Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt
Fox-IT heeft in totaal elf certificaten gevonden die al vele maanden daadwerkelijk werden misbruikt. Volgens het beveiligingsbedrijf zijn de certificaten niet gestolen, maar konden ze door de zwakke RSA-512-versleuteling worden gegenereerd.
Vorige week werd een certificaat in malware gevonden dat ondertekend leek met een sleutel van de Maleisische overheid. F-Secure meldde toen dat het certificaat waarschijnlijk gestolen was. Volgens beveiligingsbedrijf Fox-IT zei Mikko Hypponen van F-Secure op de Govcert-conferentie van vorige week echter dat er waarschijnlijk geen sprake was van diefstal.
Fox-IT wijst erop dat Microsoft en Mozilla eerder het vertrouwen in de autoriteit Digicert Sdn. Bhd. hadden opgezegd, omdat deze organisatie uit Maleisië certificaten met gebrekkige beveiliging had uitgegeven. De encryptie zou zwak zijn, het doel zou niet gespecificeerd zijn en er zou geen geldigheidsduur zijn meegegeven.
Het Nederlandse beveiligingsbedrijf zegt nu dit jaar negen certificaten gevonden te hebben die in het wild gebruikt werden om malware te signeren en dat er nog twee exemplaren aangedragen werden door een externe partij. Het betrof in alle gevallen RSA 512bit-certificaten en in één geval werd het certificaat al in augustus 2010 gevonden en misschien al in maart van dat jaar gebruikt. Kwaadwillenden zouden de zwakke certificaten zelf hebben weten te genereren.
De RSA 512-beveiliging is al sinds tijden ontoereikend. De eerste keer dat een 512bits getal in priemgetallen werd ontbonden is al twaalf jaar geleden en tegenwoordig kan dit door de toegenomen rekenkracht in enkele weken tot zelfs enkele dagen. Fox-IT neemt het Microsoft kwalijk dat het bedrijf niet eerder ingegrepen heeft en verificatie van uitvoerbare bestanden met de zwakke certificaten heeft tegengehouden.
Reacties (15)
RSA-512 moet niet meer gezien worden als veilig en dus ook niet meer gebruikt worden in moderne browsers en andere toepassingen.
[Reactie gewijzigd door Chilly_Willy op 22 november 2011 16:12]
Dat kon ik ook wel uit het artikel opmaken
Klopt, maar de eerste reacties op T.net artikelen zijn altijd ontzettend open deuren die ingetrapt worden.
Veilig voor wat? Ik vind dat je dit nooit op 1 stapel mag gooien.
Voor mijn bankgegevens heb ik graag een zo hoog mogelijke beveiliging, dat ik 2 sec per page moet wachten is mij dat waard. Voor een gamesite is RSA-512 misschien zelfs wel afdoende.
Ik ben het met je eens dat de RSA-512 eigenlijk jaren geleden al uitgefaseerd had moeten worden uit de meeste toepassingen, maar er zijn afdoende dingen die naar 2 dagen al hun waarde al kwijt zijn (zoals beursdata, bedrijven betalen miljoenen om deze data 5 ms eerder te ontvangen ivm met die wisselaankopen waarbij de koop en verkoop in dezelfde seconde plaatsvind). Dergelijke data wil je beveiligen, maar snelheid is prio-1. Wanneer het bruteforcen van zo'n certificaat 2 dagen kost en je als bedrijf gewoon elke dag een nieuw 512 certificaat gebruikt (self-signed) is je data veilig genoeg. Als je daar een RSA-2048 zou gebruiken zou je die 5 ms alleen daardoor al kwijt zijn. (ik weet niet hoeveel ms een encoding 2048 meer kost dan een 512, maar ik kan me voorstellen dat de tijd die hiervoor nodig gewoon hoger uitvalt).
Voor mijn bankgegevens heb ik graag een zo hoog mogelijke beveiliging, dat ik 2 sec per page moet wachten is mij dat waard. Voor een gamesite is RSA-512 misschien zelfs wel afdoende.
Ik ben het met je eens dat de RSA-512 eigenlijk jaren geleden al uitgefaseerd had moeten worden uit de meeste toepassingen, maar er zijn afdoende dingen die naar 2 dagen al hun waarde al kwijt zijn (zoals beursdata, bedrijven betalen miljoenen om deze data 5 ms eerder te ontvangen ivm met die wisselaankopen waarbij de koop en verkoop in dezelfde seconde plaatsvind). Dergelijke data wil je beveiligen, maar snelheid is prio-1. Wanneer het bruteforcen van zo'n certificaat 2 dagen kost en je als bedrijf gewoon elke dag een nieuw 512 certificaat gebruikt (self-signed) is je data veilig genoeg. Als je daar een RSA-2048 zou gebruiken zou je die 5 ms alleen daardoor al kwijt zijn. (ik weet niet hoeveel ms een encoding 2048 meer kost dan een 512, maar ik kan me voorstellen dat de tijd die hiervoor nodig gewoon hoger uitvalt).
Die tijd neemt exponentieel toe. Toevallig afgelopen week een college gehad waarbij RSA-encrypties uitgevoerd werden, 512 en 1024 ging in een fractie van een seconde en 8192 duurde een half college. Maar goed, ook de moeilijkheidsgraad om het te kraken neemt enorm toe, dus je kan wel praktisch 100% onkraakbaarheid krijgen terwijl je je eigen rekentijd binnen de perken houdt.(ik weet niet hoeveel ms een encoding 2048 meer kost dan een 512, maar ik kan me voorstellen dat de tijd die hiervoor nodig gewoon hoger uitvalt)
Volgens RSA zelf* is de ergste looptijd O(k^4), met k het aantal bits. Dat is verre van exponentieel. Je factor zou absurd klein moeten zijn voordat je met een exponent van 8192 een hoeveelheid tijd krijgt die uberhaupt binnen een college past.
Sterker nog, als je een theoretisch bewijs levert dat het kraken van RSA niet efficienter kan dan exponentiële tijd (of uberhaupt iets superpolynomiaals), dan heb je P != NP bewezen en mag je een miljoen dollar ophalen in de VS.
* http://www.rsa.com/rsalabs/node.asp?id=2215
@iffy: Het ging over het encoderen, dat is een heel ander verhaal dan een sleutel genereren (dat doe je ook niet zo vaak). En cryptografie zou natuurlijk een beetje nutteloos zijn als kraken sneller gaat dan encoderen.
Sterker nog, als je een theoretisch bewijs levert dat het kraken van RSA niet efficienter kan dan exponentiële tijd (of uberhaupt iets superpolynomiaals), dan heb je P != NP bewezen en mag je een miljoen dollar ophalen in de VS.
* http://www.rsa.com/rsalabs/node.asp?id=2215
@iffy: Het ging over het encoderen, dat is een heel ander verhaal dan een sleutel genereren (dat doe je ook niet zo vaak). En cryptografie zou natuurlijk een beetje nutteloos zijn als kraken sneller gaat dan encoderen.
[Reactie gewijzigd door sirdupre op 23 november 2011 08:53]
Volgens mij bedoelde hij het genereren niet het kraken.
Als je informatie hebt die binnen een uur verouderd is kan dit nog best. Beveiliging is vrijwel nooit voor de eeuwigheid. Bijvoorbeeld informatie over een politie actie is alleen maar geheim zolang de actie nog niet is uitgevoerd, zodra de actie gaande is of achter de rug is dan is beveiliging ervan niet meer relevant, het is dan inmiddels publiek geworden.
Als ik nu koersgevoelige beursinformatie heb voor een grote aankondiging op de beurs van morgen dan kan ik die nog best versleutelen met RSA-512. Immers kraken kan "door de toegenomen rekenkracht in enkele weken tot zelfs enkele dagen', dus zolang dat nog niet morgen is, is de data nu nog prima beveiligd en is er nog niemand die binnen die tijd de code kan breken.
Neem als analogie een cijferslot van een kluis met 4 cijfers. Die is prima te kraken want er zijn maar 10000 mogelijkheden, als je 1 poging per seconde kan doen en alle codes 1 voor 1 probeert kom je er uiteindelijk wel. Met gemiddeld 5000 pogingen heb je dan 1:24 nodig. Echter zolang een dief de kluis niet kan openen voordat de politie op de stoep staat is dat afdoende. Die kluis is dus nog prima voor overvallers met haast, ondanks de zeer zwakke beveiliging.
Als ik nu koersgevoelige beursinformatie heb voor een grote aankondiging op de beurs van morgen dan kan ik die nog best versleutelen met RSA-512. Immers kraken kan "door de toegenomen rekenkracht in enkele weken tot zelfs enkele dagen', dus zolang dat nog niet morgen is, is de data nu nog prima beveiligd en is er nog niemand die binnen die tijd de code kan breken.
Neem als analogie een cijferslot van een kluis met 4 cijfers. Die is prima te kraken want er zijn maar 10000 mogelijkheden, als je 1 poging per seconde kan doen en alle codes 1 voor 1 probeert kom je er uiteindelijk wel. Met gemiddeld 5000 pogingen heb je dan 1:24 nodig. Echter zolang een dief de kluis niet kan openen voordat de politie op de stoep staat is dat afdoende. Die kluis is dus nog prima voor overvallers met haast, ondanks de zeer zwakke beveiliging.
Toch gek dat nu we eindelijk ook in de simpelere pers (zelfs de telegraaf bericht er tegenwoordig over) ICT beveiligingsproblemen melden er steeds meer vingers naar bedrijven als Microsoft wijzen in verband met het niet snel genoeg reageren op mogelijke dreigingen.
Het is wel zo en dat moet denk ik iedere computer gebruiker in middels wel toegeven dat de code die Microsoft op levert tegenwoordig een heleboel veiliger is dan wat men eens schreef. De omslag bij Microsoft op dat vlak kwam pas toen men in zag dat het bedrijf echt ten onder zou gaan als men niet in actie kwam.
Ik vermoed dat ook nu als we maar lang genoeg en vaak genoeg dit soort problemen breed in de pers uit meten zal Microsoft ook deze problemen eerder aan gaan pakken.
Ik blijf het opmerkelijk vinden dat er nog steeds zo veel bedrijven zijn die voor hun certificaten op kleine lokale bedrijfjes vertrouwen, sterker nog zelfs overheden doen dat en het wordt steeds duidelijker dat het zo niet langer kan.
Het wordt hoog tijd dat men op mondiaal niveau (VN waarschijnlijk) een clubje mensen neer zet die bepaald welke standaarden er gebruikt kunnen worden en welke er niet meer veilig genoeg zijn. Alle bedrijven die software maken die deze certificaten moet accepteren moeten dan de lijst met "veilige" certificaten accepteren en de rest simpel weg negeren.
De truck is dan simpel van af datum X kan RSA-512 niet meer. En dus zijn alle certificaten die hier gebruik van maken na die datum simpel weg nutteloos. Ook zijn natuurlijk certificaten met een oneindige houdbaarheid niet te accepteren etc...
Het kan toch niet zo moeilijk zijn om dit soort dingen te regelen op een wereldwijd niveau. Natuurlijk kunnen landen als nog zelf besluiten dat zij gebruik willen maken van XYZ ook al staat dat nog niet of niet meer op de goed gekeurde lijst, maar in dat geval kunnen ze dat niet van buitenlandse bedrijven eisen maar hoog uit dit op landelijk niveau regelen.
We moeten uiteindelijk op een punt uit komen waar we niet duizenden maar maximaal 220 (een voor ieder land) autoriteiten hebben die certificaten uit kunnen geven. Vervolgens moeten al deze autoriteiten zich houden aan de zelfde regels voor veiligheid iets wat ook voor bedrijven moet gelden die deze certificaten wel of niet vertrouwen.
Als nog is het geen sluitende oplossing maar het zou een heleboel beter zijn dan de bende die we nu hebben.
Het is wel zo en dat moet denk ik iedere computer gebruiker in middels wel toegeven dat de code die Microsoft op levert tegenwoordig een heleboel veiliger is dan wat men eens schreef. De omslag bij Microsoft op dat vlak kwam pas toen men in zag dat het bedrijf echt ten onder zou gaan als men niet in actie kwam.
Ik vermoed dat ook nu als we maar lang genoeg en vaak genoeg dit soort problemen breed in de pers uit meten zal Microsoft ook deze problemen eerder aan gaan pakken.
Ik blijf het opmerkelijk vinden dat er nog steeds zo veel bedrijven zijn die voor hun certificaten op kleine lokale bedrijfjes vertrouwen, sterker nog zelfs overheden doen dat en het wordt steeds duidelijker dat het zo niet langer kan.
Het wordt hoog tijd dat men op mondiaal niveau (VN waarschijnlijk) een clubje mensen neer zet die bepaald welke standaarden er gebruikt kunnen worden en welke er niet meer veilig genoeg zijn. Alle bedrijven die software maken die deze certificaten moet accepteren moeten dan de lijst met "veilige" certificaten accepteren en de rest simpel weg negeren.
De truck is dan simpel van af datum X kan RSA-512 niet meer. En dus zijn alle certificaten die hier gebruik van maken na die datum simpel weg nutteloos. Ook zijn natuurlijk certificaten met een oneindige houdbaarheid niet te accepteren etc...
Het kan toch niet zo moeilijk zijn om dit soort dingen te regelen op een wereldwijd niveau. Natuurlijk kunnen landen als nog zelf besluiten dat zij gebruik willen maken van XYZ ook al staat dat nog niet of niet meer op de goed gekeurde lijst, maar in dat geval kunnen ze dat niet van buitenlandse bedrijven eisen maar hoog uit dit op landelijk niveau regelen.
We moeten uiteindelijk op een punt uit komen waar we niet duizenden maar maximaal 220 (een voor ieder land) autoriteiten hebben die certificaten uit kunnen geven. Vervolgens moeten al deze autoriteiten zich houden aan de zelfde regels voor veiligheid iets wat ook voor bedrijven moet gelden die deze certificaten wel of niet vertrouwen.
Als nog is het geen sluitende oplossing maar het zou een heleboel beter zijn dan de bende die we nu hebben.
Leuk en aardig, maar wat dan met de certificaten die ik zelf intern gebruik? Moet ik die ook maar verplicht vervangen omdat anderen dat zo graag willen, terwijl er helemaal geen risico aan vast zit?De truck is dan simpel van af datum X kan RSA-512 niet meer. En dus zijn alle certificaten die hier gebruik van maken na die datum simpel weg nutteloos.
Dat lijkt me dus niet de weg.[...]
Ik blijf het opmerkelijk vinden dat er nog steeds zo veel bedrijven zijn die voor hun certificaten op kleine lokale bedrijfjes vertrouwen, sterker nog zelfs overheden doen dat en het wordt steeds duidelijker dat het zo niet langer kan.
Het wordt hoog tijd dat men op mondiaal niveau (VN waarschijnlijk) een clubje mensen neer zet die bepaald welke standaarden er gebruikt kunnen worden en welke er niet meer veilig genoeg zijn. Alle bedrijven die software maken die deze certificaten moet accepteren moeten dan de lijst met "veilige" certificaten accepteren en de rest simpel weg negeren.
[...]
Zie DigiNotar: een door de staat "goedgekeurde" certificaten verstrekker die niet bleek te deugen.
En nu moeten staten een "gegarandeerd goede" certificaten verstrekker in het leven roepen?
Wil ik toch even een harde noot over kraken: Stel dat de (NL) een certificaten verstrekker optuigt.
Vraag: wie gaat dan een (b.v. sql-injectie bestendige) website maken om die dingen te kunnen aanvragen?
Ik bedoel maar ...
Eisen stellen aan certificaten verstrekkers: prima. Een "staats certificaten verstrekker:" nee dank u vriendelijk.
Het is erg populair om de overheid te ranten wat hun kennis van IT betreft, maar als je dit bij particuliere organisaties neerlegt met alleen wat door dezelfde overheid (waarvan jij de IT kennis niet vertrouwd) opgelegde eisen lijkt mij nog minder.
Het particuliere bedrijfje, met primair een winstoogmerk (dus minder kosten = meer winst), hoeft alleen maar te zeggen en beperkt te bewijzen dat ze aan voorwaarden voldoen, en ze kunnen binnen lopen. Worden ze 'betrapt', dan moeten ze een boete bepalen.
Ik heb bij voldoende particuliere bedrijven gewerkt om te weten dat er in de praktijk altijd een afweging is tot wat het risico is (boete, imagoschade), wat het kost om aan een bepaalde eis te voldoen, en wat het risico is om 'gepakt' te worden. Bij een 'volledig redundant' netwerk kun je bijvoorbeeld net zo makkelijk claimen dat deze in de praktijk niet bleek te werken, sorry, we testen in de toekomst wel beter, hier heb je het boetegeld. Zo kan je dat ook bij veel veiligheidseisen wel doen.
Het particuliere bedrijfje, met primair een winstoogmerk (dus minder kosten = meer winst), hoeft alleen maar te zeggen en beperkt te bewijzen dat ze aan voorwaarden voldoen, en ze kunnen binnen lopen. Worden ze 'betrapt', dan moeten ze een boete bepalen.
Ik heb bij voldoende particuliere bedrijven gewerkt om te weten dat er in de praktijk altijd een afweging is tot wat het risico is (boete, imagoschade), wat het kost om aan een bepaalde eis te voldoen, en wat het risico is om 'gepakt' te worden. Bij een 'volledig redundant' netwerk kun je bijvoorbeeld net zo makkelijk claimen dat deze in de praktijk niet bleek te werken, sorry, we testen in de toekomst wel beter, hier heb je het boetegeld. Zo kan je dat ook bij veel veiligheidseisen wel doen.
Weer een "trusted certificate authority" die de bal laat vallen.
Dit zegt meer over het failliet van het huidige certificaten systeem dan over over RSA-512.
Dit zegt meer over het failliet van het huidige certificaten systeem dan over over RSA-512.
het certificaten systeem is ook helemaal niet meer van deze tijd en is vaak erg lek, of de controle staat gewoonweg uit.
Zie ook dit stuk wat dat heel helder uiteen zet:
http://www.security.nl/ar.../De_implosie_van_PKI.html
Zie ook dit stuk wat dat heel helder uiteen zet:
http://www.security.nl/ar.../De_implosie_van_PKI.html
1024 bit RSA kan ook al niet meer, maar goed,
Ge-signde software/drivers is zowiezo al schijn veiligheid.
Deze gesignde malware is niet het enige voorbeeld.
Ge-signde software/drivers is zowiezo al schijn veiligheid.
Deze gesignde malware is niet het enige voorbeeld.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets E3 2013 Mobiele telefoons Google Sony Apple Microsoft Games Politiek en recht Consoles
© 1998 - 2013 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl • Hosting door True
