Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft gaat ondersteuning certificaten met sha-1-hashes uitfaseren

Microsoft is van plan om begin 2016 te starten met het uitfaseren van ondersteuning voor het sha-1-hashing-algoritme. Windows-software die is ondertekend met een certificaat, en websites in Internet Explorer en Chrome, worden dan alleen vertrouwd met een sha-2-hash.

MicrosoftHoewel 98 procent van de ssl-certificaten volgens Microsoft het sha-1-hashingalgoritme gebruikt, heeft het bedrijf toch besloten om het pensioen voor het algoritme alvast aan te kondigen. Volgens Microsoft is het algoritme hard op weg om net zo achterhaald te worden als het md5-algoritme. Hoewel er voor zover bekend nog geen succesvolle exploits voor sha-1 bestaan, werden in 2005 al kwetsbaarheden gevonden en in 2010 werd de Amerikaanse overheid in veel gevallen al gedwongen om over te stappen op het veiligere, maar nog niet overal geïmplementeerde sha-2.

Certificaatautoriteiten moeten per 1 januari 2016 stoppen met het uitgeven van certificaten waarin sha-1 wordt gebruikt, aldus Microsoft. Dat geldt voor certificaten die worden gebruikt voor ssl/tls en het ondertekenen van software die op Windows draait. Bestaande ssl-certificaten met sha-1 worden na 1 januari 2017 niet meer ondersteund; dat heeft gevolgen voor gebruikers van Internet Explorer en Chrome. Firefox heeft een eigen certificatendatabase. Certificaten die voor het ondertekenen van software worden gebruikt worden na 1 januari 2016 alleen geaccepteerd als ze al voor die tijd waren uitgegeven, totdat Microsoft besluit dat het sha-1-algoritme echt volledig gekraakt is.

Alle certificaten zouden vanaf nu met het veiligere sha-2-algoritme moeten worden uitgegeven, aldus Microsoft. Dat heeft gevolgen voor gebruikers van oude software: Service Pack 2 van Windows XP en eerdere Windows-versies ondersteunen geen sha-2. Overigens zal Microsoft de situatie in 2015 opnieuw beoordelen en bepalen of de uitfasering wordt doorgezet.

Sha-1 is een hashing-algoritme, dat wordt gebruikt om de integriteit van een boodschap te kunnen verifiëren. Het kan onder meer worden gebruikt in ssl/tls. Daarbij is sha-1 dus niet verantwoordelijk voor het versleutelen van de boodschap: het algoritme wordt enkel gebruikt om er verzekerd van te zijn dat er niet met de boodschap is geknoeid. Dat is belangrijk, want bij bijvoorbeeld het beveiligen van internetbankieren draait het niet alleen om de versleuteling: er moet ook kunnen worden gecontroleerd of niemand de verbinding aftapt en weer opnieuw versleutelt. Zonder hashing-algoritmes zijn verbindingen wel versleuteld, maar is de vertrouwelijkheid van internetverkeer niet gewaarborgd.

Een hashing-algoritmes is achterhaald wanneer misbruik kan worden gemaakt van hash collisions: dat is het geval wanneer meerdere boodschappen over dezelfde hash beschikken. Als een aanvaller een boodschap zo weet te manipuleren dat de hash klopt, ondanks dat het bericht is gemanipuleerd, is de integriteit van de boodschap niet langer gewaarborgd. Er is nog geen concrete aanval op sha-1 bekend, maar onderzoek naar kwetsbaarheden in sha-1 neemt toe: vorig jaar wist de Nederlandse cryptografiedeskundige Marc Stevens van het CWI een verbeterde theoretische aanval op sha-1 te ontwikkelen.

"Er zijn aanvallen mogelijk die voor onderzoekers nu net buiten bereik liggen, maar die grote staten of beheerders van botnets wel kunnen bereiken", aldus Stevens tegen Tweakers. Volgens hem zijn aanvallen op sha-1 kostbaarder dan md5, omdat ze meer rekenkracht vergen, maar naar mate de rekenkracht groeit wordt het risico groter. Daarom is hij blij dat sha-1 wordt uitgefaseerd, maar dat dat pas in 2016 gebeurt is wellicht wat laat, vreest Stevens. "Ik ben bang dat we een beetje achter de feiten aanlopen", zegt Stevens, zoals bij md5 al eerder gebeurde: dat algoritme werd nog jaren gebruikt nadat er al concrete aanvallen waren. Stevens heeft een tool uitgebracht waarmee kan worden gecontroleerd of er is geknoeid met een hash.

Overigens waarschuwt Microsoft tegelijkertijd dat websites en bedrijven niet langer het rc4-encryptie-algoritme moeten gebruiken in ssl/tls-certificaten. Een veiligere keuze is aes-gcm, aldus Microsoft. Rc4 stamt uit 1987, maar het is al lange tijd duidelijk dat de random number generator van het algoritme niet goed werkt.

Door Joost Schellevis

Redacteur

13-11-2013 • 14:40

20 Linkedin Google+

Submitter: vanbroup

Lees meer

Reacties (20)

Wijzig sortering
En wanneer gaan ze nu eens eindelijk NTML volledig slopen? Zo lek als een mandje.
Als je computers hebt in het netwerk dat je beheert die iets draaien dat NTML (maakt niet uit welke versie) ondersteunt en met microsoft software is dat zo goed als alles, kun je gebruikers zelfs naar een externe website lokken en ze vervolgens laten authenticeren buiten hun eigen netwerk. Met NTML relaying ben je dan zo binnen op een netwerk omgeving.

Zie ook de tools die Zack Fasel aan het schrijven is om Microsoft te dwingen met een oplossing te komen.

DEFCON 20: Owned in 60 Seconds: From Network Guest to Windows Domain Admin

Ondertussen is ZackAttack! goed op weg om de FireSheep voor NTML authenticatie te worden. Het is nog allemaal alpha kwaliteit, maar het werkt ...

Microsoft maakt leuke software ... maar van beveiliging hebben ze dus echt geen kaas gegeten.

[Reactie gewijzigd door Kain_niaK op 13 november 2013 20:05]

Sha-1 is, net als sha-2, ontworpen door de NSA.
Het is toch een beetje griezelig dat beiden ontworpen zijn door de NSA. Als ik het goed heb begrepen zijn zij ook mede verantwoordelijk voor de random number generator waarvan men verwacht dat de NSA een kwetsbaarheid heeft ingebouwd wat ze in staat stelt om random nummer te voorspellen (de RSA heeft recentelijk zelfs opgeroepen af te stappen van het NSA-algoritme). Als je dan toch overstapt op een nieuw hashing algortime, is het dan wellicht niet beter om over te stappen op eentje die niet is ontworpen door de NSA?

[Reactie gewijzigd door 4np op 14 november 2013 10:16]

Als je dan toch overstapt op een nieuw hashing algortime, is het dan wellicht niet beter om over te stappen op eentje die niet is ontworpen door de NSA?
Welkom, SHA-3 (Keccak). :)

Het is nog niet aangetoond dat SHA-2 kwetsbaarheden bevat en de industrie is op de achtergrond al een tijd bezig om hiernaar over te schakelen (SHA-2, of eigenlijk SHA-224, SHA-256, SHA-384 en SHA-512 hebben twaalf jaar nodig gehad om te komen waar ze nu zijn). Als je elk algoritme in de ban stopt waar het NIST bij betrokken was, dan hou je niet veel over dat breed wordt ondersteund.

[Reactie gewijzigd door The Zep Man op 13 november 2013 14:56]

Als je elk algoritme in de ban stopt waar het NIST bij betrokken was, dan hou je niet veel over dat breed wordt ondersteund.
Hoeveel heb je er nodig dan? Aan één goed hashing algoritme hebben we toch genoeg?

Ik ben het persoonlijk helemaal met 4np eens. Het is toch te waanzinnig om, nadat bekend is dat de NSA bewust kwetsbaarheden in encryptie algoritmen gestopt heeft, nog steeds over te stappen naar een algoritme waar zij bij betrokken zijn geweest??
[...]


Hoeveel heb je er nodig dan? Aan één goed hashing algoritme hebben we toch genoeg?
De definitie van 'goed' is niet alleen 'open en veilig', maar omvat ook 'het wordt gebruikt'. Het kip en ei probleem is hier volledig aanwezig. SHA-2 heeft 12 jaar (een lange tijd in IT landschap) nodig gehad om dit te bereiken. Het algoritme is open, het is niet aangetoond dat het onveilig is en het wordt ondersteund door veel (komende) apparatuur.
Ik ben het persoonlijk helemaal met 4np eens. Het is toch te waanzinnig om, nadat bekend is dat de NSA bewust kwetsbaarheden in encryptie algoritmen gestopt heeft, nog steeds over te stappen naar een algoritme waar zij bij betrokken zijn geweest??
Dat ze erbij betrokken zijn bewijst niet dat het algoritme kwetsbaarheden bevat. Vanuit een gezond verstand ga je natuurlijk liever voor iets waar de NSA niet bij betrokken was door hun onbetrouwbare positie in het verleden.

De keuze is niet aan een enkeling, maar moet door de hele industrie gedragen worden. En dan maakt rationaliteit vaak plaats voor geld op de korte termijn. Immers wordt SHA-2 ondersteund door de huidige/volgende generatie apparatuur (denk ook aan embedded spul, zoals smartcards) en moet diep in de geldbuidel getast worden om dit te vervangen met SHA-3. En niemand wilt die eerste stap maken, omdat de eerste partij die dit doet hier het meeste voor moet neerleggen. Een keuze om niet voor SHA-3 te gaan maar voor SHA-2 kan ook voortkomen doordat SHA-2 al 12 jaar heeft gehad om te rijpen, terwijl SHA-3 zich nog niet bewezen heeft. Dit levert een risico op bij investeringen.

En hoe raar het ook klinkt: objectief gezien is SHA-2 niet meteen onveilig omdat het van een partij komt dat wel eens bewust onveilige andere algoritmes heeft gemaakt. Dit telt ook mee in het beslisproces dat de industrie maakt.

[Reactie gewijzigd door The Zep Man op 13 november 2013 15:20]

Het nu nog blijven gebruiken van NSA-based algoritmes is eigenlijk geen beveiliging gebruiken. No way dat ze zelf een 100% veilig algoritme vrijgeven. Dat zou betekenen dat ze hun eigen versleuteling niet kunnen kraken en dat zou ze overbodig maken.

Het kan echter zijn dat de backdoor niet in het hash algoritme zit, maar in de versleuteling zelf en dan kunnen ze wel een veilig hash algoritme leveren en daarbij zeggen dat hun software geen backdoors bevat.

Een open algoritme zoals RipeMD-160 is al best lang beschikbaar en ontwikkeld door/aan de universiteit van Leuven. Dit is waarschijnlijk de reden dat een open-source pakket als TrueCrypt hierop is overgestapt. Het is echter wel minder goed getest dan SHA-2.

Daarnaast hebben commerciële bedrijven er moeite mee om over te stappen op community based algoritmes.

Toch is het jammer dat bedrijven gewoon een nieuwe versie van de NSA krijgen geleverd en weer overgaan tot de orde van de dag. Het feit dat jij de versleuteling niet kan kraken wil waarschijnlijk alleen maar zeggen dat de NSA zeer complexe methoden/backdoors gebruikt om de versleuteling te kraken.
RC4 is In firefox eenvoudig uit te zetten zetten

- type about:config in de adresbalk
-type RC4 in het zoekveld
-zet elke waarde op false

Wanneer je firefox opnieuw start is er geen verbinding met RC4 meer mogelijk.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Beveiliging en antivirus

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True