Digitale handtekening niet meer veilig door hashing exploit
Cryptografie experts hebben een manier gevonden om een digitale handtekening van een document te knippen, en toe te voegen aan een vervalst document, zonder dat de handtekening ongeldig wordt en men de fraude kan ontdekken. Hierdoor zou een aanvaller legale documenten kunnen vervalsen, gecertificeerde software van nepcode voorzien, of een digitaal ondertekende brief misbruiken voor het verkrijgen van vertrouwelijke gegevens.
Digitale handtekeningen worden gebruikt om websites, e-mails en documenten te authenticeren. Ze werken omdat ze uniek zijn voor het getekende bestand of software, omdat ze bestaan uit de inhoud van het getekende bestand. Als iemand probeert een digitale handtekening van een document te knippen en aan een ander document toe te voegen, zal dit niet werken, omdat de inhoud van de handtekening niet overeenkomt met de inhoud van het document. Twee Duitse onderzoekers hebben nu ontdekt hoe twee documenten met dezelfde digitale handtekening gemaakt kunnen worden, zo laat de New Scientist weten.
(they) demonstrated that two documents could be found that
produced the same hash function called MD-5.[/i]
Ze snappen het bijna. De kern van het artikel:
postscript, which is similar to the pdf format. Postscript
allowed them to bind up two documents in the same file, but
to reveal only one document and hide the other, and vice
versa, without changing the hash of the whole file.
Voor MD5, en het `zou opzich misschien ooit ook kunnen
werken' voor SHA.
Het is dus (nog) niet mogelijk (binnen afzienbare
tijd) gegeven een ondertekend document een ander document te
genereren dat dezelfde hash heeft. Je kunt alleen zelf een
documentenpaar genereren met dezelfde hashes. Dat is een
relevant verschil.
tijd) gegeven een ondertekend document een ander document te
genereren dat dezelfde hash heeft. Je kunt alleen zelf een
documentenpaar genereren met dezelfde hashes. Dat is een
relevant verschil.
Zeker. Evenwel komt hierdoor de onweerlegbaarheid van de
digitale handtekening onder (juridische) druk te staan.
Precies zoals irl een handtekening vervalst kan worden, zal
dat zodirect ook met een digitale handtekening het geval
zijn. Met dat verschil dat electronische vervalsingen veel
sneller en op grotere schaal kunnen worden gemaakt dan
handmatige vervalsingen.
van dit soort artikelen geweest.. Naar mate de computers
sneller worden, zullen ook de hashes in bit grote gaan
groeien of zullen er andere hash methodes komen.
Virusscanners kunnen vaststellen of een bootrecord of software pakket is
veranderd.
Misschien een methode voor het hash-probleem?
Ik vraag me af of dit niet te voorkomen is via de z.g.
vingerafdruk-methode.
Virusscanners kunnen vaststellen of een bootrecord of
software pakket is
veranderd.
Misschien een methode voor het hash-probleem?
Volgens mij bedoel jij met "vingerafdruk" een hash
Ik vraag me af of dit niet te voorkomen is via de z.g.
vingerafdruk-methode.
Virusscanners kunnen vaststellen of een bootrecord of
software pakket is
veranderd.
Misschien een methode voor het hash-probleem?
Volgens mij bedoel jij met "vingerafdruk" een hash
Er zal altijd wel een methode zijn om ergens in te breken. Dat besef ik ook
wel. Maar misschien heeft iemand een goed idee om corruptie te
voorkomen c.q. te verminderen?
Er zal altijd wel een methode zijn om ergens in te breken. Dat besef ik ook
wel. Maar misschien heeft iemand een goed idee om corruptie te
voorkomen c.q. te verminderen?
Je personeel beter belonen, een dwangsom in het contract en uiteraard een
antecedenten onderzoek... Een beetje vergelijkbaar met de eisen voor
bestuursvoorzitters die met 10 miljoen p/jr naar huis gaan en daarnaast
(ongestraft) een aandelen handeltje met voorkennis opzetten..;-)
C. Boonstra
(voormalig echtgenote Sara Lee)
paria van het OBN !!
van digitale handtekeningen dit geldt.
Met name: werken X.509 certificaten met deze hashes?
en dan: Hoe zit het met PGP? gebruikt deze ook deze manier
van hashing?
Frits
5 min later....
en het antwoord is: Beide aanpakken, PGP zowel als X.509 gebruiken zowel MD5 als SHA als hashing methodes
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.