Sikkerheten på nettet er med ett blitt en liten smule frynsete i kantene. Tre kinesiske forskere skal ha greid å knekke den mer enn ni år gamle SHA-1-metoden (Secure Hash Algorithm), som benyttes i svært mange krypteringsløsninger.
- SHA-1 brukers i nær sagt alle krypteringsprotokoller der ute. Den brukes i SSH, i SSL, i S/MIME, i PGP, i IPSec og VPN - alle bruker den, sier sikkerhetseksperter Bruce Schneier til PCWorld.com.
Dette kan i verste fall føre til at omtrent alt som er av programvare som baseres på SHA-1-algoritmen, må erstattes eller oppgraderes. Allerede finnes en sikrere standard, SHA-256, som kan erstatte SHA-1 i programvare som benytter dette. PGP planlegger å ta i bruk SHA-256 i den neste utgave av løsningen, PGP 9.
- Alle viste på en måte at dette kunne skje, men vi ventet ikke at det ville skje på så tidlig, sier Schneier. Les mer hva Schneier skriver om oppdagelsen i bloggen hans.
Foreløpig er risikoen for sikkerhetsproblemer på grunn av denne oppdagelsen svært begrenset. Det kreves svært store mengder datakraft for å greie å knekke SHA-1. De kinesiske forskerne skal dog ikke ha brukt superdatamaskiner for å greie dette. I stedet har de benyttet et distribuert dataprogram som kan sammenlignes med det som benyttes av SETI@Home. Det utnytter ledig regnekapasitet hos tusenvis av vanlige PC-er for å utføre oppgavene.
Jon D. Callas, teknologisjef for PGP, sier til PCWorld.com at det mest vellykkede forsøket som er blitt gjort for å knekke kryptering ved hjelp av distribuerte databehandling, var et forsøk på å knekke MD5-RC64. Det tok fem år for 300.000 datamaskiner å gjøre dette.
- Å knekke SHA-1 er 16 ganger så vanskelig - de samme 300.000 datamaskinene vil bruke omtrent 74 år på dette, sier han.
Men siden dette forsøket ble gjort, har hjemme-PCene blitt langt kraftigere.
- Kryptografiske angrep blir alltid bedre, noen ganger med en faktor på to eller fire, sier Schneier. Dette kan bli et nytt område for spredning av Internett-ormer og bruk av PC-baserte zombier. PC-er som i dag blir brukt av ondsinnede uten at eieren vet om det, kan i i framtiden bli brukt til å knekke krypteringsmetoder.
Schneier beskriver SHA-1, som ble oppfunnet av National Security Agency i 1995, som den mest brukte, kryptografiske primitiven på Internett. Den er kjent som en enveis hash-funksjon. De kan ikke brukes av uvedkommende til å gjenskape en hemmelig melding.
- Vi vet mindre om nøkkeltransformasjon enn alt annen innen kryptografien - og vi trodde vi viste mer, sier Callas.
Det vil trolig ta oss enda to til fire år før vi virkelig forstår hash-algoritmer, og i mellomtiden vil det kunne oppstå dramatiske situasjoner, avslutter han.
