Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Submitter: vanbroup

Microsoft is van plan om begin 2016 te starten met het uitfaseren van ondersteuning voor het sha-1-hashing-algoritme. Windows-software die is ondertekend met een certificaat, en websites in Internet Explorer en Chrome, worden dan alleen vertrouwd met een sha-2-hash.

MicrosoftHoewel 98 procent van de ssl-certificaten volgens Microsoft het sha-1-hashingalgoritme gebruikt, heeft het bedrijf toch besloten om het pensioen voor het algoritme alvast aan te kondigen. Volgens Microsoft is het algoritme hard op weg om net zo achterhaald te worden als het md5-algoritme. Hoewel er voor zover bekend nog geen succesvolle exploits voor sha-1 bestaan, werden in 2005 al kwetsbaarheden gevonden en in 2010 werd de Amerikaanse overheid in veel gevallen al gedwongen om over te stappen op het veiligere, maar nog niet overal geïmplementeerde sha-2.

Certificaatautoriteiten moeten per 1 januari 2016 stoppen met het uitgeven van certificaten waarin sha-1 wordt gebruikt, aldus Microsoft. Dat geldt voor certificaten die worden gebruikt voor ssl/tls en het ondertekenen van software die op Windows draait. Bestaande ssl-certificaten met sha-1 worden na 1 januari 2017 niet meer ondersteund; dat heeft gevolgen voor gebruikers van Internet Explorer en Chrome. Firefox heeft een eigen certificatendatabase. Certificaten die voor het ondertekenen van software worden gebruikt worden na 1 januari 2016 alleen geaccepteerd als ze al voor die tijd waren uitgegeven, totdat Microsoft besluit dat het sha-1-algoritme echt volledig gekraakt is.

Alle certificaten zouden vanaf nu met het veiligere sha-2-algoritme moeten worden uitgegeven, aldus Microsoft. Dat heeft gevolgen voor gebruikers van oude software: Service Pack 2 van Windows XP en eerdere Windows-versies ondersteunen geen sha-2. Overigens zal Microsoft de situatie in 2015 opnieuw beoordelen en bepalen of de uitfasering wordt doorgezet.

Sha-1 is een hashing-algoritme, dat wordt gebruikt om de integriteit van een boodschap te kunnen verifiëren. Het kan onder meer worden gebruikt in ssl/tls. Daarbij is sha-1 dus niet verantwoordelijk voor het versleutelen van de boodschap: het algoritme wordt enkel gebruikt om er verzekerd van te zijn dat er niet met de boodschap is geknoeid. Dat is belangrijk, want bij bijvoorbeeld het beveiligen van internetbankieren draait het niet alleen om de versleuteling: er moet ook kunnen worden gecontroleerd of niemand de verbinding aftapt en weer opnieuw versleutelt. Zonder hashing-algoritmes zijn verbindingen wel versleuteld, maar is de vertrouwelijkheid van internetverkeer niet gewaarborgd.

Een hashing-algoritmes is achterhaald wanneer misbruik kan worden gemaakt van hash collisions: dat is het geval wanneer meerdere boodschappen over dezelfde hash beschikken. Als een aanvaller een boodschap zo weet te manipuleren dat de hash klopt, ondanks dat het bericht is gemanipuleerd, is de integriteit van de boodschap niet langer gewaarborgd. Er is nog geen concrete aanval op sha-1 bekend, maar onderzoek naar kwetsbaarheden in sha-1 neemt toe: vorig jaar wist de Nederlandse cryptografiedeskundige Marc Stevens van het CWI een verbeterde theoretische aanval op sha-1 te ontwikkelen.

"Er zijn aanvallen mogelijk die voor onderzoekers nu net buiten bereik liggen, maar die grote staten of beheerders van botnets wel kunnen bereiken", aldus Stevens tegen Tweakers. Volgens hem zijn aanvallen op sha-1 kostbaarder dan md5, omdat ze meer rekenkracht vergen, maar naar mate de rekenkracht groeit wordt het risico groter. Daarom is hij blij dat sha-1 wordt uitgefaseerd, maar dat dat pas in 2016 gebeurt is wellicht wat laat, vreest Stevens. "Ik ben bang dat we een beetje achter de feiten aanlopen", zegt Stevens, zoals bij md5 al eerder gebeurde: dat algoritme werd nog jaren gebruikt nadat er al concrete aanvallen waren. Stevens heeft een tool uitgebracht waarmee kan worden gecontroleerd of er is geknoeid met een hash.

Overigens waarschuwt Microsoft tegelijkertijd dat websites en bedrijven niet langer het rc4-encryptie-algoritme moeten gebruiken in ssl/tls-certificaten. Een veiligere keuze is aes-gcm, aldus Microsoft. Rc4 stamt uit 1987, maar het is al lange tijd duidelijk dat de random number generator van het algoritme niet goed werkt.

Moderatie-faq Wijzig weergave

Reacties (20)

En wanneer gaan ze nu eens eindelijk NTML volledig slopen? Zo lek als een mandje.
Als je computers hebt in het netwerk dat je beheert die iets draaien dat NTML (maakt niet uit welke versie) ondersteunt en met microsoft software is dat zo goed als alles, kun je gebruikers zelfs naar een externe website lokken en ze vervolgens laten authenticeren buiten hun eigen netwerk. Met NTML relaying ben je dan zo binnen op een netwerk omgeving.

Zie ook de tools die Zack Fasel aan het schrijven is om Microsoft te dwingen met een oplossing te komen.

DEFCON 20: Owned in 60 Seconds: From Network Guest to Windows Domain Admin

Ondertussen is ZackAttack! goed op weg om de FireSheep voor NTML authenticatie te worden. Het is nog allemaal alpha kwaliteit, maar het werkt ...

Microsoft maakt leuke software ... maar van beveiliging hebben ze dus echt geen kaas gegeten.

[Reactie gewijzigd door Kain_niaK op 13 november 2013 20:05]

Dit artikel gaat echter helemaal niet over beveiliging van je computer maar over beveiliging van je verbinding.
Ntlm is door ibm uitgevonden....
Sha-1 is, net als sha-2, ontworpen door de NSA.
Het is toch een beetje griezelig dat beiden ontworpen zijn door de NSA. Als ik het goed heb begrepen zijn zij ook mede verantwoordelijk voor de random number generator waarvan men verwacht dat de NSA een kwetsbaarheid heeft ingebouwd wat ze in staat stelt om random nummer te voorspellen (de RSA heeft recentelijk zelfs opgeroepen af te stappen van het NSA-algoritme). Als je dan toch overstapt op een nieuw hashing algortime, is het dan wellicht niet beter om over te stappen op eentje die niet is ontworpen door de NSA?

[Reactie gewijzigd door 4np op 14 november 2013 10:16]

Als je dan toch overstapt op een nieuw hashing algortime, is het dan wellicht niet beter om over te stappen op eentje die niet is ontworpen door de NSA?
Welkom, SHA-3 (Keccak). :)

Het is nog niet aangetoond dat SHA-2 kwetsbaarheden bevat en de industrie is op de achtergrond al een tijd bezig om hiernaar over te schakelen (SHA-2, of eigenlijk SHA-224, SHA-256, SHA-384 en SHA-512 hebben twaalf jaar nodig gehad om te komen waar ze nu zijn). Als je elk algoritme in de ban stopt waar het NIST bij betrokken was, dan hou je niet veel over dat breed wordt ondersteund.

[Reactie gewijzigd door The Zep Man op 13 november 2013 14:56]

Als je elk algoritme in de ban stopt waar het NIST bij betrokken was, dan hou je niet veel over dat breed wordt ondersteund.
Hoeveel heb je er nodig dan? Aan één goed hashing algoritme hebben we toch genoeg?

Ik ben het persoonlijk helemaal met 4np eens. Het is toch te waanzinnig om, nadat bekend is dat de NSA bewust kwetsbaarheden in encryptie algoritmen gestopt heeft, nog steeds over te stappen naar een algoritme waar zij bij betrokken zijn geweest??
[...]


Hoeveel heb je er nodig dan? Aan één goed hashing algoritme hebben we toch genoeg?
De definitie van 'goed' is niet alleen 'open en veilig', maar omvat ook 'het wordt gebruikt'. Het kip en ei probleem is hier volledig aanwezig. SHA-2 heeft 12 jaar (een lange tijd in IT landschap) nodig gehad om dit te bereiken. Het algoritme is open, het is niet aangetoond dat het onveilig is en het wordt ondersteund door veel (komende) apparatuur.
Ik ben het persoonlijk helemaal met 4np eens. Het is toch te waanzinnig om, nadat bekend is dat de NSA bewust kwetsbaarheden in encryptie algoritmen gestopt heeft, nog steeds over te stappen naar een algoritme waar zij bij betrokken zijn geweest??
Dat ze erbij betrokken zijn bewijst niet dat het algoritme kwetsbaarheden bevat. Vanuit een gezond verstand ga je natuurlijk liever voor iets waar de NSA niet bij betrokken was door hun onbetrouwbare positie in het verleden.

De keuze is niet aan een enkeling, maar moet door de hele industrie gedragen worden. En dan maakt rationaliteit vaak plaats voor geld op de korte termijn. Immers wordt SHA-2 ondersteund door de huidige/volgende generatie apparatuur (denk ook aan embedded spul, zoals smartcards) en moet diep in de geldbuidel getast worden om dit te vervangen met SHA-3. En niemand wilt die eerste stap maken, omdat de eerste partij die dit doet hier het meeste voor moet neerleggen. Een keuze om niet voor SHA-3 te gaan maar voor SHA-2 kan ook voortkomen doordat SHA-2 al 12 jaar heeft gehad om te rijpen, terwijl SHA-3 zich nog niet bewezen heeft. Dit levert een risico op bij investeringen.

En hoe raar het ook klinkt: objectief gezien is SHA-2 niet meteen onveilig omdat het van een partij komt dat wel eens bewust onveilige andere algoritmes heeft gemaakt. Dit telt ook mee in het beslisproces dat de industrie maakt.

[Reactie gewijzigd door The Zep Man op 13 november 2013 15:20]

Wie of wat kan je nog vertrouwen?
Houdt er wel rekening dat SHA2 al veel crypto analyse en academisch onderzoek heeft ondergaan waaruit geen kwetsbaarheden naar voren zijn gekopen en dat de Amerikanen hun eigen data met SHA2 beveiligen. Dat doe je niet als je weet dat er een kwetsbaarheid in zit. Dat wordt snel genoeg door Chinezen en anderen uitgevonden en ge/misbruikt.
Het nu nog blijven gebruiken van NSA-based algoritmes is eigenlijk geen beveiliging gebruiken. No way dat ze zelf een 100% veilig algoritme vrijgeven. Dat zou betekenen dat ze hun eigen versleuteling niet kunnen kraken en dat zou ze overbodig maken.

Het kan echter zijn dat de backdoor niet in het hash algoritme zit, maar in de versleuteling zelf en dan kunnen ze wel een veilig hash algoritme leveren en daarbij zeggen dat hun software geen backdoors bevat.

Een open algoritme zoals RipeMD-160 is al best lang beschikbaar en ontwikkeld door/aan de universiteit van Leuven. Dit is waarschijnlijk de reden dat een open-source pakket als TrueCrypt hierop is overgestapt. Het is echter wel minder goed getest dan SHA-2.

Daarnaast hebben commerciële bedrijven er moeite mee om over te stappen op community based algoritmes.

Toch is het jammer dat bedrijven gewoon een nieuwe versie van de NSA krijgen geleverd en weer overgaan tot de orde van de dag. Het feit dat jij de versleuteling niet kan kraken wil waarschijnlijk alleen maar zeggen dat de NSA zeer complexe methoden/backdoors gebruikt om de versleuteling te kraken.
Het nu nog blijven gebruiken van NSA-based algoritmes is eigenlijk geen beveiliging gebruiken. No way dat ze zelf een 100% veilig algoritme vrijgeven. Dat zou betekenen dat ze hun eigen versleuteling niet kunnen kraken en dat zou ze overbodig maken.
Daar ben ik het niet helemaal mee eens. Je moet nog steeds rekening houden met mensen buiten de NSA. Dat zij de SHA-2 kunnen kraken betekend niet gelijk dat het een onveilige keuze is die je maakt. Ik heb eerlijk gezegd liever dat NSA mijn gegevens binnen krijgt dan één of andere hacker die er veel ergere dingen mee wilt doen.

[Reactie gewijzigd door markinator op 13 november 2013 15:30]

Sorry beetje dom en naïef antwoord. Liever de NSA dan een andere hacker. Geef de NSA groen licht dat ze lekker in jou data mogen kijken. Beide zijn niet welkom in de data die jij beveiligd met een encryptie standaard. Het is van de gekke dat nadat we allemaal weten wat NSA kan en doet we gewoon verdergaan met nieuwe encryptie die door dat zelfde bedrijf gemaakt is. Om maar als voorbeeld te nemen diginotar in Beverwijk. Alwaar wij onze HTTPS certificaten vandaan haalde voor digiID. Stel nou dat digginotar nieuwe certificaten uit had gegeven, hadden ze dan nog recht om te bestaan, nee in mijn ogen niet. Precies het zelfde denk ik over NSA. Het is bekend dat ze backdoors gebruiken in encryptie methodes. Dan zou je al hun technieken uit faseren en met nieuwe encryptie technieken komen. NSA zou failliet moeten gaan en nooit meer terug komen net zoals Diginotar. Maar nee NSA is USA en aangezien Nederland nummer 1 meeloper is in de lijn van Amerika zal niemand ze mondje durven opendoen, bang dat als de US of EU een feit is dat ze dan geen mooi baantje toegeschoven krijgen. In de nieuwe wereld waar iedereen standaard verdachte is totdat het tegendeelbewezen is. Dit past heel goed in het straatje van dit Nederland politie staatje.
Maar als de NSA het kan, waarom zou dan een ander het niet kunnen?
RC4 is In firefox eenvoudig uit te zetten zetten

- type about:config in de adresbalk
-type RC4 in het zoekveld
-zet elke waarde op false

Wanneer je firefox opnieuw start is er geen verbinding met RC4 meer mogelijk.
Wat nog ontbreekt in het aritkel is dat IE11 voortaan met alle sites probeert een non-RC4 encryptie algorimte aan te gaan.
Hoewel nu nog 57% van de sites dit als voorkeur heeft ingesteld kan 96% van alle sites al met moderne algoritmes omgaan.
IE11 zal daarom altijd eerste een modernen algorimte gebryuiken in de handshake en alleen voor de nog 4 procent sites die rc4 vereeisen terugvallen op TLS 1.0 or SSL 3.0 die werken met dat algoritme.

IE11 gaat ook als eerste browser default TLS 1.2 gebruiken (die gebruikt het AES-GCM encryptie algoritme).

zie ook:
http://blogs.msdn.com/b/i...tes-continue-to-work.aspx

[Reactie gewijzigd door 80466 op 13 november 2013 16:05]

Jammer dat AES-CCM veiliger is in Europese ogen. bron. In mijn testing op kleine hoeveelheden data is CCM ook ~30% sneller dan GCM vanwege zijn galoisfields.
Ik vind die conlcusie niet terug in het document waar je aan refereert.
Wel staat er bepaalde kritiek op GCM maar ook op CCM
http://eprint.iacr.org/2003/070.pdf
Helemaal onderaan bij conclusion/summary, die tabel met sterren. Als ik het goed voor heb is die kritiek opgestelt door de maker van OCB, welke CCM probeerde te vervangen vanwege patent issues. Eitherway, beide zijn beter dan RC4 ;)

[Reactie gewijzigd door analog_ op 13 november 2013 17:49]

Geweldig videotje die hashing uitlegt voor de leek.
"Hashing Algorithms and Security"
http://www.youtube.com/watch?v=b4b8ktEV4Bg
Betreft het NSA verhaal, dus de twijfel omdat de NSA de uitgever is:

Er staat in het verhaal dat dit NIKS met de ENCRYPTIE te maken heeft.
Het gaat alleen om vast te stellen of iemand onderweg iets veranderd heeft.

Dan is het dus niet erg dat er een mogelijke backdoor zou zijn.
Tenzij je wilt geloven dat de NSA in jouw terroristische email in de route naar het doel ergens Links in Rechts veranderd en je mail weer sluitende hash meegeeft ;-)
En CA's zitten al tijden uit hun neus te vreten. Als ik een SHA-256-signed X.509 certificaat wil, kreeg je tot een maand geleden zo'n nietszeggend antwoord: " we have no plans to offer this service." Het hele X.509-gebeuren met 101 authoriteiten is by design zo lek als een mandje: alle spelers hebben tegengestelde prikkels want niemand wilt de schuld krijgen van zo'n grote lelijke beveilingswaarschuwing. Het is wel een vooruitgang voor huis en keukengebruik, maar het helpt geen zak tegen NSA of de Nederlandse Overheid noch tegen de Indonesische ministerie van landbouw.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True