Expert: encryptie waarschijnlijk wel veilig
De onthullingen dat de NSA een groot deel van het versleutelde internetverkeer zou kunnen kraken hebben vooral betrekking op de implementatie en niet op de veiligheid van cryptografie zelf. Dat zegt Jaap-Henk Hoepman, onderzoeker digitale veiligheid bij TNO en de Radboud Universiteit in Nijmegen in een artikel op zijn weblog Xot.nl.
Exacte details over welke encryptie-algoritmes de NSA kan kraken en hoe het dit precies doet zijn nog altijd onbekend. Beveiligingsgoeroe Bruce Schneier gaf naar aanleiding van de onthullingen verschillende adviezen zodat internetgebruikers zich beter kunnen beschermen tegen eventueel afluisteren door een inlichtingendienst. Eén van die adviezen was dat symmetrische cryptografie beter dan public key cryptografie is, wat Hoepman verbaasde. "Symmetrische cryptografie beter dan public key cryptografie? Dat is precies tegenovergesteld van wat je zou verwachten."
Symmetrische cryptografie
Bij symmetrische cryptografie gebruiken de zender en ontvanger dezelfde sleutel. Dat betekent dat het lastig is om ervoor te zorgen dat je met iedereen die jou een bericht wil sturen zo'n sleutel deelt, terwijl niemand anders die sleutel kent, merkt de onderzoeker op. Bij symmetrische cryptosystemen (DES en AES) worden het bericht en de sleutel op onontwarbare manier vermengd. De manier waarop is ondoorgrondelijk, en er is geen wiskundig bewijs dat die methode echt veilig is.
Bij public key cryptografie genereert de ontvanger een sleutelpaar: een privésleutel die hij geheim houdt, en een bijbehorende publieke sleutel die iedereen mag weten. De publieke sleutel wordt gebruikt om het bericht te versleutelen. De privésleutel is nodig om het bericht te ontcijferen. Dit lost het probleem van de sleuteldistributie van symmetrische cryptografie deels op.
"Public key cryptografie is gebaseerd op de (door wiskundigen breed gedragen) aanname dat bepaalde wiskundige problemen moeilijk zijn op te lossen", aldus Hoepman. Hij deed een rondvraag waarom een internetgebruiker symmetrische cryptografie boven public key cryptografie zou moeten verkiezen, zoals Schneier adviseert.
Invloed van NSA
Uit de rondvraag komen drie argumenten naar voren. Zo acht Schneier het waarschijnlijker dat de NSA een fundamentele wiskundige ontdekking doet of heeft gedaan, waardoor de moeilijk geachte wiskundige problemen helemaal niet zo moeilijk zijn op te lossen. Een andere reden is de rol van Certificate Authorities (CA) bij de sleuteldistributie van public key cryptografie. De CA geeft een certificaat uit waarin staat wat de publieke sleutel van een persoon is. De belangrijkste en meest gebruikte Certificate Authorities zijn echter Amerikaans.
Verder hebben Public key cryptosystemen parameters die vrij te kiezen zijn en de veiligheid van het systeem behoorlijk kunnen beïnvloeden. "Vaak heeft de NSA direct of indirect invloed op de standaarden waarin bepaalde keuzes voor dergelijke parameters worden vastgelegd. In het geval van Elliptic Curve Cryptografie (ECC) zijn de meest gebruikte curves vastgelegd in Amerikaanse standaarden. Symmetrische cryptosystemen hebben dergelijke parameters niet, behalve een beperkte keuze in de sleutellengte en de blokgrootte", merkt Hoepman op.
Zekerheid
Hij begrijpt het wantrouwen tegen ECC, maar stelt dat de zogenaamde discrete logsystemen en het op priemfactorisatie gebaseerde RSA een probleem hebben. Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is.
"Met andere woorden: op de vraag of cryptografie nog veilig is, is het ontluisterende antwoord: ja, waarschijnlijk wel, maar we weten het niet zeker, en onze onzekerheid is toch iets toegenomen na de onthullingen van de afgelopen dagen. Helaas bestaat er geen cryptosysteem waarvan we kunnen bewijzen dat deze echt absoluut veilig is", zo concludeert de onderzoeker.
Van verschillende gebruikte symmetrische encryptie protocollen zijn op wuala.com/QuantumRandomnessApplications/Information/Examples/ wiskundige bewijzen te vinden dat deze gegarandeerd veilig zijn.
Merk op dat voor bewijsbare veiligheid het gebruik van true randomness een noodzakelijke voorwaarde is en dat vrijwel geen enkel (commercieel) systeem op dit moment true randomness gebruikt maar pseudo-randomness.
"Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is"
Moet ik hem dan serieus nemen?
"Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is"
Moet ik hem dan serieus nemen?
Waarschijnlijk niet, mijn sleutels zijn groter en ik kan er nog heel goed mee werken.
Dus nee.
"Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is"
Moet ik hem dan serieus nemen?
Waarschijnlijk niet, mijn sleutels zijn groter en ik kan er nog heel goed mee werken.
Het dycrypten of het signeren met RSA-2048 is geen probleem als je het af en toe moet doen. Maar er zijn systemen waar je dit duizenden keren per seconde moet doen. Denk aan OAuth signeren van JWT tokens. Dan heb je wel een probleem, dat je kan oplossen door meer servers te gebruiken of ECC te gebruiken, wat sneller is dan RSA.
Ik geef toe dat mijn vertrouwen in ECC wel een deuk heeft opgelopen.
Ja, absoluut overtuigd! Want.... De NSA is instaat om 'Man in the Middle Attack' uit te voeren, omdat ze absoluut instaat zijn om om publieke certificaten aan te vragen gebaseerd bij de bestaande CA's. Wat Hoepman over het hoofd ziet, is de huidige implementatie van het geheel en Bruce neemt dat mee in zijn overweging om te bepalen voor wat *nu* veiliger is.
Asymmetrische (PKI) zal in zijn wiskundige vorm veiliger zijn, maar bij een symmetrische verbinding bestaat de noodzaak niet van een PKI achtige infrastructuur waarop de NSA kan terugvallen.
Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.
En sinds wanneer is het concept "het spul zelf is veilig, maar de manier waarop je het implementeert kn het onveilig maken" iets nieuws? Noem één beveiligingsmaatregel waar dat niet voor geldt?
Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.
Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?
95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.
Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.
Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?
95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.
Wie heeft het over achteraf...? Ik doelde op realtime!
Ze kunnen het verkeer overal naar zich toe routeren en dat gebeurd, zo liep ooit eens het verkeer naar TPB richting US.
https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS
En ik las daar nog ergens een "neu neu is veel te ongeloofwaardig". Natte droom van de NSA, iemand die zelfs nu nog denkt dat het allemaal wel meevalt :)
Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.
Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?
95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.
Wie heeft het over achteraf...? Ik doelde op realtime!
Ze kunnen het verkeer overal naar zich toe routeren en dat gebeurd, zo liep ooit eens het verkeer naar TPB richting US.
https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS
Klik service
https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS
Merk op dat voor bewijsbare veiligheid het gebruik van true randomness een noodzakelijke voorwaarde is en dat vrijwel geen enkel (commercieel) systeem op dit moment true randomness gebruikt maar pseudo-randomness.
Het klopt dat je true randomness een noodzaak is, maar psuedo random numbers kunnen in veel gevallen ook goed werken.
In bijvoorbeeld Linux heb /dev/random en /dev/urandom
Deze 2 komen aan hun waardes door data uit te lezen van device drivers e.d.
It allows access to environmental noise collected from device drivers and other sources.
> Het klopt dat je true randomness een noodzaak is,
> maar psuedo random numbers kunnen in veel gevallen ook goed werken.
Op https://wuala.com/FreemoveQuantumExchange/Aspects/Randomness/Theory zijn verschillende methoden te vinden waarmee pseudo-randomness gekraakt kan worden. Ook zijn hier voorbeeld implementaties te vinden, bijvoorbeeld voor het kraken van de MicroSoft PRNG in lineaire tijd O(n).
> Dit is inderdaad niet 'true random',
> maar komt zeer zeker in de buurt daarvan en kan ook daarvoor in de plaats worden gebruikt.
In het document "saving private randomness" in een van de sub-directories van de eerder gegeven link wuala.com/QuantumRandomnessApplications/Information/Examples is het bewijs te vinden dat pseudo-randomness niet random kan zijn wanneer de rate van gebruikte input true public-randomness niet minstens even groot is als de rate van output pseudo-randomness. Voor public true randomness kan bijvoorbeeld de server op qrng.physik.hu-berlin.de/ gebruikt worden.
Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.
Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?
95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.
Wie heeft het over achteraf...? Ik doelde op realtime!
Ze kunnen het verkeer overal naar zich toe routeren en dat gebeurd, zo liep ooit eens het verkeer naar TPB richting US.
https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS
Niet dat ze een MITM-attack nodig hebben als ze al het internetverkeer opslaan en beschikken over systemen die krachtig genoeg zijn om binnen een redelijke tijd de encryptie te kraken...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
