Een Amsterdamse onderzoeker is er in geslaagd de beveiliging van het internet te kraken. Marc Stevens heeft een gat gevonden in het zogeheten SHA1-systeem. 

Dat zorgt er achter de schermen voor dat elke e-mail, elke betaling en elk wachtwoord wordt versleuteld. Zij krijgen een unieke vingerafdruk, zodat ze niet te misbruiken zijn.

Stevens' werkgever, het Centrum Wiskunde & Informatica in Amsterdam, en Google, dat de onderzoeker hielp, hebben de geslaagde aanval donderdag bekendgemaakt. Stevens is voor zover bekend de eerste die door de 'muur' heen komt. Hij is jaren bezig geweest om de aanval voor te bereiden.

De speciale computers van Google moesten vervolgens 9,2 triljoen (miljard keer miljard) berekeningen uitvoeren, wat een paar maanden kostte. "Dat het kon was in de theorie al aangetoond, maar wij hebben het nu in de praktijk laten zien", aldus Stevens.

Onvoorspelbaar

Een digitale vingerafdruk moet volgens Stevens "uniek en onvoorspelbaar zijn, het mag zelfs met inspanning niet lukken om twee berichten dezelfde vingerafdruk te geven". Dat is hem echter wel gelukt met twee pdf-bestanden.

"Je kunt iemand voor de gek houden, een bestand laten ondertekenen terwijl die dat niet zou willen doen. Je kunt bijvoorbeeld twee facturen maken, de goedkope sturen en laten ondertekenen en dan de dure gebruiken om geld te krijgen. Oplichting dus."

Moeilijker

Bij een moeilijkere aanval zou het ook mogelijk zijn om verschillende versies van dezelfde software te verspreiden. "Je geeft alle versies dezelfde handtekening. Dan zorg je doelbewust dat de een een schone versie krijgt en de ander een aangepaste variant, waarbij de achterdeur openstaat. Je kunt doen wat je wil, je hebt veel meer vrijheid en het is dus veel gevaarlijker."

Voor cyberspionnen is het nu niet interessant om SHA1 te kraken. "Een aanval duurt vrij lang en het kost best wat om te ontwikkelen. Zij hebben andere manieren om hun doelen te bereiken, bijvoorbeeld het besmetten van apparaten en het gebruiken van andere kwetsbaarheden. Dat is gemakkelijker, sneller en toegankelijker."

Oproep

SHA1 wordt nog veel gebruikt in computersystemen. Stevens roept de tech-wereld op om over te stappen op een systeem dat veel sterker is, SHA2. Dat is al beschikbaar.