image

Expert: encryptie waarschijnlijk wel veilig

dinsdag 10 september 2013, 12:19 door Redactie, 18 reacties
Laatst bijgewerkt: 11-09-2013, 09:24

De onthullingen dat de NSA een groot deel van het versleutelde internetverkeer zou kunnen kraken hebben vooral betrekking op de implementatie en niet op de veiligheid van cryptografie zelf. Dat zegt Jaap-Henk Hoepman, onderzoeker digitale veiligheid bij TNO en de Radboud Universiteit in Nijmegen in een artikel op zijn weblog Xot.nl.

Exacte details over welke encryptie-algoritmes de NSA kan kraken en hoe het dit precies doet zijn nog altijd onbekend. Beveiligingsgoeroe Bruce Schneier gaf naar aanleiding van de onthullingen verschillende adviezen zodat internetgebruikers zich beter kunnen beschermen tegen eventueel afluisteren door een inlichtingendienst. Eén van die adviezen was dat symmetrische cryptografie beter dan public key cryptografie is, wat Hoepman verbaasde. "Symmetrische cryptografie beter dan public key cryptografie? Dat is precies tegenovergesteld van wat je zou verwachten."

Symmetrische cryptografie

Bij symmetrische cryptografie gebruiken de zender en ontvanger dezelfde sleutel. Dat betekent dat het lastig is om ervoor te zorgen dat je met iedereen die jou een bericht wil sturen zo'n sleutel deelt, terwijl niemand anders die sleutel kent, merkt de onderzoeker op. Bij symmetrische cryptosystemen (DES en AES) worden het bericht en de sleutel op onontwarbare manier vermengd. De manier waarop is ondoorgrondelijk, en er is geen wiskundig bewijs dat die methode echt veilig is.

Bij public key cryptografie genereert de ontvanger een sleutelpaar: een privésleutel die hij geheim houdt, en een bijbehorende publieke sleutel die iedereen mag weten. De publieke sleutel wordt gebruikt om het bericht te versleutelen. De privésleutel is nodig om het bericht te ontcijferen. Dit lost het probleem van de sleuteldistributie van symmetrische cryptografie deels op.

"Public key cryptografie is gebaseerd op de (door wiskundigen breed gedragen) aanname dat bepaalde wiskundige problemen moeilijk zijn op te lossen", aldus Hoepman. Hij deed een rondvraag waarom een internetgebruiker symmetrische cryptografie boven public key cryptografie zou moeten verkiezen, zoals Schneier adviseert.

Invloed van NSA

Uit de rondvraag komen drie argumenten naar voren. Zo acht Schneier het waarschijnlijker dat de NSA een fundamentele wiskundige ontdekking doet of heeft gedaan, waardoor de moeilijk geachte wiskundige problemen helemaal niet zo moeilijk zijn op te lossen. Een andere reden is de rol van Certificate Authorities (CA) bij de sleuteldistributie van public key cryptografie. De CA geeft een certificaat uit waarin staat wat de publieke sleutel van een persoon is. De belangrijkste en meest gebruikte Certificate Authorities zijn echter Amerikaans.

Verder hebben Public key cryptosystemen parameters die vrij te kiezen zijn en de veiligheid van het systeem behoorlijk kunnen beïnvloeden. "Vaak heeft de NSA direct of indirect invloed op de standaarden waarin bepaalde keuzes voor dergelijke parameters worden vastgelegd. In het geval van Elliptic Curve Cryptografie (ECC) zijn de meest gebruikte curves vastgelegd in Amerikaanse standaarden. Symmetrische cryptosystemen hebben dergelijke parameters niet, behalve een beperkte keuze in de sleutellengte en de blokgrootte", merkt Hoepman op.

Zekerheid

Hij begrijpt het wantrouwen tegen ECC, maar stelt dat de zogenaamde discrete logsystemen en het op priemfactorisatie gebaseerde RSA een probleem hebben. Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is.

"Met andere woorden: op de vraag of cryptografie nog veilig is, is het ontluisterende antwoord: ja, waarschijnlijk wel, maar we weten het niet zeker, en onze onzekerheid is toch iets toegenomen na de onthullingen van de afgelopen dagen. Helaas bestaat er geen cryptosysteem waarvan we kunnen bewijzen dat deze echt absoluut veilig is", zo concludeert de onderzoeker.

Reacties (18)
10-09-2013, 12:40 door Cornelius
Bottomline komt het er in dit artikel op neer dat de algoritmen niet onveilig zijn, maar de implementatie van de algoritmen. Laten we nu net allemaal te maken hebben met die implementatie... Het probleem blijft dus even groot.
10-09-2013, 13:08 door Anoniem
Het systeem op wuala.com/FreemoveQuantumExchange dat sinds 2007 operationeel is ondersteund zowel asymmetische als informatie-theoretische symmetrische encryptie gebaseerd op true quantum randomness.

Van verschillende gebruikte symmetrische encryptie protocollen zijn op wuala.com/QuantumRandomnessApplications/Information/Examples/ wiskundige bewijzen te vinden dat deze gegarandeerd veilig zijn.

Merk op dat voor bewijsbare veiligheid het gebruik van true randomness een noodzakelijke voorwaarde is en dat vrijwel geen enkel (commercieel) systeem op dit moment true randomness gebruikt maar pseudo-randomness.
10-09-2013, 13:11 door Anoniem
Als je dit beweert....
"Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is"

Moet ik hem dan serieus nemen?
10-09-2013, 14:29 door Anoniem
Door Anoniem: Als je dit beweert....
"Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is"

Moet ik hem dan serieus nemen?

Waarschijnlijk niet, mijn sleutels zijn groter en ik kan er nog heel goed mee werken.
10-09-2013, 14:44 door Mozes.Kriebel
"het ontluisterende antwoord: ja, waarschijnlijk wel"
Dus nee.
10-09-2013, 16:48 door Anoniem
Door Anoniem:
Door Anoniem: Als je dit beweert....
"Een veilige RSA-sleutel is op dit moment al 2048-bits, wat volgens Hoepman al behoorlijk onwerkbaar groot is"

Moet ik hem dan serieus nemen?

Waarschijnlijk niet, mijn sleutels zijn groter en ik kan er nog heel goed mee werken.

Het dycrypten of het signeren met RSA-2048 is geen probleem als je het af en toe moet doen. Maar er zijn systemen waar je dit duizenden keren per seconde moet doen. Denk aan OAuth signeren van JWT tokens. Dan heb je wel een probleem, dat je kan oplossen door meer servers te gebruiken of ECC te gebruiken, wat sneller is dan RSA.
Ik geef toe dat mijn vertrouwen in ECC wel een deuk heeft opgelopen.
10-09-2013, 19:50 door Sokolum - Bijgewerkt: 10-09-2013, 19:52
Eén van die adviezen was dat symmetrische cryptografie beter dan public key cryptografie is

Ja, absoluut overtuigd! Want.... De NSA is instaat om 'Man in the Middle Attack' uit te voeren, omdat ze absoluut instaat zijn om om publieke certificaten aan te vragen gebaseerd bij de bestaande CA's. Wat Hoepman over het hoofd ziet, is de huidige implementatie van het geheel en Bruce neemt dat mee in zijn overweging om te bepalen voor wat *nu* veiliger is.

Asymmetrische (PKI) zal in zijn wiskundige vorm veiliger zijn, maar bij een symmetrische verbinding bestaat de noodzaak niet van een PKI achtige infrastructuur waarop de NSA kan terugvallen.

Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.
10-09-2013, 20:02 door schele
Euh... artikel titel en laatste zin spreken elkaar tegen.

En sinds wanneer is het concept "het spul zelf is veilig, maar de manier waarop je het implementeert kn het onveilig maken" iets nieuws? Noem één beveiligingsmaatregel waar dat niet voor geldt?
10-09-2013, 21:41 door MI-10
Expert: encryptie waarschijnlijk wel veilig
Waarschijnlijk.....nou, dus waarschijnlijk niet. Ik vertrouw het zeker niet meer.
10-09-2013, 22:05 door Anoniem
ik hoor hier niemand over export regels ten aanzien van cryptografie, met name die vanuit de states. Het lijkt mij niet onwaarschijnlijk dat al jaren er alleen export vergunningen voor ingebouwde cryptografie in software en hardware verstrekt wordt, waar delen zijn prijsgegeven.
10-09-2013, 23:42 door MI-10 - Bijgewerkt: 10-09-2013, 23:42
Door Anoniem: ik hoor hier niemand over export regels ten aanzien van cryptografie, met name die vanuit de states. Het lijkt mij niet onwaarschijnlijk dat al jaren er alleen export vergunningen voor ingebouwde cryptografie in software en hardware verstrekt wordt, waar delen zijn prijsgegeven.
Nou, export-regels zijn ons wel degelijk bekend. Maar of iedereen dat in overweging neemt (in zijn verhaal hier) is de vraag natuurlijk.
11-09-2013, 00:02 door burne101

Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.

Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?

95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.
11-09-2013, 00:37 door Sokolum - Bijgewerkt: 11-09-2013, 00:37
Door burne101:

Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.

Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?

95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.

Wie heeft het over achteraf...? Ik doelde op realtime!
Ze kunnen het verkeer overal naar zich toe routeren en dat gebeurd, zo liep ooit eens het verkeer naar TPB richting US.

https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS
11-09-2013, 09:01 door schele
Export regels die overigens bijna evengoed ook gelden voor Nederland hoor. En zowat alle andere EU landen. Zie het Wassenaar akkoord.

En ik las daar nog ergens een "neu neu is veel te ongeloofwaardig". Natte droom van de NSA, iemand die zelfs nu nog denkt dat het allemaal wel meevalt :)
11-09-2013, 09:27 door User2048
Door Sokolum:
Door burne101:

Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.

Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?

95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.

Wie heeft het over achteraf...? Ik doelde op realtime!
Ze kunnen het verkeer overal naar zich toe routeren en dat gebeurd, zo liep ooit eens het verkeer naar TPB richting US.

https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS

Klik service
https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS
11-09-2013, 11:10 door [Account Verwijderd]
Door Anoniem:

Merk op dat voor bewijsbare veiligheid het gebruik van true randomness een noodzakelijke voorwaarde is en dat vrijwel geen enkel (commercieel) systeem op dit moment true randomness gebruikt maar pseudo-randomness.
Waar en niet waar.
Het klopt dat je true randomness een noodzaak is, maar psuedo random numbers kunnen in veel gevallen ook goed werken.

In bijvoorbeeld Linux heb /dev/random en /dev/urandom
Deze 2 komen aan hun waardes door data uit te lezen van device drivers e.d.
van wikipedia:https://en.wikipedia.org/wiki//dev/random
It allows access to environmental noise collected from device drivers and other sources.
Dit is inderdaad niet 'true random', maar komt zeer zeker in de buurt daarvan en kan ook daarvoor in de plaats worden gebruikt.
11-09-2013, 12:06 door Anoniem
@bbecko:

> Het klopt dat je true randomness een noodzaak is,
> maar psuedo random numbers kunnen in veel gevallen ook goed werken.

Op https://wuala.com/FreemoveQuantumExchange/Aspects/Randomness/Theory zijn verschillende methoden te vinden waarmee pseudo-randomness gekraakt kan worden. Ook zijn hier voorbeeld implementaties te vinden, bijvoorbeeld voor het kraken van de MicroSoft PRNG in lineaire tijd O(n).

> Dit is inderdaad niet 'true random',
> maar komt zeer zeker in de buurt daarvan en kan ook daarvoor in de plaats worden gebruikt.

In het document "saving private randomness" in een van de sub-directories van de eerder gegeven link wuala.com/QuantumRandomnessApplications/Information/Examples is het bewijs te vinden dat pseudo-randomness niet random kan zijn wanneer de rate van gebruikte input true public-randomness niet minstens even groot is als de rate van output pseudo-randomness. Voor public true randomness kan bijvoorbeeld de server op qrng.physik.hu-berlin.de/ gebruikt worden.
11-09-2013, 21:56 door Anoniem
Door Sokolum:
Door burne101:

Dus NSA is instaat om vanaf de originele CA's certificaten aan te laten maken en kan zo bepaalde SSL verkeersstromen naar zich toe trekken en een 'Man in the middle attack' uit te voeren.

Een van de 'claims' is dat de NSA achteraf opgeslagen verkeer zou kunnen decrypten. Wellicht dat je even uit kunt leggen hoe je achteraf, op opgeslagen verkeer, een MITM uitvoert?

95% van wat ik de afgelopen maanden gelezen heb is zo overdreven, zo onwaarschijnlijk dat het volstrekt ongeloofwaardig is.

Wie heeft het over achteraf...? Ik doelde op realtime!
Ze kunnen het verkeer overal naar zich toe routeren en dat gebeurd, zo liep ooit eens het verkeer naar TPB richting US.

https://www.security.nl/posting/35406/Nederlands+verkeer+Pirate+Bay+gaat+via+VS

Niet dat ze een MITM-attack nodig hebben als ze al het internetverkeer opslaan en beschikken over systemen die krachtig genoeg zijn om binnen een redelijke tijd de encryptie te kraken...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.