Nieuws

RSA ontkent probleem met algoritme

vrijdag 17 februari 2012, 11:38 door Redactie, 6 reacties

Volgens RSA zit er geen lek in het RSA-algoritme, zoals verschillende onderzoekers eerder deze week aankondigden. De onderzoekers, waaronder de Nederlandse wiskundige Arjen Lenstra, onderzochten 7 miljoen gegenereerde sleutels en ontdekten dat er 27.000 niet willekeurig waren gegenereerd. In totaal waren er zo'n 13.000 sleutels die geen beveiliging bieden en door aanvallers te achterhalen zijn.

"Onze analyse bevestigt dat de data niet wijst op een lek in het algoritme, maar wijst op het belang van een juiste implementatie, met name wat betreft het groeiend aantal ingebedde apparaten die tegenwoordig met het internet verbonden zijn", aldus RSA in een verklaring tegenover Network World.

Robuust
Volgens Ari Juels van RSA is het onderzoek nuttig, maar hij is het niet eens met de onderliggende toon dat er een probleem met het RSA-algoritme is. Het onderzoek mag dan hebben ontdekt dat het RSA-algoritme "minder robuust dan een ander protocol is", maar "het is duidelijk geen probleem in het RSA-algoritme. Het is de manier waarop de sleutels zijn gegenereerd."

RSA krijgt bijval van DNS-onderzoeker Dan Kaminsky. Die prijst de onderzoekers voor het verzamelen van alle data, maar kan zich ook niet in de conclusie vinden. "Belangrijker, correlatie is geen oorzakelijk verband. Dat we een klein aantal slechte sleutels zien op hetzelfde moment dat we RSA zien, betekent nog niet dat de laatste de eerste heeft veroorzaakt."

DNS-lek veroorzaakt spookdomeinen

Microsoft: Google kan IE9-gebruikers niet volgen

Reacties (6)

17-02-2012, 11:50 door Anoniem

Meneer Juels en Kaminsky zouden er goed aan doen om vooral te hameren wat er wel zwak is in plaats van vooral te piepen wat er niet zwak zou zijn aan nogal grote assets van RSA. RSA heeft er het grootste belang bij om het RSA-algorithme te verdedigen maar vertikt het om zelf de implementatie veilig te houden. En juist daar hoor je ze nauwelijks over! Het belang is te groot om zo min mogelijk in te gaan op het bestaan van enige zwakte, ontkennen en vaag houden is het belangrijkste richting de aandeelhouders en klanten, zolang ze het zelf niet zeker weten. En dan vooral met de beschuldigende vinger richting de bezorger van het slechte nieuws wijzen, want zo leiden we de aandacht af van enige problemen die er spelen. Relativeren is prima, maar ik zie liever een goede verdediging dan moddergooien naar de onderzoekers die hier wel degelijk een openzenuw van het bedrijf RSA geraakt hebben! Ongeacht of het algorithme zelf niet zwak is!

17-02-2012, 12:20 door WhizzMan

Als je de paper had gelezen en weet hoe RSA in elkaar zit, had je gesnapt waarom RSA zo reageert. Er zijn waarschijnlijk een aantal implementaties die niet goed controleren of P-1 en Q-1 niet uitsluitend uit kleine priemfactoren bestaan, of die slechte ramdomgeneratoren gebruiken om P en Q te genereren. Het laatste zorgt voor dubbel voorkomende sleutels en het eerste zorgt voor (bijna) geen versleuteling, omdat ze het relatief eenvoudig maken om P en Q te achterhalen.

Het zou interessant zijn als van de "foute" keys bekend kon worden welke implementatie ze ge-genereerd heeft. Dan kan die gerepareerd worden en mensen die van diezelfde implementatie(s) keys hebben, kunnen ze preventief vernieuwen. Ik hoop eigenlijk dat de schrijvers van de paper hier nu achteraan aan het gaan zijn.

17-02-2012, 12:41 door pvliesdonk

De oorspronkelijke onderzoekers hebben helemaal nooit geclaimd dat er een lek in het RSA algoritme zat.
Wat ze wel hebben aangetoond is dat het implementeren van dat algoritme niet zomaar aan elke programmeur overgelaten kan worden.

Als je de priemgetallen écht random kiest, dan is de kans dat twee mensen in de wereld dezelfde getallen kiezen miniem. Laat staan dat er zoveel duizenden keren dezelfde getallen worden gekozen.

17-02-2012, 13:29 door Anoniem

Bovendien is het op zichzelf niet zo'n ramp als er twee identieke sleutels in omloop zijn, zolang je dat maar niet van elkaar weet. Autosleutels zijn ook niet uniek. Er zijn veel meer autos van een bepaald merk dan er sleutelcombinaties zijn. Geeft niets, zoalang de poetentiële dief maar niet weet dat zijn sleutel ook op mijn auto past.

MV

17-02-2012, 17:47 door Anoniem

Door Anoniem: Bovendien is het op zichzelf niet zo'n ramp als er twee identieke sleutels in omloop zijn, zolang je dat maar niet van elkaar weet. Autosleutels zijn ook niet uniek. Er zijn veel meer autos van een bepaald merk dan er sleutelcombinaties zijn. Geeft niets, zoalang de poetentiële dief maar niet weet dat zijn sleutel ook op mijn auto past.

Maar dat kan de dief schrikbarend makkelijk wel weten in dit geval:

We scanned every IPv4 address on the Internet, collecting a copy of each SSL certificate and SSH host key. We were able to complete both scans in less than a day: we first used a standard tool called nmap to find hosts with the relevant ports open, and then used our own optimized software to query those hosts. In our SSL scan, we collected 5.8 million certificates. In our SSH scan, we collected 10 million host keys.

https://freedom-to-tinker.com/blog/nadiah/new-research-theres-no-need-panic-over-factorable-keys-just-mind-your-ps-and-qs

20-02-2012, 00:59 door Anoniem

Verkeerde analogie.
Als je een schrikbarend slechte manier kiest om sleutels te maken, kan dat eigenlijk altijd gevonden worden.
In dit geval is een behoorlijk aantal slechte sleutels gevonden.

Als je weet welke apparaten onder welke omstandigheden zo'n sleutel genereren, kun je voor de bewuste apparaten gewoon op zoek gaan naar de sleutel. Ik verwacht dat er tzt naar voren komt welke apparaten op welke manier hun priemgetallen genereren.
En dat je programma's kunt schrijven die voor die apparaten expliciet op zoek gaan (binnen de veel kleine zoekruimte die het gevolg is van een slechte randomgenerator ) naar die priem factor.

Nu is feitelijk via de omweg van het vergelijken van veel publieke sleutels het bestaan van zwakke sleutelgeneratoren gevonden.

Als die potentiele dief weet dat van jouw automerk maar 10 verschillende sleutels zijn, kan hij met een bosje van tien zo wegrijden.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer