Column


#sha1

‘SHA-1 is dood en begraven’

Wat is hot en trending op Twitter? In deze rubriek brengt SecurityVandaag iedere week in kaart wat het ‘beveiligingssentiment’ in deze digitale kletshoek is. Deze week was het SHA1-hashingalgoritme trending.

Het was een mooie week voor de Nederlandse cryptograaf Marc Stevens. Hij slaagde er als eerste in om, in samenwerking met het beveiligingsteam van Google, een succesvolle collisionaanval uit te voeren op het verouderde SHA1-hashingalgoritme. Dit algoritme wordt nog steeds veel gebruikt voor de digitale ondertekening van bijvoorbeeld formulieren. Stevens heeft zijn collisionaanval Shattered genoemd.

De cryptograaf, die al sinds 2005 onderzoek doet naar SHA-1, heeft een methode ontwikkeld om twee verschillende documenten te ondertekenen met eenzelfde handtekening. Tegenover Trouw sprak hij van ‘het eerste tastbare voorbeeld dat SHA-1 onveilig is’. “Door het gebrek aan een praktisch voorbeeld van de onveiligheid werd het risico laag ingeschat, maar dat voorbeeld is er nu”, aldus Stevens. “Hopelijk wordt de code nu snel uitgefaseerd.”

Dood en begraven
Volgens @Scottia is het digitale beveiligingsprotocol nu echt dood en begraven. “At death’s door for years, widely used #SHA1 function is now dead”, schreef hij bij een afbeelding van een graf. @hnapel leek nogal ontdaan. “Jemineetje...”, klonk het in een tweet. @LeFloatingGhost ergerde zich vooral aan media die SHA-1 in hun berichtgeving omschrijven als encryptie. “OK any news outlet that calls #SHA1 ‘encryption’ deserves to be shunned.”

Niet iedereen was onder de indruk van het nieuws. “Ik begrijp die trending van #sha1 niet”, liet @digital_human weten. “Alsof dit wereldnieuws is. Dit was vorig jaar al duidelijk en volgens mij ook al aangetoond.” @OpenKortenhoef ziet toch echt een wezenlijk verschil tussen in theorie en bewezen onveilig. “'In theorie gekraakt' komt niet bij management aan en dan krijg je geen geld voor migratie..... haha.”


Lees meer over