoe ze het moeten uitvoeren, en alle zichzelf respecterende CA's gebruiken al geen MD5 meer.

Het voordeel is dat zodra het gevonden is en goed opgelost er een kwetsbaarheid minder is, en de meeste developers er weer extra gaan opletten op andere mogelijke kwetsbaarheden.
Anoniem: 116213 @BarthezZ31 december 2008 15:51
Het feit dat er een cluster van 200 Playstation 3 consoles gebruikt was om de "hack" voor elkaar te krijgen geeft wel aan dat het meer bruteforce was :)

Tevens kochten ze honderden certificaten, om genoeg samples te krijgen.

Echter de winst voor criminelen is natuurlijk zeer hoog, omdat ze op die manier www.banknaam.com.xfgdser.com kunnen aanmaken en van een SSL certificaat voorzien die lijkt of hij op banknaam.com geregistreert staat.

Het is dan ook niet helemaal toevallig dat EVL-SSL certificaten nu zo'n opmars maken, waarbij PayPal het bekenste voorbeeld is, en die zag het aantal phishing aanvallen sterk dalen sinds de introduktie. Nog niet iedereen heeft een EVL-SSL geschikte browser in gebruik (of heeft de juiste instellingen om het werkend te krijgen, zoals de recocation instelling in IE7), echter steeds meer hebben een groene adresbalk in hun browser, en zien het verschil als ze voor een phishing email vallen.

De meeste tweakers hebben al die visuele ongein vaak niet nodig, maar het feit dat de onnozele gebruikers er niet voor vallen, zorgt er wel voor dat banken geen super verlies draaien, waar wij dan uiteindelijk ook weer voor betalen.

Hopelijk zetten Microsoft en Mozilla dan ook druk op de CAs en geeft de vinder van deze exploit hun werkende code nog niet uit. Aangezien ze bekend staan als white-hat, zal dat wel goed zijn.

Zelf hou ik het bij 8192 bit keys en SHA-512 (of Whirlpool) voor self-signed certs, de hedendaagse rekenkracht is ruim voldoende voor een systeem om daar mee om te gaan.
Little Penguin
@Anoniem: 11621331 december 2008 17:15
Echter de winst voor criminelen is natuurlijk zeer hoog, omdat ze op die manier www.banknaam.com.xfgdser.com kunnen aanmaken en van een SSL certificaat voorzien die lijkt of hij op banknaam.com geregistreert staat.
Wacht even, wat je hier stelt dat is onzin.

Als een certificaat uitgegeven is voor www.bankieren.com en de URI van de phising site is www.banknaam.com.xfgdser.com, dan gaat de browser dus piepen omdat de naam in het certificaat niet overeenkomt met die van de URI zoals die in de adresbalk getoond wordt.

Tenzij dat de gebruiker eigenwijs is, moeten er belletjes gaan rinkelen - ook zonder kerst dus :) - en moet men gaan kijken wat er aan de hand is.

Als een criminele cracker iets wil bereiken met zijn certificaat dat op naam van 'www.bankieren.com' staat dan moet er dus meer gedaan worden, hij (of zij) moet ook het resolven door de browser omleiden - zodat de browser denkt dat zijn server ook de hostname 'www.bankieren.com' heeft. Naast de geijkte methode via malware (hosts besmetten e.d.) is er ook nog het DNS-lek zoals dat de afgelopen tijd in het nieuws geweest is...

Dit lek kan dus wel degelijk gevaarlijk zijn, maar dan moet wel aan een grotere hoeveelheid voorwaarden voldaan worden...
Anoniem: 116213 @Little Penguin31 december 2008 18:48
Sorry, je hebt gelijk, ik zat alleen aan het O veld te denken, niet het CN veld, en het is het CN veld wat gebruikt wordt in het eerste tabblad in IE7 certificaat overzicht.

Echter een gewone gebruiker zal amper het certificaat zelf bekijken, die is al blij dat hij weet waar het "slot icoontje" staat om een versleutelde verbinding aan te geven. Dus het gevaar is niet verdwenen. De combinatie aanval via DNS die je aanhaald, zorgt voor nog meer mogelijkheden inderdaad, maar die zijn veel lastiger, en vaak geneens nodig dan.

[Reactie gewijzigd door Anoniem: 116213 op 24 juli 2024 12:48]

VisionMaster @Anoniem: 11621331 december 2008 16:04
"Ik wens ik wens... dat 8k key lengths en SHA-512 en andere algortimen door alle software ondersteunt kan worden."

Ik stoei er mee in het dagelijks leven in een groot project en het is alles behalve makkelijk om van de normale set hash algortimen en zelfs al key lengtes af te stappen.
Pas sinds kort gaat de Java api niet op zijn snuit als je 8k of grotere key lengtes gebruikt en lang niet alle hash algortimen die in openssl worden meegeleverd zijn overal even bruikbaar, zeker als je met verschillende externe partijen te maken hebt.

Maar goed, voor je eigen werk. Sure. Now you talking!
Anoniem: 116213 @VisionMaster31 december 2008 19:00
Eigenlijk is een SHA-384 key genoeg, maar omdat ik ook van 15360bit keys gebruik maak voor OpenPGP, was SHA-512 hash gebruik voor beide gemakkelijker. Hoef dan niet die waarde aan te passen in de scripts, en ook al is het dan overkill, het werkt prima.

Wat software ondersteuning betreft, Thunderbird+Enigmail werkt prima met 8k en 15k keys, alsmede Evolution. De laatste heeft wel problemen met RFC 1847 Encapsulated data, waardoor je een email niet digital kan ondertekenen als je hem versleutelt. Controleer helaas niet zo snel nieuwere versies (v2.2.3 of zo was laatste keer dat ik het teste), dus misschien dat ze het al hebben opgelost (heb het genoteerd om te testen).

Voor website gebruik is een 4096bit key meestal genoeg, is ook gemakkelijker door een server bij te houden dan, want zelfs een Four-Socket Quad-Core Xeon 7310 server met 64GB geheugen, heeft aardig moeite met teveel gebruikers als we een zware key toepassen.

Maar inderdaad in een grotere groep, waarbij je geen controle hebt over elke gebruiker, dan is de laagste standaard de algemene sterkte om te gebruiken, en die kans soms lager zijn dan je liever wilt.
Anoniem: 281203 @Qorne31 december 2008 14:00
Toch juist mooi als er meer boven water komt, want dat kan alleen maar verbetering voor de veiligheid betekenen.

Het is een goede zaak dat zelfs de grote jongens (Microsoft) nu zo snel reageren op de bekendmaking van deze zwakte in het certificaat reageren en ook werkelijk actie ondernemen.
pat42 @Anoniem: 2812031 januari 2009 15:32
Imho moeten de credits eerder naar de uitgevers van de certificaten gaan, die handelen snel en goed. Microsoft (en Mozilla) adviseren zo te zien alleen maar, ze gaan volgens mij verder geen 'actie ondernemen' (hoewel adviseren natuurlijk ook belangrijk is).
Woy Moderator PRG/SEA 31 december 2008 14:42
Als ze in IE en Firefox nou ook nog eens Certificate Revocation Lists implementeren, zou het nog een stuk veiliger zijn. Zover ik weet heeft alleen Opera het geimplementeerd ( Een jaar geleden ieder geval. Van IE weet ik zeker dat ze het nog niet ondersteunen ), en de TLS specificatie stamt toch al weer uit '99.
ppl
@Woy31 december 2008 15:35
Dan moet je eens wat beter in de preferences van Firefox kijken. Ik zie daar namelijk op het tabblad Advanced onder Security een mooie button getiteld Revocation Lists. Naar ik meen zat dit ook al in de inmiddels niet meer ondersteunde versie 2 van deze browser. Daarmee komen we dan ook gelijk bij het volgende punt: van Mozilla was te verwachten dat ze een milde reactie zouden gegeven. De kwetsbaarheid zou in Firefox 2 zitten en die versie is inmiddels niet meer ondersteund. Dan is het ook logisch dat men daar niks meer aan gaat doen en als advies uitvaardigt dat men naar versie 3 moet upgraden. In versie 2 zitten namelijk nog meer zaken die niet goed zijn en die in versie 3 wel zijn aangepakt.

Dus nogmaals: Firefox kent revocation lists en Firefox 2 moet je niet meer gebruiken omdat het daar te insecure voor is (en dat is niet alleen vanwege die MD5 cert bug!).
Maurits van Baerle
@Woy31 december 2008 15:00
Van Firefox weet ik in ieder geval dat hij standaard OCSP gebruikt. Dat heeft een aantal voordelen boven Certificate Revocation Lists.
IStealYourGun 31 december 2008 13:56
Een huis, tuin, keuken hacker is inderdaad niet echt het grote gevaar. Maar een criminele bende die zich specialiseert in internet fraude zal die kwetsbaarheid zeker en vast wel gebruiken.
jip_86 @IStealYourGun31 december 2008 14:51
Precies. Zeker als je met 200 ps3's en 18 uur stampwerk dit al boven water hebt. Vind ik nog niet heel lang. Volgens mij kan er dan wel meer gaan sneuvelen.
VisionMaster @jip_8631 december 2008 16:20
Waarom stapt iedereen over die 200 PS3? Je hoeft helemaal niets zelf te bouwen (zie artikel), je koopt bij Amazon of een andere Grid of Cloud supplier een zooitje CPU power in en zij regelen eventueel zelfs nog dat er een snel MPI-achtige infrastructuur aanwezig is.
Anoniem: 142554 31 december 2008 13:58
ik vind dat ze dat soort beveiliging security level moeten geven.

elkaar jaar controleren of het nog goed is.
zo niet gaat die een trapje lager.
zeg maar soort van defcon levels..
VisionMaster @Anoniem: 14255431 december 2008 16:22
Ten op zichte van wat en wie? In de academische wereld is er een overkoepelend orgaan dat de kwaliteit van de CA's en de CA operaties toetst. In de commerciele wereld doen ze niet aan dit soort controles of keurmerken in deze specifieke sector.
Rudie_V 31 december 2008 14:12
Het was toch allang eerder aangetoond dat SHA-0 en MD5 een zwakte hadden in hun algoritmes?
nieuws: SHA-0 niet 100% veilig, ook MD5 en SHA-1 wellicht zwak
nieuws: Nieuwe berichten over mogelijke gebreken MD5-algoritme
Heeft wel een tijdje geduurt voordat ze er vanaf stappen dan. Denk dat waar security op en top moest zijn MD5 en SHA-0 al lang niet meer werden gebruikt en al SHA-1 al gebruikt werd.
Anoniem: 149075 31 december 2008 15:07
RapidSSL.... niet goedkoop maar duurkoop dus ;) (eigenlijk dan)
eborn @Anoniem: 14907531 december 2008 20:12
Ik snap het niet helemaal, want de certificaten die ik eind vorig jaar bij RapidSSL aangevraagd heb, bevatte al SHA1....
zeroxcool @eborn1 januari 2009 04:12
Het gaan om certificaten uitgegeven voordat men geswitched is naar SHA-1.
Floxcie 31 december 2008 15:30
Tegenwoordig kan bijna alles ge-hacked worden en zouden er eigenlijk als het ware Developer Updates moeten verschijnen om bugs, lekken en dergelijke te fixen.

Er zullen ongetwijfeld criminele organisaties hiervan profiteren. :'(
VisionMaster @Floxcie31 december 2008 16:29
De fix hiervoor bestond al in de jaren 90. De officiele publicatie van feitelijke gevaar kwam al redelijk laat pas in 2004 flink aan het licht.

In dit geval vind ik het crimineel dat er bedrijven wel geld willen vangen voor de uitgifte via hun infrastructuur, maar dat ze niet de verantwoordelijkheid nemen voor hun product. Dat heeft niets te maken met ontwikkelaars, gehackt worden van dingen en bugs.

Dit heet marketing en ondernemen: hoe kan je zo efficient mogelijk winst maken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq