Websites & WordPress

Google a cassé l’algorithme cryptographique SHA-1 !

Ahhh, alles klinkt gezelliger in het Frans.
Maar toch, de boodschap is beangstigend.

Shortread: Kwaaijongens verbant het gebruik van SHA-1.

Het encryptie mechanisme SHA-1 is gekraakt. Ze noemen het ‘SHA1 collision’.
Er zit een gat in. Het is in essentie (nu al) niet meer te vertrouwen en het gebruik ervan moet verbannen worden.

SHA-1 is de basis van ontelbaar veel ‘ik-vertrouw-jou-contracten’ die servers gebruiken om van elkaar op aan te kunnen.
Onder andere SSL certificaten (van het groene slotje).

Maar zeker ook en minstens zo belangrijk, is het de basis om het eens te worden of een bestand origineel is. Of het niet veranderd is tijdens (bijvoorbeeld) het kopieren van serverA naar serverB.  Hashing; zo heet dit specifieke ‘ik-vertrouw-jou’ contract.

Wikepedia zegt: Een goede hashfunctie is er een die weinig botsingen veroorzaakt in het domein waarmee ze werkt, dit wil zeggen dat er weinig kans is dat twee verschillende invoerwaarden dezelfde uitvoer geven.

Leer hier heel-helder over hashing: https://www.youtube.com/watch?v=b4b8ktEV4Bg

Snaptst? Je voert een wiskundig truukje uit op een bestand, en krijgt een getal terug. Dat getal is zo uniek, dat het onmogelijk is dat een ander bestand datzelfde getal krijgt. Perfect dus. Ieder bestand op de wereld, wat het ook is, krijgt met dit truukje een uniek nummer. Als we dus alleen maar kijken naar dit nummer en niet naar de inhoud, komt alles goed !

Maar wat nu als blijkt dat dit truukje (hack!!) aan 2 verschillende bestanden hetzelfde nummer geeft ? Tadaa ! Zie de shortread hierboven.

Iedereen snapt dat het van het grootste belang is dat gegarandeerd kan worden dat een bestand niet veranderd is.

Of compleet vervalst is zelfs: in plaats van geld sturen naar je tante, ontvangt de bank een opdracht om het bedrag naar een katvanger in Oelieboelie-land over te maken.
De Hash-key die de servers waren overeengekomen klopte. Alleen onderweg is de opdracht vervangen, met dezelfde Hashkey. De ontvanger vertrouwt het en voert het uit. Weg geld.

Deze treurige doorbraak ‘buzzed’ al een tijdje in internet-land. SHA-1 kwam in een steeds kwaaier daglicht te staan.
Daarom is Kwaaijongens medio 2016 gestopt met SHA-1 ondersteuning.

Vragen? Stel ze gerust