Is dit dan eindelijk de genadeslag voor het algoritme dat al geruime tijd beveiligingsproblemen oplevert? Het lijkt er wel op. Geniale landgenoot Marc Stevens, in samenwerking met Google, is er in geslaagd een collision aanval uit te voeren op dit oude en nog teveel gebruikte hashingalgoritme.
Al enige tijd verkondigt de beveiligingsgemeenschap dat het sha-1 algoritme als hashfunctie in bijvoorbeeld TLS (SSL) certificaten niet meer verantwoord is. Inmiddels is er dus een concrete aanval die aantoont dat het tijd is om nu echt over te stappen naar modernere alternatieven.
In het kader van beveiliging is deze ontwikkeling vooral relevant voor verwerkers van persoonsgegevens. Hier wordt vaak gewerkt met TLS/SSL versleutelde verbindingen waarvan de certificaten sha-1 gebruiken als algoritme voor ondertekening en integriteitsverificatie.
Passend beveiligingsniveau
Vanuit de privacywetgeving wordt vaak aansluiting gezocht bij een ‘passend’ beveiligingsniveau. Afhankelijk van het type persoonsgegevens is een hoger of lager beveiligingsniveau passend (ledenadministraties < medische dossiers). Met deze laatste ontwikkeling dringt hopelijk de realisatie door dat sha-1 nooit meer passend zal zijn. Er zijn veel betere algoritmen beschikbaar (bijvoorbeeld sha-256). Ook de technische implementatie hiervan is geen drempel. Softwareontwikkelaars, update uw software. Systeembeheerders, update uw servers.
Lees onze eerdere blogpost voor meer informatie over passende beveiligingsmaatregelen.
