Nieuws
image

Ontwerper RSA-algoritme: encryptie is passé

donderdag 28 februari 2013, 10:48 door Redactie, 6 reacties

Eén van de ontwerpers van het RSA-algoritme, dat wereldwijd wordt gebruikt om belangrijke gegevens te beschermen, heeft gezegd dat recente aanvallen duidelijk maken dat encryptie passé is. Dat liet Adi Shamir tijdens de RSA-conferentie weten. Samen met Ron Rivest en Len Adleman is hij de bedenker van RSA, een asymmetrisch encryptiealgoritme.

"Ik geloof zeker dat encryptie minder belangrijk wordt. Zelfs de best beveiligde computers in de meest geïsoleerde omgevingen zijn de afgelopen jaren door een verzameling Advanced Persistent Threats (APT) en andere geavanceerde aanvallen gehackt", aldus Shamir. Volgens de crypto-expert moeten we dan ook opnieuw bedenken hoe we ons moeten beschermen.

Encryptie
Traditioneel werd er over twee verdedigingslinies nagedacht. De eerste linie was het voorkomen van de infectie door anti-virus en andere maatregelen. De twee maatregel was het detecteren van de malware of hacker zodra die op het systeem was. Recentelijk is duidelijk geworden dat sommige malware jarenlang onopgemerkt kan blijven.

"Het is erg lastig om cryptografie effectief te gebruiken als je ervan uitgaat dat een APT alles bekijkt wat je op het systeem doet", liet Shamir tijdens een paneldiscussie weten. "We moeten over veiligheid in een post-cryptografie wereld gaan nadenken."

Een mogelijke oplossing is het verbeteringen van de al bestaande certificate authority infrastructuur. Recente aanvallen op DigiNotar, Comodo en andere certificaatverstrekkers hebben laten zien dat er een aantal inherente kwetsbaarheden in het systeem aanwezig zijn.

PKI
"We hebben een Public Key Infrastructuur nodig, waar mensen kunnen aangeven wie ze vertrouwen, en dat hebben we niet", liet Rivest weten, die ook tijdens de discussie aanwezig was. "We hebben een PKI nodig die niet alleen flexibel is in de manier waarop de vertrouwende partij aangeeft wat ze vertrouwen, maar ook in de manier hoe ze fouten kunnen tolereren."

Voorlopig verwacht Shamir dat er meer incidenten met certificate authorities zullen plaatsvinden, zoals onlangs gebeurde bij TurkTrust, een Turkse CA. Het bedrijf had een certificaat voor Google-domeinen aan twee partijen uitgegeven, waaronder een aannemer voor de Turkse overheid.

"We zullen meer van dit soort incidenten zien, waar een CA onder druk van een overheid zich vreemd zal gedragen. Het stelt de vraag of de veiligheid van de PKI-infrastructuur niet onder zware druk staat."

Reacties (6)
28-02-2013, 11:25 door Anoniem
"We hebben een Public Key Infrastructuur nodig, waar mensen kunnen aangeven wie ze vertrouwen, en dat hebben we niet", liet Rivest weten, die ook tijdens de discussie aanwezig was.

Nou ja, daarvoor bestaat al langer PGP. Maar die dicht waarschijnlijk eis 2 wat minder goed af:

"We hebben een PKI nodig die niet alleen flexibel is in de manier waarop de vertrouwende partij aangeeft wat ze vertrouwen, maar ook in de manier hoe ze fouten kunnen tolereren."

Maar dat is een kleiner administratief probleem zou ik verwachten dan het eerste.
28-02-2013, 11:48 door Anoniem
wat is het nut van een PKI infrastructuur als je kennelijk niet meer gaat encrypten?
28-02-2013, 12:08 door Anoniem
Volgens mij bedoelt Shamir dat encryptie niet langer de plek is waar de aanvallen plaatsvinden, en dat er dus op andere gebieden verbetering moet komen. Encryptie blijft gewoon gebruikt worden.
Wat hij misschien bedoelt met dat encryptie passé is, is dat het geen zin heeft encryptie te gebruiken als het ergens anders fout gaat. Als je dus zorgt dat het op de andere plekken wel goed gaat, heeft ook encryptie nog zin.
28-02-2013, 15:09 door Anoniem
Door Redactie: Voorlopig verwacht Shamir dat er meer incidenten met certificate authorities zullen plaatsvinden, zoals onlangs gebeurde bij TurkTrust, een Turkse CA. Het bedrijf had een certificaat voor Google-domeinen aan twee partijen uitgegeven, waaronder een aannemer voor de Turkse overheid.
Nee, dit is niet zo. TurkTrust had twee certificaten uitgegeven die per ongeluk CA-certificaten waren i.p.v. SSL-certificaten. De servers waarop deze certificaten gebruikt werden zijn vervolgens gehackt, en de gestolen certificaten zijn vervolgens gebruikt om SSL-certificaten voor Google aan te maken.
28-02-2013, 17:51 door Anoniem
Door Anoniem: Volgens mij bedoelt Shamir dat encryptie niet langer de plek is waar de aanvallen plaatsvinden, en dat er dus op andere gebieden verbetering moet komen. Encryptie blijft gewoon gebruikt worden.
Wat hij misschien bedoelt met dat encryptie passé is, is dat het geen zin heeft encryptie te gebruiken als het ergens anders fout gaat. Als je dus zorgt dat het op de andere plekken wel goed gaat, heeft ook encryptie nog zin.

Ja, maar het is niets nieuws, de cryptologen waren eigenlijk de enige die nog met oogkleppen rondliepen. Als ze het over "security" hadden, bedoelde ze encryptie.
01-03-2013, 16:35 door Erik van Straten
Door Redactie: Eén van de ontwerpers van het RSA-algoritme, dat wereldwijd wordt gebruikt om belangrijke gegevens te beschermen, heeft gezegd dat recente aanvallen duidelijk maken dat encryptie passé is. Dat liet Adi Shamir tijdens de RSA-conferentie weten.
Dit kon ik niet geloven, en helaas vermeldt de redactie geen bron voor deze, in mijn ogen bizarre, uitspraak die Shamir gedaan zou hebben.

Elders lees ik bijvoorbeeld (de vette tekst lege regels tussendoor zijn door mij toegevoegd):
Uit http://bristolcrypto.blogspot.com/2013/02/rsa-conference-2013-cryptographers-panel.html: [...]
The second topic of discussion was what each panelist felt was the most significant attack seen in the past year. Here the focus moved to Certification Authorities and the recent problems with these.

As a result of this discussion, Ari Juels asked if the importance of Cryptography was diminishing, to which Adi Shamir agreed.

He (Erik neemt aan Adi Shamir) then gave an example focusing on the case where even the most isolated systems have now suffered from attacks.

Shamir felt that we need to rethink how we protect ourselves and assume threats are already within our systems. Ron Rivest stressed that he felt that crypto was still essential.
[...]
Met andere woorden, hier lijkt Shamir, in de context van recente problemen bij Certificate Authorities, de vraag of het belang van cryptografie afneemt, bevestigend te hebben beantwoord. Maar daar wel meteen aan toevoegt, dat hij het gevoel heeft dat we opnieuw moeten doordenken op welke wijze we ons het beste kunnen beschermen, ervan uitgaande dat bedreigingen al in onze systemen aanwezig zijn.

Dat is echt iets heel anders dan dat cryptografie passé zou zijn, een stelling die Ron Rivest -naar verluidt- meteen heeft ontkracht.

Kortom, ik lees de hele uitspraken van Shamir zo dat het duidelijk is dat als een aanvaller bij een geheime sleutel kan (of daar indirect gebruik van kan maken), encryptie zinloos is. Er is geen (nieuw) probleem met encryptie, maar met de bediscussieerde toepassing - de publieke, CA gebaseerde, PKI.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure