Fox-IT: elf gegenereerde RSA 512-certificaten al lang misbruikt

Fox-IT heeft in totaal elf certificaten gevonden die al vele maanden daadwerkelijk werden misbruikt. Volgens het beveiligingsbedrijf zijn de certificaten niet gestolen, maar konden ze door de zwakke RSA-512-versleuteling worden gegenereerd.

Vorige week werd een certificaat in malware gevonden dat ondertekend leek met een sleutel van de Maleisische overheid. F-Secure meldde toen dat het certificaat waarschijnlijk gestolen was. Volgens beveiligingsbedrijf Fox-IT zei Mikko Hypponen van F-Secure op de Govcert-conferentie van vorige week echter dat er waarschijnlijk geen sprake was van diefstal.

Fox-IT wijst erop dat Microsoft en Mozilla eerder het vertrouwen in de autoriteit Digicert Sdn. Bhd. hadden opgezegd, omdat deze organisatie uit Maleisië certificaten met gebrekkige beveiliging had uitgegeven. De encryptie zou zwak zijn, het doel zou niet gespecificeerd zijn en er zou geen geldigheidsduur zijn meegegeven.

Het Nederlandse beveiligingsbedrijf zegt nu dit jaar negen certificaten gevonden te hebben die in het wild gebruikt werden om malware te signeren en dat er nog twee exemplaren aangedragen werden door een externe partij. Het betrof in alle gevallen RSA 512bit-certificaten en in één geval werd het certificaat al in augustus 2010 gevonden en misschien al in maart van dat jaar gebruikt. Kwaadwillenden zouden de zwakke certificaten zelf hebben weten te genereren.

De RSA 512-beveiliging is al sinds tijden ontoereikend. De eerste keer dat een 512bits getal in priemgetallen werd ontbonden is al twaalf jaar geleden en tegenwoordig kan dit door de toegenomen rekenkracht in enkele weken tot zelfs enkele dagen. Fox-IT neemt het Microsoft kwalijk dat het bedrijf niet eerder ingegrepen heeft en verificatie van uitvoerbare bestanden met de zwakke certificaten heeft tegengehouden.

IT-banen

Reacties (15)

Chilly_Willy 22 november 2011 16:11

RSA-512 moet niet meer gezien worden als veilig en dus ook niet meer gebruikt worden in moderne browsers en andere toepassingen.

[Reactie gewijzigd door Chilly_Willy op 27 juli 2024 06:26]

Verwijderd @Chilly_Willy • 22 november 2011 16:48

Veilig voor wat? Ik vind dat je dit nooit op 1 stapel mag gooien.

Voor mijn bankgegevens heb ik graag een zo hoog mogelijke beveiliging, dat ik 2 sec per page moet wachten is mij dat waard. Voor een gamesite is RSA-512 misschien zelfs wel afdoende.

Ik ben het met je eens dat de RSA-512 eigenlijk jaren geleden al uitgefaseerd had moeten worden uit de meeste toepassingen, maar er zijn afdoende dingen die naar 2 dagen al hun waarde al kwijt zijn (zoals beursdata, bedrijven betalen miljoenen om deze data 5 ms eerder te ontvangen ivm met die wisselaankopen waarbij de koop en verkoop in dezelfde seconde plaatsvind). Dergelijke data wil je beveiligen, maar snelheid is prio-1. Wanneer het bruteforcen van zo'n certificaat 2 dagen kost en je als bedrijf gewoon elke dag een nieuw 512 certificaat gebruikt (self-signed) is je data veilig genoeg. Als je daar een RSA-2048 zou gebruiken zou je die 5 ms alleen daardoor al kwijt zijn. (ik weet niet hoeveel ms een encoding 2048 meer kost dan een 512, maar ik kan me voorstellen dat de tijd die hiervoor nodig gewoon hoger uitvalt).

bwerg @Verwijderd • 22 november 2011 19:28

(ik weet niet hoeveel ms een encoding 2048 meer kost dan een 512, maar ik kan me voorstellen dat de tijd die hiervoor nodig gewoon hoger uitvalt)

Die tijd neemt exponentieel toe. Toevallig afgelopen week een college gehad waarbij RSA-encrypties uitgevoerd werden, 512 en 1024 ging in een fractie van een seconde en 8192 duurde een half college. Maar goed, ook de moeilijkheidsgraad om het te kraken neemt enorm toe, dus je kan wel praktisch 100% onkraakbaarheid krijgen terwijl je je eigen rekentijd binnen de perken houdt.

sirdupre @bwerg • 22 november 2011 21:15

Volgens RSA zelf* is de ergste looptijd O(k^4), met k het aantal bits. Dat is verre van exponentieel. Je factor zou absurd klein moeten zijn voordat je met een exponent van 8192 een hoeveelheid tijd krijgt die uberhaupt binnen een college past.

Sterker nog, als je een theoretisch bewijs levert dat het kraken van RSA niet efficienter kan dan exponentiële tijd (of uberhaupt iets superpolynomiaals), dan heb je P != NP bewezen en mag je een miljoen dollar ophalen in de VS.

* http://www.rsa.com/rsalabs/node.asp?id=2215

@iffy: Het ging over het encoderen, dat is een heel ander verhaal dan een sleutel genereren (dat doe je ook niet zo vaak). En cryptografie zou natuurlijk een beetje nutteloos zijn als kraken sneller gaat dan encoderen.

[Reactie gewijzigd door sirdupre op 27 juli 2024 06:26]

iffy @sirdupre • 22 november 2011 21:48

Volgens mij bedoelde hij het genereren niet het kraken.

pe1dnn @Chilly_Willy • 22 november 2011 17:52

Als je informatie hebt die binnen een uur verouderd is kan dit nog best. Beveiliging is vrijwel nooit voor de eeuwigheid. Bijvoorbeeld informatie over een politie actie is alleen maar geheim zolang de actie nog niet is uitgevoerd, zodra de actie gaande is of achter de rug is dan is beveiliging ervan niet meer relevant, het is dan inmiddels publiek geworden.

Als ik nu koersgevoelige beursinformatie heb voor een grote aankondiging op de beurs van morgen dan kan ik die nog best versleutelen met RSA-512. Immers kraken kan "door de toegenomen rekenkracht in enkele weken tot zelfs enkele dagen', dus zolang dat nog niet morgen is, is de data nu nog prima beveiligd en is er nog niemand die binnen die tijd de code kan breken.

Neem als analogie een cijferslot van een kluis met 4 cijfers. Die is prima te kraken want er zijn maar 10000 mogelijkheden, als je 1 poging per seconde kan doen en alle codes 1 voor 1 probeert kom je er uiteindelijk wel. Met gemiddeld 5000 pogingen heb je dan 1:24 nodig. Echter zolang een dief de kluis niet kan openen voordat de politie op de stoep staat is dat afdoende. Die kluis is dus nog prima voor overvallers met haast, ondanks de zeer zwakke beveiliging.

Oerdond3r @Chilly_Willy • 22 november 2011 16:17

Dat kon ik ook wel uit het artikel opmaken

Vinnienerd @Oerdond3r • 22 november 2011 16:50

Klopt, maar de eerste reacties op T.net artikelen zijn altijd ontzettend open deuren die ingetrapt worden.

Rob Coops

Encryptie

22 november 2011 16:48

Toch gek dat nu we eindelijk ook in de simpelere pers (zelfs de telegraaf bericht er tegenwoordig over) ICT beveiligingsproblemen melden er steeds meer vingers naar bedrijven als Microsoft wijzen in verband met het niet snel genoeg reageren op mogelijke dreigingen.

Het is wel zo en dat moet denk ik iedere computer gebruiker in middels wel toegeven dat de code die Microsoft op levert tegenwoordig een heleboel veiliger is dan wat men eens schreef. De omslag bij Microsoft op dat vlak kwam pas toen men in zag dat het bedrijf echt ten onder zou gaan als men niet in actie kwam.
Ik vermoed dat ook nu als we maar lang genoeg en vaak genoeg dit soort problemen breed in de pers uit meten zal Microsoft ook deze problemen eerder aan gaan pakken.

Ik blijf het opmerkelijk vinden dat er nog steeds zo veel bedrijven zijn die voor hun certificaten op kleine lokale bedrijfjes vertrouwen, sterker nog zelfs overheden doen dat en het wordt steeds duidelijker dat het zo niet langer kan.
Het wordt hoog tijd dat men op mondiaal niveau (VN waarschijnlijk) een clubje mensen neer zet die bepaald welke standaarden er gebruikt kunnen worden en welke er niet meer veilig genoeg zijn. Alle bedrijven die software maken die deze certificaten moet accepteren moeten dan de lijst met "veilige" certificaten accepteren en de rest simpel weg negeren.

De truck is dan simpel van af datum X kan RSA-512 niet meer. En dus zijn alle certificaten die hier gebruik van maken na die datum simpel weg nutteloos. Ook zijn natuurlijk certificaten met een oneindige houdbaarheid niet te accepteren etc...
Het kan toch niet zo moeilijk zijn om dit soort dingen te regelen op een wereldwijd niveau. Natuurlijk kunnen landen als nog zelf besluiten dat zij gebruik willen maken van XYZ ook al staat dat nog niet of niet meer op de goed gekeurde lijst, maar in dat geval kunnen ze dat niet van buitenlandse bedrijven eisen maar hoog uit dit op landelijk niveau regelen.

We moeten uiteindelijk op een punt uit komen waar we niet duizenden maar maximaal 220 (een voor ieder land) autoriteiten hebben die certificaten uit kunnen geven. Vervolgens moeten al deze autoriteiten zich houden aan de zelfde regels voor veiligheid iets wat ook voor bedrijven moet gelden die deze certificaten wel of niet vertrouwen.

Als nog is het geen sluitende oplossing maar het zou een heleboel beter zijn dan de bende die we nu hebben.

Xubby @Rob Coops • 22 november 2011 17:40

[...]
Ik blijf het opmerkelijk vinden dat er nog steeds zo veel bedrijven zijn die voor hun certificaten op kleine lokale bedrijfjes vertrouwen, sterker nog zelfs overheden doen dat en het wordt steeds duidelijker dat het zo niet langer kan.
Het wordt hoog tijd dat men op mondiaal niveau (VN waarschijnlijk) een clubje mensen neer zet die bepaald welke standaarden er gebruikt kunnen worden en welke er niet meer veilig genoeg zijn. Alle bedrijven die software maken die deze certificaten moet accepteren moeten dan de lijst met "veilige" certificaten accepteren en de rest simpel weg negeren.
[...]

Dat lijkt me dus niet de weg.
Zie DigiNotar: een door de staat "goedgekeurde" certificaten verstrekker die niet bleek te deugen.
En nu moeten staten een "gegarandeerd goede" certificaten verstrekker in het leven roepen?

Wil ik toch even een harde noot over kraken: Stel dat de (NL) een certificaten verstrekker optuigt.
Vraag: wie gaat dan een (b.v. sql-injectie bestendige) website maken om die dingen te kunnen aanvragen?

Ik bedoel maar ...
Eisen stellen aan certificaten verstrekkers: prima. Een "staats certificaten verstrekker:" nee dank u vriendelijk.

thegve @Xubby • 22 november 2011 20:30

Het is erg populair om de overheid te ranten wat hun kennis van IT betreft, maar als je dit bij particuliere organisaties neerlegt met alleen wat door dezelfde overheid (waarvan jij de IT kennis niet vertrouwd) opgelegde eisen lijkt mij nog minder.
Het particuliere bedrijfje, met primair een winstoogmerk (dus minder kosten = meer winst), hoeft alleen maar te zeggen en beperkt te bewijzen dat ze aan voorwaarden voldoen, en ze kunnen binnen lopen. Worden ze 'betrapt', dan moeten ze een boete bepalen.
Ik heb bij voldoende particuliere bedrijven gewerkt om te weten dat er in de praktijk altijd een afweging is tot wat het risico is (boete, imagoschade), wat het kost om aan een bepaalde eis te voldoen, en wat het risico is om 'gepakt' te worden. Bij een 'volledig redundant' netwerk kun je bijvoorbeeld net zo makkelijk claimen dat deze in de praktijk niet bleek te werken, sorry, we testen in de toekomst wel beter, hier heb je het boetegeld. Zo kan je dat ook bij veel veiligheidseisen wel doen.

Zer0 @Rob Coops • 22 november 2011 17:03

De truck is dan simpel van af datum X kan RSA-512 niet meer. En dus zijn alle certificaten die hier gebruik van maken na die datum simpel weg nutteloos.

Leuk en aardig, maar wat dan met de certificaten die ik zelf intern gebruik? Moet ik die ook maar verplicht vervangen omdat anderen dat zo graag willen, terwijl er helemaal geen risico aan vast zit?

locke960 22 november 2011 17:40

Weer een "trusted certificate authority" die de bal laat vallen.
Dit zegt meer over het failliet van het huidige certificaten systeem dan over over RSA-512.

sambalbaj @locke960 • 22 november 2011 19:55

het certificaten systeem is ook helemaal niet meer van deze tijd en is vaak erg lek, of de controle staat gewoonweg uit.

Zie ook dit stuk wat dat heel helder uiteen zet:
http://www.security.nl/ar.../De_implosie_van_PKI.html

Verwijderd 22 november 2011 22:19

1024 bit RSA kan ook al niet meer, maar goed,
Ge-signde software/drivers is zowiezo al schijn veiligheid.

Deze gesignde malware is niet het enige voorbeeld.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (15)

Sorteer op:

Weergave: