Basis-encryptiesystemen voor bank-, e-commerce- en andere vertrouwelijke connectiviteitsdoeleinden kunnen over afzienbare tijd hun nut verliezen, waarschuwde een onderzoeker op de recente BlackHat hackersconferentie.
Naast concrete aanvallen, werd op het recente BlackHat ook aandacht besteed aan mogelijke zwakheden in de technologieën die aan de basis van securitysystemen liggen. Alex Stamos, cto van het Amerikaanse Artemis, wees in een sessie – met de niet mis te verstane titel ‘The factoring dead: preparing for the cryptocalypse” – op ontwikkelingen die op relatief korte termijn basiselementen als Diffie-Hellman(-Merkle) en RSA (Rivest, Shamir, Adleman) kunnen ondergraven. In het eerste geval betreft het een sleutel-uitwisselingsprotocol, terwijl RSA een asymmetrisch encryptiealgoritme is. Allebei steunen ze op een toepassing van discrete logaritmen uit de groepentheorie (een tak van de wiskunde), waarvoor nog geen algoritmen bestaat die een makkelijke oplossing bieden als men niet over de vereiste sleutel beschikt. Concrete toepassingen vindt men in de beveiliging van bankverkeer, online handel en de authenticatie van update-verkeer.
Volgens Alex Stamos werden recent een aantal wiskundige ontwikkelingen gepubliceerd, die alsnog tot een makkelijke oplossingswijze kunnen voeren, waarna “een praktische implementatie in een dag of twee kan worden uitgewerkt.” Als zowel Diffie-Hellman(-Merkle) en RSA zou worden gebroken, zou dit volgens Stamos een “compleet falen van vertrouwen in het internet” betekenen. De reden waarom nu al aan de alarmbel wordt getrokken, is dat het vertrouwen in het internet op een relatief klein aantal elementen steunt en de industrie niet bijzonder snel is met de invoering van nieuwe fundamentele technologieën.
ECC alternatief
Een alternatief bestaat al in de vorm van ‘elliptic curve cryptography’ (ECC), een andere toepassing uit de groepentheorie. Zowel de Amerikaanse NSA als de Russische overheid maken al jaren gebruik van ECC voor de encryptie van belangrijke informatie, en geen RSA meer. Een aantal patenten inzake ECC zijn in het bezit van Certicom, een securitybedrijf waarop Verisign in 2009 een bod had gedaan, maar dat uiteindelijk door BlackBerry (toenmalig RIM) werd overgenomen. Een befaamd security-expert als Bruce Schneier erkent dat Certicom het “eigendomsrecht op ECC kan claimen,” en Certicom heeft dat recht al actief met succes verdedigd. Zo heeft het Sony gedwongen tot een overeenkomst in het kader van Blue Ray encryptie. Stamos roept nu BlackBerry op om de toegang tot die patenten (die op de implementatie slaan, en niet zozeer het algoritme zelf) te versoepelen, om de verspreiding van ECC te bevorderen.
