Microsoft gaat ondersteuning certificaten met sha-1-hashes uitfaseren

Microsoft is van plan om begin 2016 te starten met het uitfaseren van ondersteuning voor het sha-1-hashing-algoritme. Windows-software die is ondertekend met een certificaat, en websites in Internet Explorer en Chrome, worden dan alleen vertrouwd met een sha-2-hash.

MicrosoftHoewel 98 procent van de ssl-certificaten volgens Microsoft het sha-1-hashingalgoritme gebruikt, heeft het bedrijf toch besloten om het pensioen voor het algoritme alvast aan te kondigen. Volgens Microsoft is het algoritme hard op weg om net zo achterhaald te worden als het md5-algoritme. Hoewel er voor zover bekend nog geen succesvolle exploits voor sha-1 bestaan, werden in 2005 al kwetsbaarheden gevonden en in 2010 werd de Amerikaanse overheid in veel gevallen al gedwongen om over te stappen op het veiligere, maar nog niet overal geïmplementeerde sha-2.

Certificaatautoriteiten moeten per 1 januari 2016 stoppen met het uitgeven van certificaten waarin sha-1 wordt gebruikt, aldus Microsoft. Dat geldt voor certificaten die worden gebruikt voor ssl/tls en het ondertekenen van software die op Windows draait. Bestaande ssl-certificaten met sha-1 worden na 1 januari 2017 niet meer ondersteund; dat heeft gevolgen voor gebruikers van Internet Explorer en Chrome. Firefox heeft een eigen certificatendatabase. Certificaten die voor het ondertekenen van software worden gebruikt worden na 1 januari 2016 alleen geaccepteerd als ze al voor die tijd waren uitgegeven, totdat Microsoft besluit dat het sha-1-algoritme echt volledig gekraakt is.

Alle certificaten zouden vanaf nu met het veiligere sha-2-algoritme moeten worden uitgegeven, aldus Microsoft. Dat heeft gevolgen voor gebruikers van oude software: Service Pack 2 van Windows XP en eerdere Windows-versies ondersteunen geen sha-2. Overigens zal Microsoft de situatie in 2015 opnieuw beoordelen en bepalen of de uitfasering wordt doorgezet.

Sha-1 is een hashing-algoritme, dat wordt gebruikt om de integriteit van een boodschap te kunnen verifiëren. Het kan onder meer worden gebruikt in ssl/tls. Daarbij is sha-1 dus niet verantwoordelijk voor het versleutelen van de boodschap: het algoritme wordt enkel gebruikt om er verzekerd van te zijn dat er niet met de boodschap is geknoeid. Dat is belangrijk, want bij bijvoorbeeld het beveiligen van internetbankieren draait het niet alleen om de versleuteling: er moet ook kunnen worden gecontroleerd of niemand de verbinding aftapt en weer opnieuw versleutelt. Zonder hashing-algoritmes zijn verbindingen wel versleuteld, maar is de vertrouwelijkheid van internetverkeer niet gewaarborgd.

Een hashing-algoritmes is achterhaald wanneer misbruik kan worden gemaakt van hash collisions: dat is het geval wanneer meerdere boodschappen over dezelfde hash beschikken. Als een aanvaller een boodschap zo weet te manipuleren dat de hash klopt, ondanks dat het bericht is gemanipuleerd, is de integriteit van de boodschap niet langer gewaarborgd. Er is nog geen concrete aanval op sha-1 bekend, maar onderzoek naar kwetsbaarheden in sha-1 neemt toe: vorig jaar wist de Nederlandse cryptografiedeskundige Marc Stevens van het CWI een verbeterde theoretische aanval op sha-1 te ontwikkelen.

"Er zijn aanvallen mogelijk die voor onderzoekers nu net buiten bereik liggen, maar die grote staten of beheerders van botnets wel kunnen bereiken", aldus Stevens tegen Tweakers. Volgens hem zijn aanvallen op sha-1 kostbaarder dan md5, omdat ze meer rekenkracht vergen, maar naar mate de rekenkracht groeit wordt het risico groter. Daarom is hij blij dat sha-1 wordt uitgefaseerd, maar dat dat pas in 2016 gebeurt is wellicht wat laat, vreest Stevens. "Ik ben bang dat we een beetje achter de feiten aanlopen", zegt Stevens, zoals bij md5 al eerder gebeurde: dat algoritme werd nog jaren gebruikt nadat er al concrete aanvallen waren. Stevens heeft een tool uitgebracht waarmee kan worden gecontroleerd of er is geknoeid met een hash.

Overigens waarschuwt Microsoft tegelijkertijd dat websites en bedrijven niet langer het rc4-encryptie-algoritme moeten gebruiken in ssl/tls-certificaten. Een veiligere keuze is aes-gcm, aldus Microsoft. Rc4 stamt uit 1987, maar het is al lange tijd duidelijk dat de random number generator van het algoritme niet goed werkt.

Door Joost Schellevis

Redacteur

Feedback • 13-11-2013 14:40
20 • submitter: vanbroup

13-11-2013 • 14:40

20 Linkedin

Submitter: vanbroup

Lees meer

Microsoft Windows 8 NL

vanaf € 131,64

Score: 4

Alles over dit product

Windows 7-gebruikers moeten vanaf juli sha-2 ondersteunen voor verdere updates Nieuws van 19 februari 2019
Nederlander kraakt oud maar nog veelgebruikt sha-1-algoritme Nieuws van 23 februari 2017
Onderzoekers presenteren nieuwe aanval op encryptiealgoritmes 3DES en Blowfish Nieuws van 24 augustus 2016
Ministerie van Defensie maakte sha256-hashes mogelijk in LibreOffice Nieuws van 2 mei 2016
Microsoft wil eerder stoppen met verouderd sha-1-algoritme Nieuws van 5 november 2015
Kraken sha-1 kan veel goedkoper dan gedacht met gpu's Nieuws van 8 oktober 2015
D-Link blundert met vrijgeven privésleutels van certificaten Nieuws van 17 september 2015
Onderzoekers waarschuwen dat rc4 in de praktijk snel te kraken is Nieuws van 16 juli 2015
Amazon wil certificaatautoriteit worden Nieuws van 9 juni 2015
Chrome en Firefox accepteerden mogelijk nagemaakte certificaten Nieuws van 25 september 2014
Microsoft gaat zero day in XP dit jaar niet meer patchen Nieuws van 6 december 2013
Microsoft neemt maatregelen tegen overheidsspionage Nieuws van 5 december 2013
'Nederlands' botnet steelt twee miljoen logingegevens Nieuws van 4 december 2013
'Microsoft gaat verkeer tussen datacenters versleutelen' Nieuws van 27 november 2013
Beveiligingslek in de vorm van achterdeuraccount gevonden in backupservers HP Nieuws van 25 juni 2013
'Malware-scanner Android 4.2 houdt slechts 20 procent van malware tegen' Nieuws van 11 december 2012
Succesvolle collisionaanval SHA-1 in zicht Nieuws van 6 oktober 2012
Amerikaanse overheid kiest algoritme voor sha-3-hashes Nieuws van 4 oktober 2012
Meer producten en artikelen
Netwerk en systeembeheer Besturingssystemen Microsoft Windows

Reacties (20)

-Moderatie-faq
20
20
15
7
2
3
Wijzig sortering
Kain_niaK
13 november 2013 19:58
En wanneer gaan ze nu eens eindelijk NTML volledig slopen? Zo lek als een mandje.
Als je computers hebt in het netwerk dat je beheert die iets draaien dat NTML (maakt niet uit welke versie) ondersteunt en met microsoft software is dat zo goed als alles, kun je gebruikers zelfs naar een externe website lokken en ze vervolgens laten authenticeren buiten hun eigen netwerk. Met NTML relaying ben je dan zo binnen op een netwerk omgeving.

Zie ook de tools die Zack Fasel aan het schrijven is om Microsoft te dwingen met een oplossing te komen.

DEFCON 20: Owned in 60 Seconds: From Network Guest to Windows Domain Admin

Ondertussen is ZackAttack! goed op weg om de FireSheep voor NTML authenticatie te worden. Het is nog allemaal alpha kwaliteit, maar het werkt ...

Microsoft maakt leuke software ... maar van beveiliging hebben ze dus echt geen kaas gegeten.

[Reactie gewijzigd door Kain_niaK op 13 november 2013 20:05]

Anoniem: 80466
@Kain_niaK14 november 2013 09:19
Dit artikel gaat echter helemaal niet over beveiliging van je computer maar over beveiliging van je verbinding.
gelfer
@Kain_niaK15 november 2013 18:19
Ntlm is door ibm uitgevonden....
4np
13 november 2013 14:46
Sha-1 is, net als sha-2, ontworpen door de NSA.
Het is toch een beetje griezelig dat beiden ontworpen zijn door de NSA. Als ik het goed heb begrepen zijn zij ook mede verantwoordelijk voor de random number generator waarvan men verwacht dat de NSA een kwetsbaarheid heeft ingebouwd wat ze in staat stelt om random nummer te voorspellen (de RSA heeft recentelijk zelfs opgeroepen af te stappen van het NSA-algoritme). Als je dan toch overstapt op een nieuw hashing algortime, is het dan wellicht niet beter om over te stappen op eentje die niet is ontworpen door de NSA?

[Reactie gewijzigd door 4np op 14 november 2013 10:16]

The Zep Man
@4np13 november 2013 14:49
Als je dan toch overstapt op een nieuw hashing algortime, is het dan wellicht niet beter om over te stappen op eentje die niet is ontworpen door de NSA?
Welkom, SHA-3 (Keccak). :)

Het is nog niet aangetoond dat SHA-2 kwetsbaarheden bevat en de industrie is op de achtergrond al een tijd bezig om hiernaar over te schakelen (SHA-2, of eigenlijk SHA-224, SHA-256, SHA-384 en SHA-512 hebben twaalf jaar nodig gehad om te komen waar ze nu zijn). Als je elk algoritme in de ban stopt waar het NIST bij betrokken was, dan hou je niet veel over dat breed wordt ondersteund.

[Reactie gewijzigd door The Zep Man op 13 november 2013 14:56]

OddesE
@The Zep Man13 november 2013 15:00
Als je elk algoritme in de ban stopt waar het NIST bij betrokken was, dan hou je niet veel over dat breed wordt ondersteund.
Hoeveel heb je er nodig dan? Aan één goed hashing algoritme hebben we toch genoeg?

Ik ben het persoonlijk helemaal met 4np eens. Het is toch te waanzinnig om, nadat bekend is dat de NSA bewust kwetsbaarheden in encryptie algoritmen gestopt heeft, nog steeds over te stappen naar een algoritme waar zij bij betrokken zijn geweest??
The Zep Man
@OddesE13 november 2013 15:06
[...]


Hoeveel heb je er nodig dan? Aan één goed hashing algoritme hebben we toch genoeg?
De definitie van 'goed' is niet alleen 'open en veilig', maar omvat ook 'het wordt gebruikt'. Het kip en ei probleem is hier volledig aanwezig. SHA-2 heeft 12 jaar (een lange tijd in IT landschap) nodig gehad om dit te bereiken. Het algoritme is open, het is niet aangetoond dat het onveilig is en het wordt ondersteund door veel (komende) apparatuur.
Ik ben het persoonlijk helemaal met 4np eens. Het is toch te waanzinnig om, nadat bekend is dat de NSA bewust kwetsbaarheden in encryptie algoritmen gestopt heeft, nog steeds over te stappen naar een algoritme waar zij bij betrokken zijn geweest??
Dat ze erbij betrokken zijn bewijst niet dat het algoritme kwetsbaarheden bevat. Vanuit een gezond verstand ga je natuurlijk liever voor iets waar de NSA niet bij betrokken was door hun onbetrouwbare positie in het verleden.

De keuze is niet aan een enkeling, maar moet door de hele industrie gedragen worden. En dan maakt rationaliteit vaak plaats voor geld op de korte termijn. Immers wordt SHA-2 ondersteund door de huidige/volgende generatie apparatuur (denk ook aan embedded spul, zoals smartcards) en moet diep in de geldbuidel getast worden om dit te vervangen met SHA-3. En niemand wilt die eerste stap maken, omdat de eerste partij die dit doet hier het meeste voor moet neerleggen. Een keuze om niet voor SHA-3 te gaan maar voor SHA-2 kan ook voortkomen doordat SHA-2 al 12 jaar heeft gehad om te rijpen, terwijl SHA-3 zich nog niet bewezen heeft. Dit levert een risico op bij investeringen.

En hoe raar het ook klinkt: objectief gezien is SHA-2 niet meteen onveilig omdat het van een partij komt dat wel eens bewust onveilige andere algoritmes heeft gemaakt. Dit telt ook mee in het beslisproces dat de industrie maakt.

[Reactie gewijzigd door The Zep Man op 13 november 2013 15:20]

Anoniem: 154412
@The Zep Man13 november 2013 15:58
Wie of wat kan je nog vertrouwen?
Houdt er wel rekening dat SHA2 al veel crypto analyse en academisch onderzoek heeft ondergaan waaruit geen kwetsbaarheden naar voren zijn gekopen en dat de Amerikanen hun eigen data met SHA2 beveiligen. Dat doe je niet als je weet dat er een kwetsbaarheid in zit. Dat wordt snel genoeg door Chinezen en anderen uitgevonden en ge/misbruikt.
Qua Salébra
13 november 2013 15:07
Het nu nog blijven gebruiken van NSA-based algoritmes is eigenlijk geen beveiliging gebruiken. No way dat ze zelf een 100% veilig algoritme vrijgeven. Dat zou betekenen dat ze hun eigen versleuteling niet kunnen kraken en dat zou ze overbodig maken.

Het kan echter zijn dat de backdoor niet in het hash algoritme zit, maar in de versleuteling zelf en dan kunnen ze wel een veilig hash algoritme leveren en daarbij zeggen dat hun software geen backdoors bevat.

Een open algoritme zoals RipeMD-160 is al best lang beschikbaar en ontwikkeld door/aan de universiteit van Leuven. Dit is waarschijnlijk de reden dat een open-source pakket als TrueCrypt hierop is overgestapt. Het is echter wel minder goed getest dan SHA-2.

Daarnaast hebben commerciële bedrijven er moeite mee om over te stappen op community based algoritmes.

Toch is het jammer dat bedrijven gewoon een nieuwe versie van de NSA krijgen geleverd en weer overgaan tot de orde van de dag. Het feit dat jij de versleuteling niet kan kraken wil waarschijnlijk alleen maar zeggen dat de NSA zeer complexe methoden/backdoors gebruikt om de versleuteling te kraken.
markinator
@Qua Salébra13 november 2013 15:23
Het nu nog blijven gebruiken van NSA-based algoritmes is eigenlijk geen beveiliging gebruiken. No way dat ze zelf een 100% veilig algoritme vrijgeven. Dat zou betekenen dat ze hun eigen versleuteling niet kunnen kraken en dat zou ze overbodig maken.
Daar ben ik het niet helemaal mee eens. Je moet nog steeds rekening houden met mensen buiten de NSA. Dat zij de SHA-2 kunnen kraken betekend niet gelijk dat het een onveilige keuze is die je maakt. Ik heb eerlijk gezegd liever dat NSA mijn gegevens binnen krijgt dan één of andere hacker die er veel ergere dingen mee wilt doen.

[Reactie gewijzigd door markinator op 13 november 2013 15:30]

MrNiCeGuY77
@markinator13 november 2013 17:54
Sorry beetje dom en naïef antwoord. Liever de NSA dan een andere hacker. Geef de NSA groen licht dat ze lekker in jou data mogen kijken. Beide zijn niet welkom in de data die jij beveiligd met een encryptie standaard. Het is van de gekke dat nadat we allemaal weten wat NSA kan en doet we gewoon verdergaan met nieuwe encryptie die door dat zelfde bedrijf gemaakt is. Om maar als voorbeeld te nemen diginotar in Beverwijk. Alwaar wij onze HTTPS certificaten vandaan haalde voor digiID. Stel nou dat digginotar nieuwe certificaten uit had gegeven, hadden ze dan nog recht om te bestaan, nee in mijn ogen niet. Precies het zelfde denk ik over NSA. Het is bekend dat ze backdoors gebruiken in encryptie methodes. Dan zou je al hun technieken uit faseren en met nieuwe encryptie technieken komen. NSA zou failliet moeten gaan en nooit meer terug komen net zoals Diginotar. Maar nee NSA is USA en aangezien Nederland nummer 1 meeloper is in de lijn van Amerika zal niemand ze mondje durven opendoen, bang dat als de US of EU een feit is dat ze dan geen mooi baantje toegeschoven krijgen. In de nieuwe wereld waar iedereen standaard verdachte is totdat het tegendeelbewezen is. Dit past heel goed in het straatje van dit Nederland politie staatje.
Room42
@markinator14 november 2013 00:57
Maar als de NSA het kan, waarom zou dan een ander het niet kunnen?
Anoniem: 428562
13 november 2013 17:11
RC4 is In firefox eenvoudig uit te zetten zetten

- type about:config in de adresbalk
-type RC4 in het zoekveld
-zet elke waarde op false

Wanneer je firefox opnieuw start is er geen verbinding met RC4 meer mogelijk.
Anoniem: 80466
13 november 2013 16:01
Wat nog ontbreekt in het aritkel is dat IE11 voortaan met alle sites probeert een non-RC4 encryptie algorimte aan te gaan.
Hoewel nu nog 57% van de sites dit als voorkeur heeft ingesteld kan 96% van alle sites al met moderne algoritmes omgaan.
IE11 zal daarom altijd eerste een modernen algorimte gebryuiken in de handshake en alleen voor de nog 4 procent sites die rc4 vereeisen terugvallen op TLS 1.0 or SSL 3.0 die werken met dat algoritme.

IE11 gaat ook als eerste browser default TLS 1.2 gebruiken (die gebruikt het AES-GCM encryptie algoritme).

zie ook:
http://blogs.msdn.com/b/i...tes-continue-to-work.aspx

[Reactie gewijzigd door Anoniem: 80466 op 13 november 2013 16:05]

analog_
@Anoniem: 8046613 november 2013 16:15
Jammer dat AES-CCM veiliger is in Europese ogen. bron. In mijn testing op kleine hoeveelheden data is CCM ook ~30% sneller dan GCM vanwege zijn galoisfields.
Anoniem: 80466
@analog_13 november 2013 16:40
Ik vind die conlcusie niet terug in het document waar je aan refereert.
Wel staat er bepaalde kritiek op GCM maar ook op CCM
http://eprint.iacr.org/2003/070.pdf
analog_
@Anoniem: 8046613 november 2013 17:48
Helemaal onderaan bij conclusion/summary, die tabel met sterren. Als ik het goed voor heb is die kritiek opgestelt door de maker van OCB, welke CCM probeerde te vervangen vanwege patent issues. Eitherway, beide zijn beter dan RC4 ;)

[Reactie gewijzigd door analog_ op 13 november 2013 17:49]

AwesomeKid123
13 november 2013 18:27
Geweldig videotje die hashing uitlegt voor de leek.
"Hashing Algorithms and Security"
http://www.youtube.com/watch?v=b4b8ktEV4Bg
SCS2
13 november 2013 18:22
Betreft het NSA verhaal, dus de twijfel omdat de NSA de uitgever is:

Er staat in het verhaal dat dit NIKS met de ENCRYPTIE te maken heeft.
Het gaat alleen om vast te stellen of iemand onderweg iets veranderd heeft.

Dan is het dus niet erg dat er een mogelijke backdoor zou zijn.
Tenzij je wilt geloven dat de NSA in jouw terroristische email in de route naar het doel ergens Links in Rechts veranderd en je mail weer sluitende hash meegeeft ;-)
kwadronaut
14 november 2013 07:48
En CA's zitten al tijden uit hun neus te vreten. Als ik een SHA-256-signed X.509 certificaat wil, kreeg je tot een maand geleden zo'n nietszeggend antwoord: " we have no plans to offer this service." Het hele X.509-gebeuren met 101 authoriteiten is by design zo lek als een mandje: alle spelers hebben tegengestelde prikkels want niemand wilt de schuld krijgen van zo'n grote lelijke beveilingswaarschuwing. Het is wel een vooruitgang voor huis en keukengebruik, maar het helpt geen zak tegen NSA of de Nederlandse Overheid noch tegen de Indonesische ministerie van landbouw.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee