Managed hosting door True

Bell Labs kraakt SLL-protocol

Daniel Bleichenbacher, een onderzoeker bij het Amerikaanse Bell Labs, heeft een beveiligingsgat ontdekt in het SSL-protocol. Deze codeermethode is een van de populairste beveiligingen voor elektronische handel op het web. De grote softwareleveranciers werken al aan oplossingen voor het lek.

Het probleem betreft de PKCS#1-standaard die de RSA-encryptie van het SSL-protocol gebruikt. Bleichenbacher ontdekte dat een boodschap die met PKCS#1 is beveiligd, kan worden ontcijferd door een groot aantal speciaal geconstrueerde boodschappen naar de doelserver te sturen. Deze machine weigert de berichten te accepteren en stuurt die terug. Na analyse van de afgewezen boodschappen kon de onderzoeker de SSL-sessie decoderen.
Volgens de ontdekker zijn er bijna een miljoen van dergelijke berichten nodig om SSL te kunnen kraken. Dit betekent dat een systeembeheerder kan zien dat zo'n aanval plaatsvindt. Het gat in SSL bedreigt ondermeer de serversoftware van Netscape, zoals de Enterprise, Proxy, Messaging, Collabra en Directory-servers. Netscape heeft al een lapmiddel uitgebracht, verklaart Brian Byun, manager beveiligingsproducten bij de firma. Hij noemt het probleem een 'theoretische kwestie', maar benadrukt dat Netscape het wel serieus behandelt. Er zijn overigens nog geen rapporten opgedoken dat krakers al gebruik hebben gemaakt van het SSL-lek.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.