Mange krypteringsteknologier, som Enigma-maskinen, er svært gode inntil de plutselig er ubrukelige. Det gjelder også mange krypteringsmetoder som er mye nyere enn Enigma. (Bilde: TedColes, Wikimedia)

Utdatert kryptering

Millioner av tjenester bruker utdatert kryptering

Blir stadig billigere å knekke.

Analyseselskapet Netcraft kunngjorde denne uken at skanning selskapet har gjort av servere som er tilgjengelige via internett, viser at det fortsatt er i bruk nesten én million SSL-sertifikater som er signert med den antatt sårbare hash-algoritmen SHA-1, som fram til relativt nylig har vært den mest brukte hash-algoritmen i sertifikater siden bransjen forlot MD5-algoritmen.

Fortsatt utstedes slik SHA-1-sertifikater i store mengder. Ifølge Netcraft har det til nå i år blitt utstedt mer enn 120 000 SHA-1-sertifikater for bruk på weben. 3900 av disse nye sertifikatene forfaller først i 2017 eller senere. Men bruken av slike sikkerhetssertifikater er ikke begrenset til nettsteder. De brukes i forbindelse med alt fra sikre e-postprotokoller til VPN.

Dette til tross for at bransjen har ganske konkrete planer om å slutte å støtte SHA-1 innen 2017. Allerede er det nettlesere som advarer brukerne dersom de besøker nettsteder som bruker SHA-1-sertifikater.

Allerede i 2005 ble det bevist at SHA-1 lar seg knekke. Den gang ble det sagt at det ville ta 300 000 datamaskiner 74 år å knekke SHA-1. Men den gangen kunne ikke alle og enhver leie regnekapasitet i nettskyen.

Bakgrunn: Utbredt krypteringsteknologi knekket

Mer SHA-1

I det siste har blitt publisert i alle fall tre forskningsartikler som tar for seg utbredt krypteringspraksis som ikke lenger kan regnes som sikker.

Den første kom for noen uker siden fra en gruppe forskere ved institutter i Nederland, Frankrike og Singapore. De skriver at knekking av SHA-1 kan gjøres med betydelig lavere kostnader enn det som tidligere har vært antatt.

I 2012 anslo den kjente sikkerhetseksperten Bruce Schneier at et praktisk kollisjon-angrep mot SHA-1 ville koste omtrent 700 tusen dollar i år og omtrent 173 tusen dollar i 2018. Det sistnevnte er ifølge Schneier ikke mer enn det en stort, kriminelt syndikat vil kunne ha budsjett til.

Men nå mener den nevnte forskningsgruppen at prisen for å utføre et slik angrep, er langt lavere. De estimerer at prisen vil ligge på mellom 75 og 120 tusen dollar ved å leie GPU-kapasitet hos Amazon EC2 over en periode på noen få måneder.

Dette betyr at slike angrep kan være aktuelle for enkelte grupper allerede i dag.

Forskerne mener derfor at bruken av SHA-1 må opphøre enda tidligere enn ved inngangen av 2017. Alternativet er SHA-2, som nå brukes i et flertall av sertifikatene.

Nå er det ikke bare SHA-1 som er problematisk. To relaterte forskningsgrupper har nylig kommet med nye rapporter som forteller at det er på tide å ta i bruk større nøkkellengder.

Les også: Varsku mot «onde» SSL-sertifikater 

Faktorisering

I likhet med artikkelen om SHA-1, forteller også en av de to andre artiklene, Factoring as a Service, at regnekraften i systemer som Amazons EC2 gjør at angrep som tidligere bare var mulige i teorien, nå også er mulige i praksis.

Rapporten, som er skrevet av sikkerhetsforskere ved University of Pennsylvania, tar for seg 512 bits RSA-kryptering og -signaturer.

Forskerne skriver at selv om en 512 bits RSA-modulus – produktet av to store primtall – ble faktorisert allerede i 1999, så er den hyppig i bruk blant mange kryptografiske protokoller.

Forskerne antar at dette skyldes at mange ikke har fulgt på utviklingen som har skjedd når det gjelder datasystemers regnekraft.

Mens faktoriseringen i 1999 tok nesten sju måneder, til tross for at flere hundre datamaskiner og minst én superdatamaskin var involvert, viser forskerne at det samme nå kan gjøres i Amazons nettsky på under fire timer, til en pris på 75 dollar.

Forskerne har også undersøkt hvor mye 512 bits RSA er i bruk i ulike type tjenester.

Av omtrent 34 millioner nettsteder som bruker HTTPS og RSA, er drøyt 300 000 sertifikater basert på 512 bits. Mer enn 60 prosent bruker 2048 bits eller mer. Som om ikke dette er nok, er det fortsatt 7,7 prosent av de registrerte nettstedene som godtar bruk av usikre RSA Export-chiffersamlinger og dermed sårbare for FREAK-angrep.

Av et utvalgt på mer enn fire millioner e-postservere med støtte for SMTP med TLS, IMAPS eller POP3S, var det derimot nesten ingen som benyttet 512 bits sertifikatnøkler. Derimot godtar over 30 prosent av SMTP-tjenestene bruk av RSA Export-chiffersamlinger.

Det er heller ikke mange av IPsec- og SSH-serverne som bruker 512 bits RSA.

RC4 fortsatt i bruk: Nettlesere faser ut usikker krypto 

Logjam-oppfølging

Den tredje og siste vitenskapelige artikkelen i denne omgang er skrevet av gruppen som tidligere år utnyttet Logjam-angrepet, som utnytter sårbarheter knyttet til nøkkelutvekslingsmetoden Diffie-Hellman til å nedgradere sårbare TLS-forbindelser til å bruke svake 512 bits chiffersamlinger.

Forskerne skriver at Diffie-Hellman-nøkkelutveksling er en hjørnestein innen anvendt kryptografi, men at den er mindre sikker enn mange tror, slik den brukes i praksis.

Forskerne anbefaler derfor både går over til Elliptic Curve Diffie-Hellman (ECDH) i stedet, i tillegg til at man øker minimumskravet for nøkler til å bruke primtall som er på 2048 bits eller større. Nøkler på mindre enn 1024 bits kan ikke anses som sikre mot en angriper med middels store ressurser. Men selv 1024 bits nøkler er trolig mulige å knekke for statssponsede aktører.

Forskerne anbefaler derfor også å fase ute 1024 bits DHE (Diffie-Hellman Ephemeral) og RSA i nær framtid, samtidig som at de minner om at NIST anbefalte en slik overgang allerede i 2010.

Les mer om Logjam: Alle de store nettleserne må oppdateres 

Til toppen