CWI en Google voeren succesvolle collision-aanval uit op sha-1-algoritme
Onderzoekers van het Centrum Wiskunde & Informatica (CWI) in Amsterdam en Google zijn erin geslaagd met succes een collision-aanval uit te voeren op het sha-1-algoritme. Het secure hash algorithm (sha) is een hashfunctie die data omzet in een unieke hashcode. Dit algoritme wordt onder andere gebruikt voor digitale handtekeningen, het beveiligen van creditcard transacties, GIT open source reposities en softwaredidstributies.
Hashing is een technologie waarbij data wordt omgezet in een unieke hashcode. Een hashingalgoritme hoort een unieke uitvoer te generen aan de hand van iedere willekeurige invoer, zonder dat de oorspronkelijke invoer te achterhalen is. Sinds 2005 zijn echter verschillende collision-aanvallen op het sha-1-algoritme ontdekt die ertoe leiden dat verschillende invoer tot dezelfde uitvoer leidt.
In 2011 afgeschreven
Dit was voor de NIST reden sha-1 in 2011 af te schrijven. Desondanks wordt het algoritme nog steeds op brede schaal gebruikt. “Veel applicaties maken nog steeds gebruik van SHA-1, ondanks dat deze officieel is afgeschreven door de NIST in 2011 nadat sinds 2005 verschillende kwetsbaarheden aan het licht zijn gekomen. Onze bevindingen bewijzen dat het de technologie door een groot deel van de industrie te laat is afgeschreven en dat migratie naar veiligere standaarden zo snel mogelijk moet gebeuren”, stelt Marc Stevens, cryptanalist bij het CWI. Het onderzoek is door Stevens uitgevoerd in samenwerking met beveiligingsonderzoeker Elie Bursztein van Google.
Mozilla heeft inmiddels laten weten de ondersteuning voor het sha-1-algoritme van de webbrowser Firefox te hebben uitgeschakeld. Daarnaast wordt sha-1 vanaf Firefox 52, die begin maart wordt verwacht, officieel niet meer ondersteund. Mozilla meldt dat dit bezoekers zal treffen van websites die nog niet zijn gemigreerd naar sha-2 certificaten. Op dit moment is 0,1% van het webverkeer afkomstig van websites die sha-1 gebruiken. Mozilla adviseert websitebeheerders zo snel mogelijk over te stappen op sha-2.
Meer over
Lees ook
KnowBe4-onderzoek: kennis over online veiligheid en wenselijk gedrag in Nederland is ver ondermaats
Uit een nieuw rapport van KnowBe4 blijkt dat het gedrag waarmee medewerkers de online veiligheid van hun organisatie beïnvloeden sterk varieert binnen Europa. Met een score van 73 op een schaal van totaal 100 punten boekt Europa een wereldwijd gemiddelde score op deze zogenoemde ‘Security Culture-index’.
SentinelOne en Smarttech247 bundelen krachten voor nieuwe generatie managed detection and response
SentinelOne, een leider op het gebied van AI-security, en Smarttech247, wereldwijd leverancier van cybersecurity-oplossingen, gaan samenwerken
De digital decade: wat betekent dit voor de EU, de infrastructuur en de digitale diensten van morgen?
Het Belgisch voorzitterschap van de Raad van de Europese Unie prioriteert de digitale transitie in 2024. Wat kunnen we verwachten van de toekomst? Hoe zal technologie ten dienste staan van burgers en organisaties?