Nieuws
image

SHA-1 niet meer geschikt voor OpenPGP

zaterdag 9 mei 2009, 10:20 door Redactie, 12 reacties

Vorige week demonstreerden een aantal onderzoekers tijdens Eurocrypt 2009 een vrij ernstige aanval op het SHA-1 hashing algoritme. SHA-1 hashing is teruggebracht tot 2^52'ste in plaats van 2^63'ste, waarmee het nu voor grotere partijen mogelijk is om collisions te berekenen. SHA-1 wordt in verschillende cryptosystemen gebruikt, waaronder OpenPGP.

Al in 2006 werd aangekondigd dat het algoritme vervangen moest worden, waarbij 2010 als deadline werd gesteld. Dit was nog voor de demonstratie van afgelopen week. Daarom is het de hoogste tijd om op een sterker algoritme over te stappen. Het goede nieuws is dat zowel GPG als GPG2 de algoritmes van de sterkere SHA-2 familie ondersteunen, zoals SHA512, SHA384, SHA256 en SHA224. Debian-gebruikers krijgen in deze blogposting praktisch advies hoe ze de overstap kunnen maken.

Reacties (12)
09-05-2009, 11:01 door Anoniem
"zoals": je noemt precies alle SHA-2 algoritmes, dus wellicht is een andere formulering gewenst?
SHA-1 is inderdaad minder collision-resistant (28 bits minder dan theoretisch (2^80)), maar PGP gebruikt vooral de randomheidseigenschappen en preimage-resistance en die zijn beide niet echt aangetast. Maar desalniettemin kan het geen kwaad om te switchen, "attacks never get worse". Er is bv. nog niet een aanval die goed genoeg is om (zoals bij MD5, modulo wat geluk) vervalste certificaten te maken, e.d. Maar daar is het wachten nu op, alsmede op de eerste daadwerkelijke collision (52 bits werk is goed te doen).
09-05-2009, 12:42 door Anoniem
De titel is niet geheel juist, want als ik dit goed lees is nu aangetoond dat SHA-1 überhaupt onveilig is omdat je met de nieuwe aanval met voldoende apparatuur collisions kunt 'genereren'. SHA-1 is dus eigenlijk security-wise nergens meer geschikt voor en dit is dus niet openpgp specifiek.
09-05-2009, 13:17 door dim
Tja, en nu nog alle SSL certificaten die SHA-1 gebruiken even ommeubelen... ;)
09-05-2009, 14:01 door Anoniem
Geen onnodige paniek maken. Als je PGP gebruikt voor versleuteling heeft deze aanval totaal geen betekenis. Alleen digitale handtekeningen zijn nu te 'fabriceren'.
09-05-2009, 14:01 door Anoniem
Geen onnodige paniek maken. Als je PGP gebruikt voor versleuteling heeft deze aanval totaal geen betekenis. Alleen digitale handtekeningen zijn nu te 'fabriceren'.
09-05-2009, 18:32 door [Account Verwijderd]
[Verwijderd]
10-05-2009, 07:05 door Anoniem
En misschien kunnen ze ook gelijk drugs verbieden, want dat helpt zeker. :)
10-05-2009, 09:21 door Anoniem
Door Jos Visser: Kudt. Kunnen we crypto research niet beter gewoon verbieden, want dit levert iedereen een enorme hoeveelheid werk op, en alleen maar omdat een paar wijsneuzen zo nodig vulnerabilities moesten gaan zoeken.

Dat zou juist gevaarlijker zijn, want ondergronds (en de slimme jongens en meisjes op universiteiten) gaan er toch wel mee door. En dan krijgen we een extra zwarte markt zoals dat nu ook bestaat voor zero-day exploits.
Alleen weet het grote publiek (lees: systeem- en netwerkbeheerders en security-aware users) dan niet meer dat er vulnerabilities zijn. Denk maar aan de debian-ssl-bug of de problematieken nu met MD5
10-05-2009, 10:25 door Bitwiper
Door Jos Visser: Kudt. Kunnen we crypto research niet beter gewoon verbieden, want dit levert iedereen een enorme hoeveelheid werk op, en alleen maar omdat een paar wijsneuzen zo nodig vulnerabilities moesten gaan zoeken.
Je kunt wijsneuzen indelen in de categoriën: "(1) zij die hun werk publiceren" en "(2) zij die hun werk verkopen". Ik heb geen idee over de verhouding in aantallen en "state of the art" van beide categoriën, maar als je aan de veilige kant gaat zitten zou je kunnen stellen dat categorie 1 een voorzichtige indicator is van hoe ver categorie 2 gevordend is.

Kortom, het is de hoogste tijd om na te gaan waar SHA-1 nog gebruikt wordt en deze op korte termijn door een betrouwbaarder algoritme te vervangen.

D.w.z. voor zover zoiets bestaat: als ik me niet vergis bleken alle tot nu toe gebruikte cryptografische hash algoritmes gebaseerd op "security by overestimated complexity" - waarom zou dit anders zijn bij nieuwe crypto hash algoritmes?
10-05-2009, 23:19 door [Account Verwijderd]
[Verwijderd]
11-05-2009, 09:54 door Night
Vroeger schreven we achterstevoren en konden onze vriendjes het niet lezen.
Goeie ouwe tijd..
12-05-2009, 17:19 door Anoniem
Door Night: Vroeger schreven we achterstevoren en konden onze vriendjes het niet lezen.
Goeie ouwe tijd..
Ach, de schattige kindertijd, helemaal verliefd toen de naam van het meisje nog met onzichtbare inkt werd geschreven, zo verlegen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure