Een Nederlandse onderzoeker van het Centrum Wiskunde en Informatica (CWI) heeft samen met het beveiligingsteam van Google een veelgebruikt digitaal beveiligingsprotocol aangevallen.

Met de aanval wil onderzoeker Marc Stevens aantonen dat deze vorm van beveiliging, het zogenaamde sha-1-algoritme, niet meer veilig is en zo snel mogelijk vervangen dient te worden. Volgens Stevens dienen bedrijven sneller over te stappen op veiligere standaarden.

Met sha-1 worden digitale diensten, zoals e-mail en online betalingen, achter de schermen versleuteld. Daardoor zouden ze niet te misbruiken moeten zijn.

Minder veilig

Dat sha-1 minder veilig is dan voorheen, was al bekend. In 2011 werd al aangetoond dat het certificaat sinds 2005 kwetsbaar is voor aanvallen van buitenaf.

Maar tot op heden ging het om theoretische of gedeeltelijke aanvallen op de beveiliging, laat de onderzoeker van het CWI donderdag weten.

Stevens is mogelijk de eerste onderzoeker die erin slaagt de beveiliging te doorbreken. Het voorbereiden van de aanval heeft maanden gekost. Er moesten ook speciale computers van Google aan te pas komen, die 9,2 triljoen berekeningen heeft moeten uitvoeren. Dat heeft ook maanden geduurd.

Alternatieven

Inmiddels zijn er al enkele alternatieven beschikbaar. Zo zijn sha-2 en sha-3 al uitgebracht, die bescherming kunnen bieden tegen dergelijke aanvallen van buitenaf.

Ook is er een gratis programma beschikbaar waarmee gecontroleerd kan worden of er bestanden op een computer staan die voor onveilige situaties met betrekking tot sha-1 kunnen zorgen.

Bovendien laten populaire webbrowsers, zoals Google Chrome, Microsoft Edge en Mozilla Firefox, tegenwoordig een waarschuwing zien wanneer verbindingen zijn beveiligd met het sha-1-certificaat. Daarnaast worden er vanaf 2017 ook geen sha-1-certificaten meer uitgegeven.