Nieuws

Digitale handtekening niet meer veilig door hashing exploit

donderdag 16 juni 2005, 10:35 door Redactie, 9 reacties

Cryptografie experts hebben een manier gevonden om een digitale handtekening van een document te knippen, en toe te voegen aan een vervalst document, zonder dat de handtekening ongeldig wordt en men de fraude kan ontdekken. Hierdoor zou een aanvaller legale documenten kunnen vervalsen, gecertificeerde software van nepcode voorzien, of een digitaal ondertekende brief misbruiken voor het verkrijgen van vertrouwelijke gegevens.

Digitale handtekeningen worden gebruikt om websites, e-mails en documenten te authenticeren. Ze werken omdat ze uniek zijn voor het getekende bestand of software, omdat ze bestaan uit de inhoud van het getekende bestand. Als iemand probeert een digitale handtekening van een document te knippen en aan een ander document toe te voegen, zal dit niet werken, omdat de inhoud van de handtekening niet overeenkomt met de inhoud van het document. Twee Duitse onderzoekers hebben nu ontdekt hoe twee documenten met dezelfde digitale handtekening gemaakt kunnen worden, zo laat de New Scientist weten.

AOL: "Ondanks meeste zombies zijn we toch de beste"

Firewalls en anti-virus hoogste prioriteit voor IT-managers

Reacties (9)

16-06-2005, 11:00 door raboof

artikel
(they) demonstrated that two documents could be found that
produced the same hash function called MD-5.[/i]

Ze snappen het bijna. De kern van het artikel:

They used a capability in a file-type known as
postscript, which is similar to the pdf format. Postscript
allowed them to bind up two documents in the same file, but
to reveal only one document and hide the other, and vice
versa, without changing the hash of the whole file.

Voor MD5, en het `zou opzich misschien ooit ook kunnen
werken' voor SHA.

Het is dus (nog) niet mogelijk (binnen afzienbare
tijd) gegeven een ondertekend document een ander document te
genereren dat dezelfde hash heeft. Je kunt alleen zelf een
documentenpaar genereren met dezelfde hashes. Dat is een
relevant verschil.

16-06-2005, 11:24 door Anoniem

Het is dus (nog) niet mogelijk (binnen afzienbare
tijd) gegeven een ondertekend document een ander document te
genereren dat dezelfde hash heeft. Je kunt alleen zelf een
documentenpaar genereren met dezelfde hashes. Dat is een
relevant verschil.

Zeker. Evenwel komt hierdoor de onweerlegbaarheid van de
digitale handtekening onder (juridische) druk te staan.
Precies zoals irl een handtekening vervalst kan worden, zal
dat zodirect ook met een digitale handtekening het geval
zijn. Met dat verschil dat electronische vervalsingen veel
sneller en op grotere schaal kunnen worden gemaakt dan
handmatige vervalsingen.

16-06-2005, 12:19 door Anoniem

Dit is niet iets nieuws.. Begin vorig jaar zijn er ook al
van dit soort artikelen geweest.. Naar mate de computers
sneller worden, zullen ook de hashes in bit grote gaan
groeien of zullen er andere hash methodes komen.

16-06-2005, 12:52 door G-Force

Ik vraag me af of dit niet te voorkomen is via de z.g. vingerafdruk-methode.
Virusscanners kunnen vaststellen of een bootrecord of software pakket is
veranderd.

Misschien een methode voor het hash-probleem?

16-06-2005, 13:43 door Anoniem

Door Peter V.
Ik vraag me af of dit niet te voorkomen is via de z.g.
vingerafdruk-methode.
Virusscanners kunnen vaststellen of een bootrecord of
software pakket is
veranderd.

Misschien een methode voor het hash-probleem?

Volgens mij bedoel jij met "vingerafdruk" een hash

16-06-2005, 15:16 door G-Force

Door Anoniem

Volgens mij bedoel jij met "vingerafdruk" een hash

Er zal altijd wel een methode zijn om ergens in te breken. Dat besef ik ook
wel. Maar misschien heeft iemand een goed idee om corruptie te
voorkomen c.q. te verminderen?

16-06-2005, 17:07 door Anoniem

Er zal altijd wel een methode zijn om ergens in te breken. Dat besef ik ook
wel. Maar misschien heeft iemand een goed idee om corruptie te
voorkomen c.q. te verminderen?

Je personeel beter belonen, een dwangsom in het contract en uiteraard een
antecedenten onderzoek... Een beetje vergelijkbaar met de eisen voor
bestuursvoorzitters die met 10 miljoen p/jr naar huis gaan en daarnaast
(ongestraft) een aandelen handeltje met voorkennis opzetten..;-)

C. Boonstra
(voormalig echtgenote Sara Lee)

paria van het OBN !!

16-06-2005, 20:40 door frits danon

Eigenlijk ben ik benieuwd voor welke practische toepassingen
van digitale handtekeningen dit geldt.
Met name: werken X.509 certificaten met deze hashes?
en dan: Hoe zit het met PGP? gebruikt deze ook deze manier
van hashing?

Frits

5 min later....
en het antwoord is: Beide aanpakken, PGP zowel als X.509 gebruiken zowel MD5 als SHA als hashing methodes

17-06-2005, 10:28 door Anoniem

Das knap, de inhoud zo aanpassen dat de one -way hash hetzelfde
resultaat oplevert. Wiskundig gezien is dit natuurlijk inherent aan het
systeem.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer