Ontwerper RSA-algoritme: encryptie is passé
Eén van de ontwerpers van het RSA-algoritme, dat wereldwijd wordt gebruikt om belangrijke gegevens te beschermen, heeft gezegd dat recente aanvallen duidelijk maken dat encryptie passé is. Dat liet Adi Shamir tijdens de RSA-conferentie weten. Samen met Ron Rivest en Len Adleman is hij de bedenker van RSA, een asymmetrisch encryptiealgoritme.
"Ik geloof zeker dat encryptie minder belangrijk wordt. Zelfs de best beveiligde computers in de meest geïsoleerde omgevingen zijn de afgelopen jaren door een verzameling Advanced Persistent Threats (APT) en andere geavanceerde aanvallen gehackt", aldus Shamir. Volgens de crypto-expert moeten we dan ook opnieuw bedenken hoe we ons moeten beschermen.
Encryptie
Traditioneel werd er over twee verdedigingslinies nagedacht. De eerste linie was het voorkomen van de infectie door anti-virus en andere maatregelen. De twee maatregel was het detecteren van de malware of hacker zodra die op het systeem was. Recentelijk is duidelijk geworden dat sommige malware jarenlang onopgemerkt kan blijven.
"Het is erg lastig om cryptografie effectief te gebruiken als je ervan uitgaat dat een APT alles bekijkt wat je op het systeem doet", liet Shamir tijdens een paneldiscussie weten. "We moeten over veiligheid in een post-cryptografie wereld gaan nadenken."
Een mogelijke oplossing is het verbeteringen van de al bestaande certificate authority infrastructuur. Recente aanvallen op DigiNotar, Comodo en andere certificaatverstrekkers hebben laten zien dat er een aantal inherente kwetsbaarheden in het systeem aanwezig zijn.
PKI
"We hebben een Public Key Infrastructuur nodig, waar mensen kunnen aangeven wie ze vertrouwen, en dat hebben we niet", liet Rivest weten, die ook tijdens de discussie aanwezig was. "We hebben een PKI nodig die niet alleen flexibel is in de manier waarop de vertrouwende partij aangeeft wat ze vertrouwen, maar ook in de manier hoe ze fouten kunnen tolereren."
Voorlopig verwacht Shamir dat er meer incidenten met certificate authorities zullen plaatsvinden, zoals onlangs gebeurde bij TurkTrust, een Turkse CA. Het bedrijf had een certificaat voor Google-domeinen aan twee partijen uitgegeven, waaronder een aannemer voor de Turkse overheid.
"We zullen meer van dit soort incidenten zien, waar een CA onder druk van een overheid zich vreemd zal gedragen. Het stelt de vraag of de veiligheid van de PKI-infrastructuur niet onder zware druk staat."
Nou ja, daarvoor bestaat al langer PGP. Maar die dicht waarschijnlijk eis 2 wat minder goed af:
Maar dat is een kleiner administratief probleem zou ik verwachten dan het eerste.
Wat hij misschien bedoelt met dat encryptie passé is, is dat het geen zin heeft encryptie te gebruiken als het ergens anders fout gaat. Als je dus zorgt dat het op de andere plekken wel goed gaat, heeft ook encryptie nog zin.
Wat hij misschien bedoelt met dat encryptie passé is, is dat het geen zin heeft encryptie te gebruiken als het ergens anders fout gaat. Als je dus zorgt dat het op de andere plekken wel goed gaat, heeft ook encryptie nog zin.
Ja, maar het is niets nieuws, de cryptologen waren eigenlijk de enige die nog met oogkleppen rondliepen. Als ze het over "security" hadden, bedoelde ze encryptie.
Elders lees ik bijvoorbeeld (de vette tekst lege regels tussendoor zijn door mij toegevoegd):
The second topic of discussion was what each panelist felt was the most significant attack seen in the past year. Here the focus moved to Certification Authorities and the recent problems with these.
As a result of this discussion, Ari Juels asked if the importance of Cryptography was diminishing, to which Adi Shamir agreed.
He (Erik neemt aan Adi Shamir) then gave an example focusing on the case where even the most isolated systems have now suffered from attacks.
Shamir felt that we need to rethink how we protect ourselves and assume threats are already within our systems. Ron Rivest stressed that he felt that crypto was still essential.
[...]
Dat is echt iets heel anders dan dat cryptografie passé zou zijn, een stelling die Ron Rivest -naar verluidt- meteen heeft ontkracht.
Kortom, ik lees de hele uitspraken van Shamir zo dat het duidelijk is dat als een aanvaller bij een geheime sleutel kan (of daar indirect gebruik van kan maken), encryptie zinloos is. Er is geen (nieuw) probleem met encryptie, maar met de bediscussieerde toepassing - de publieke, CA gebaseerde, PKI.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.