CWI en Google voeren succesvolle collision-aanval uit op sha-1-algoritme

Een hacker (bron: FreeImages.com/Gabor Kalman)

Onderzoekers van het Centrum Wiskunde & Informatica (CWI) in Amsterdam en Google zijn erin geslaagd met succes een collision-aanval uit te voeren op het sha-1-algoritme. Het secure hash algorithm (sha) is een hashfunctie die data omzet in een unieke hashcode. Dit algoritme wordt onder andere gebruikt voor digitale handtekeningen, het beveiligen van creditcard transacties, GIT open source reposities en softwaredidstributies.

Hashing is een technologie waarbij data wordt omgezet in een unieke hashcode. Een hashingalgoritme hoort een unieke uitvoer te generen aan de hand van iedere willekeurige invoer, zonder dat de oorspronkelijke invoer te achterhalen is. Sinds 2005 zijn echter verschillende collision-aanvallen op het sha-1-algoritme ontdekt die ertoe leiden dat verschillende invoer tot dezelfde uitvoer leidt.

In 2011 afgeschreven

Dit was voor de NIST reden sha-1 in 2011 af te schrijven. Desondanks wordt het algoritme nog steeds op brede schaal gebruikt. “Veel applicaties maken nog steeds gebruik van SHA-1, ondanks dat deze officieel is afgeschreven door de NIST in 2011 nadat sinds 2005 verschillende kwetsbaarheden aan het licht zijn gekomen. Onze bevindingen bewijzen dat het de technologie door een groot deel van de industrie te laat is afgeschreven en dat migratie naar veiligere standaarden zo snel mogelijk moet gebeuren”, stelt Marc Stevens, cryptanalist bij het CWI. Het onderzoek is door Stevens uitgevoerd in samenwerking met beveiligingsonderzoeker Elie Bursztein van Google.

Mozilla heeft inmiddels laten weten de ondersteuning voor het sha-1-algoritme van de webbrowser Firefox te hebben uitgeschakeld. Daarnaast wordt sha-1 vanaf Firefox 52, die begin maart wordt verwacht, officieel niet meer ondersteund. Mozilla meldt dat dit bezoekers zal treffen van websites die nog niet zijn gemigreerd naar sha-2 certificaten. Op dit moment is 0,1% van het webverkeer afkomstig van websites die sha-1 gebruiken. Mozilla adviseert websitebeheerders zo snel mogelijk over te stappen op sha-2.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *