De juiste aandacht voor uw informatiebeveiliging™

The Return of the … Coppersmith?

The Return of the … Coppersmith?

Structurele fout in encryptiecode kan leiden tot grootse problemen wereldwijd

Iedereen die dacht dat encryptie, gebruikmakend van een publieke en een private sleutel, dé oplossing is voor de optimale en volledige bescherming van data, communicatie, hardware en software, credit cards of zelfs een persoonsidentiteit kan opnieuw beginnen. Op 16 oktober 2017 is bekend geworden dat een 5-jaar oude kwetsbaarheid in de encryptiecode het security basisprincipe van de publieke/private encryptiesleutel in zijn geheel onderuit kan halen.

Encryptie technologie wordt inmiddels wereldwijd toegepast voor uiteenlopende zaken die optimaal beschermd dienen te worden. Grote fabrikanten als Google, HP, Lenovo en Microsoft bieden security oplossingen in hun hardware en/of software producten die gebruik maken van deze kwetsbare technologie. Infineon, een Duitse fabrikant van security chipsets, past deze technologie toe in onder meer TPM (Trusted Platform Module) en andere Security Hardware chipsets die door vele fabrikanten worden gebruikt. Het risico dat ontstaat is dan ook zo groots dat het effect en de gevolgen ervan nog niet te overzien zijn.

Encryptie was toch veilig?

Het basisprincipe van encryptie op basis van een private en een publieke sleutel bestaat uit het feit dat men beide nodig heeft om versleutelde data te kunnen gebruiken. Deze sleutels worden gegenereerd uit twee (hele) grote willekeurige priemgetallen en vermenigvuldigd. De uitkomst wordt gebruikt om data te versleutelen of te ontsleutelen voor gebruik. Die basis priemgetallen dienen geheim te blijven, maar zelfs wanneer een van de twee bekend zou zijn, dan is het andere getal nog niet te herleiden. Die herberekening zou dusdanig veel tijd in beslag nemen (meer dan enkele quadriljoen jaren) dat dit niet realistisch zou blijken. Dit werkt al jaren naar volledige tevredenheid van fabrikanten, gebruikers, bedrijven, overheden en beschermt waardevolle data.

Maar uit recent onderzoek is gebleken dat de private sleutel heel eenvoudig kan worden bepaald aan de hand van de bijbehorende publieke sleutel. Met behulp van deze private sleutel kunnen hackers zich nadien voordoen als de eigenaar van die sleutel, gevoelige data versleutelen of juist ontsleutelen, malware installeren op systemen en allerlei security systemen ontwijken. De basis van deze nieuwe hack ligt in een oude techniek, de Coppersmith Attack en vandaar dat deze kwetsbaarheid ROCA wordt genoemd; the Return of The Coppersmith Attack. De aanval is ook bekend als CVE-2017-15361 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15361)

Estland het eerste slachtoffer

In september maakt de Estlandse regering bekend dat meer dan 750.00 in gebruik zijnde digitale ID’s kwetsbaar zijn en dat om misbruik tegen te gaan hun ID card publieke sleutel database werd afgesloten. Er zijn plannen om vanaf november alle betrokken sleutels in te wisselen. Ook in Slowakije spelen soortgelijke problemen.

Maar …

Er zijn ook grenzen aan het kunnen doorbreken van de versleuteling van data. Er is veel rekenkracht nodig om de sleutels te kunnen herbekenen en hiervoor worden vooral gekoppelde computersystemen ingezet. Ter indicatie van wat er allemaal voor nodig is; om een 2048-bit sleutel te achterhalen hebben meer dan 1000 virtuele machines op Amazon Web Services meer dan 17 dagen nodig, voor een 1024-bit sleutel slechts 45 minuten.

Alle betrokken fabrikanten realiseren zich de ernst van dit probleem en ontwikkelen updates ter bescherming tegen deze nieuwe kwetsbaarheid. Aangezien het probleem zich zo diep in de producten bevindt is het voor u als gebruiker lastig om er zelf iets aan te doen. Neemt u daarom bij twijfel direct contact op met een van onze SECWATCH experts. Publieke sleutels kunnen worden gecontroleerd op hun kwetsbaarheid via een online tool op https://keychest.net/roca.

“Door de SECWATCHED™-certificering kan men nu aan de klanten laten zien dat het bedrijf vertrouwelijk en integer met de klantgegevens omgaat.”

- Directeur aanbieder Cloud-dienst met meer dan 250 klanten

SecWatch