RESULTATERFINANS

Sårbarhet i vanlig sikkerhetsprotokoll

En sveitsisk gruppe har greid å dekryptere passord kryptert med den svært utbredte SSL-protokollen på under en time.

21. feb. 2003 - 16:04

Et gruppe forskere ved Lasec Security and Cryptography Laboratory i Lausanne forteller at de har funnet en svakhet i SSL-protokollen (Secure Sockets Layer). Dette er trolig første gangen at det er blitt oppdaget en sårbarhet i selve protokollen, som brukes for å kryptere informasjon blant annet i forbindelse med nettbanker og e-handel. Websider hvor URL-en begynner med "https://" er normalt beskyttes med SSL.

Men det finnes ulike algoritmer som SSL-teknologien tar i bruk for å kryptere informasjon. Den delen av SSL-protokollen som forskerne i Sveits har funnet et hull i - CBC - benyttes normalt ikke i forbindelse med nettbanker og kredittkorttransaksjoner - som ifølge BBC News heller benytter RC4.

De sveitsiske forskerne ifølge fant BBC News sikkerhetshullet i SSL ved å overvåke det krypterte passord som sendes til en IMAP-basert () e-postserver ved å bruke Outlook Express og sikker oppkobling.

- Vi fikk en liten bit med informasjon om passordet hver gang, og etter 160 forsøk greide vi å rekonstruere det, sier professor Serge Vaudenay, direktør for Lasec, til BBC News.

Men Vaudenay at sikkerhetshullet bare er et virkelig sikkerhetsproblem i tilfeller hvor det samme passordet jevnlig blir sendt til en server. Svært ofte pleier e-postklienter å være stilt inn slik at de tar vare på brukerens passord og automatisk sjekker e-posten ved jevne mellomrom.

Men den samme metoden kan vanskelig brukes i forbindelse med e-hander eller nettbanker, hvor brukeren ikke vil oppgi følsom informasjon så ofte at den kan rekonstrueres på relativt kort tid.

Det er derfor ingen grunn til å la denne sårbarheten hindre deg i å bruke nettbanken eller kredittkortet som du pleier.

Forøvrig er sikkerhetshullet blitt tettet i den siste utgaven av SSL.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra