Opnieuw zeer ernstig beveiligsprobleem in SSL gevonden

Abonneer je gratis op Techzine!

Onderzoekers hebben opnieuw beveiligingsprobleem gevonden in SSL, deze keer zit het probleem in Diffie-Hellman, een protocol dat wordt gebruikt in SSL en TLS om beveiligingssleutels uit te wisselen. Kwaadwillende kunnen onderhandelen met het protocol om vervolgens tot een lagere graad van beveiliging te komen. Hierdoor lopen zowel websites, mailservers, SSH-servers en VPN-verbindingen een risico.

Het probleem zit eigenlijk in de comptabiliteit met oudere beveiligingsstandaarden, als een kwaadwillende het voor laat komen dat de nieuwe beveiligingsstandaarden niet worden ondersteund dat schakelt het Diffie-Hellman protocol automatisch over op een oudere lagere standaard, net zolang tot er een protocol wordt gevonden dat door beide partijen wordt ondersteund. Dit kan dus ook een zeer oud en minder veilig protocol zijn.

De beste oplossing die systeembeheerders kunnen toepassen is het uitschakelen van ondersteuning voor oude standaarden. Op die manier kunnen kwaadwillende alleen nog maar verbinding leggen met de nieuwste en meest veilige beveiligingsstandaarden.

Inmiddels is dit het zoveelste beveiligingsprobleem met SSL maar gelukkig zijn de meeste problemen toe te schrijven aan een oorzaak en dat zijn de oude beveiligingsstandaarden met korte sleutels. In de jaren 90 verbood de Amerikaanse overheid het gebruik van lange encryptiesleutels en moesten deze kort worden gehouden, hierdoor waren de sleutels echter ook zeer makkelijk te kraken. Inmiddels zijn lange beveiligingssleutels de normaalste zaak van de wereld en zorgen deze voor meer veiligheid.

Een ander probleem is dat beveiligingssleutels zijn gebaseerd op priemgetallen en priemgetallen van 768 bits of 1024 bits zijn te kraken door grote onderzoeksinstellingen en overheden. Daarom wordt inmiddels aangeraden om 2048 bits sleutels te gebruiken omdat die vrijwel niet te kraken zijn.