Wie inlogt op de website van zijn bank om transacties te doen, ziet in de url-balk een s staan achter http (‘hypertext transfer protocol’). Die s staat voor ‘secure’ en zou je gerust moeten stellen dat je veilig en onbekommerd je bankzaken kunt regelen op internet. De sites die met https beginnen, zijn namelijk beveiligd door middel van een digitaal certificaat, dat uitgegeven wordt door een van de vertrouwde Certificate Authorities (CA). Toch hoeft dit niet altijd het geval te zijn, volgens onderzoekers van het Centrum Wiskunde & Informatica in Amsterdam, EPFL in Zwitserland en de Technische Universiteit Eindhoven.

Door de kwetsbaarheid in de infrastructuur van digitale certificaten op het internet, kunnen vervalste certificaten uitgegeven worden die volledig vertrouwd worden door alle gebruikelijke webbrowsers, zoals Explorer, Firefox en Safari. Hiermee is het mogelijk om beveiligde websites en mailservers na te bootsen en om vrijwel ondetecteerbare ‘phishing aanvallen’ te doen.

De onderzoekers presenteerden hun resultaten op 30 december 2008 tijdens het 25C3 security congres in Berlijn. Ze hopen daarmee te bereiken dat betere beveiligingsstandaarden op het internet gebruikt worden. Om er zeker van te zijn dat internetadressen die met https beginnen daadwerkelijk beveiligd zijn met een authentiek certificaat van een van de Certificate Authorities, verifieert de browser de digitale handtekening ervan met standaard cryptografische algoritmes. Het team van onderzoekers ontdekte dat een van deze algoritmes – MD5 – vatbaar is voor misbruik.

Fictief certificaat

De eerste belangrijke zwakke plek in het MD5 algoritme werd in 2004 tijdens het jaarlijkse Crypto-congres over cryptologie gepresenteerd door een team van Chinese onderzoekers. Zij slaagden erin om twee verschillende bestanden te creëren met dezelfde digitale handtekening. Dit resultaat was nog beperkt. Een veel sterker resultaat werd in mei 2007 aangekondigd door de onderzoekers van het CWI, EPFL en de TU/e. Met hun methode lieten zij zien dat het zelfs mogelijk was om beide bestanden bijna geheel vrij te kiezen. Het team van onderzoekers heeft nu ontdekt dat het mogelijk is om een fictieve CA te creëren die door alle belangrijke webbrowsers vertrouwd wordt. Dit deden ze door gebruik te maken van geavanceerde wiskunde en een cluster van meer dan 200 commercieel beschikbare spelcomputers. 



De onderzoekers hebben hiermee aangetoond dat een essentieel deel van de internet-infrastructuur niet veilig is. Een vertrouwde fictieve CA, in combinatie met bekende zwakke plekken in het DNS (Domain Name System) protocol, kan de deur openzetten voor vrijwel ondetecteerbare phishing-aanvallen. Een gebruiker kan bijvoorbeeld zonder het te weten naar een onbetrouwbare site geleid worden die er precies hetzelfde uitziet als de beveiligde bank- of e-commerce website die hij denkt te bezoeken. Zijn webbrowser kan dan een vervalst certificaat ontvangen dat ten onrechte vertrouwd wordt. Zo kunnen wachtwoorden en andere persoonlijke gegevens in verkeerde handen vallen. Naast beveiligde websites en e-mailservers kan de zwakke plek ook andere veelgebruikte software beïnvloeden. 


Maatregelen

“De belangrijke browser- en internetbedrijven, zoals Mozilla en Microsoft, zijn geïnformeerd over onze ontdekking en sommige hebben al maatregelen genomen om hun gebruikers beter te beschermen,” zegt Arjen Lenstra, hoofd van EPFL’s Laboratory for Cryptologic Algorithms. “Om te voorkomen dat er schade wordt geleden, had het certificaat dat we creëerden een geldigheid van slechts één maand – augustus 2004 – en verliep dus meer dan vier jaar geleden. Het enige doel van ons onderzoek was om betere internetveiligheid te stimuleren, met adequate protocollen die de noodzakelijke veiligheid garanderen.” 



Volgens de onderzoekers laat hun ontdekking zien dat MD5 niet langer beschouwd kan worden als een veilig cryptografisch algoritme voor gebruik in digitale handtekeningen en certificaten. MD5 wordt momenteel nog steeds door enkele CA’s gebruikt bij de uitgifte van digitale certificaten voor een groot aantal beveiligde websites. “Theoretisch was het al mogelijk om een fictieve CA te creëren sinds onze publicatie in 2007,” zegt cryptanalist Marc Stevens (Cryptology Group, CWI). “Het is noodzakelijk dat browsers en CA’s stoppen met het gebruik van MD5 en overstappen op robuustere alternatieven, zoals SHA-2 en de komende SHA-3 standaard,” beklemtoont Lenstra.