Beheer

Security
crypto-zombie

Gevaarlijk encryptieprotocol SHA-1 nu echt dood, maar leeft toch voort

Ondersteuning gestaakt, maar veel apparatuur nog afhankelijk van SHA-1.

© CC0 Pixabay-licence,  1Tamara2 / designwebjae
29 mei 2020

Ondersteuning gestaakt, maar veel apparatuur nog afhankelijk van SHA-1.

De SHA-1-open source libraries zijn nu echt ten grave gedragen door de ontwikkelaars, nadat al vele keren is aangetoond hoe onveilig deze zijn voor het ondertekenen van versleuteld berichtenverkeer over internet. Dat betekent echter niet dat er nog volop gebruik van wordt gemaakt.

De ontwikkelaars van OpenSSH en libssh hebben het einde van de ondersteuning van het SHA-1 algoritme bekend gemaakt in de notes bij de laatste release. Ze waarschuwen daarin dat het mogelijk is om voor minder dan 50 dollar het ssh-rsa-algoritme te laten kraken. Ze adviseren dan ook over te stappen naar RFC8332 RSA SHA-2, ssh-ed25519 of RFC5656 ECDSA.

Of de waarschuwing effect gaat hebben, is maar de vraag. De waarschuwing in de release notes is namelijk niet meer dan een kopie van wat de ontwikkelaars al in februari in de release notes zetten, constateert Ars Technica.

OpenSSH is een belangrijk onderdeel van het SSL-protocol waarmee bijvoorbeeld het verkeer tussen website en de server van de hostingpartij wordt versleuteld - aangegeven met het groene slotje in de URL-balk. Wanneer het hash-algoritme kwetsbaarheden bevat lijkt de versleuteling in orde maar is desondanks makkelijk te onderscheppen. Van het verouderde SHA-1-hashalgoritme is al jaren bekend dat het intrinsieke kwetsbaarheden bevat die bijvoorbeeld werden gebruikt voor een hack van het Windows Update systeem in 2012. Destijds kostte het nog een aanzienlijke hoeveelheid geld om zo'n aanval op te zetten, maar die kosten zijn rap gedaald.

Het probleem is dat SHA-1 nog in heel veel apparatuur als embedded software aanwezig is. Denk daarbij aan geldautomaten (ATM) maar ook netwerkapparatuur en industriële systemen. Maar ook recente updates van software - bijvoorbeeld de GNU Compiler Collection - zijn nog digitaal ondertekend met behulp van SHA-1 net als de EMV-standaard van betaalkaarten. 

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.