Software tegen vervalste digitale handtekeningen

Thomas van de Sandt

Cryptograaf Marc Stevens van het Centrum Wiskunde & Informatica (CWI) in Amsterdam, eerder bekend van zijn https-kraak in 2008 en het ontrafelen van de werking van het FLAME-virus, heeft nu open source software uitgebracht voor het herkennen en blokkeren van vervalste digitale handtekeningen.

Op internet is het gebruik van digitale handtekeningen om de herkomst van digitale data te verifiëren wijd verbreid; alle beveiligde websites, documenten, e-mail en andere software maken er gebruik van. Tot nu toe is er met FLAME – dat in 2012 opdook – nog maar één voorbeeld van daadwerkelijk misbruik van vervalste handtekeningen. Stevens toonde met zijn cryptanalytische aanval op de https-beveiliging in 2008 echter al zwakheden in de handtekeningen-standaard aan en houdt rekening met meer van dergelijke cyberaanvallen in de toekomst.

CWI’s hash collision detection library, die nu dus als open source is uitgegeven, moet software-ontwikkelaars helpen zich daartegen te wapenen. ‘Al snel na onze constructie van een rogue Certification Authority in 2008 had ik een proof-of-concept implementatie voor het herkennen van cyberaanvallen met behulp van vervalste digitale handtekeningen. Deze was voor onderzoeksdoeleinden: eigenlijk nog incompleet en te complex voor gebruik door anderen. Omdat toen het praktisch belang nog niet erg duidelijk was, is het in de ijskast beland’, vertelt Stevens. Met FLAME werd dat anders en raakte het werk in een stroomversnelling. ‘De software die ik nu heb vrijgegeven, is een volledige en opgeschoonde implementatie met een simpele interface die overeenkomt met bestaande handtekeningverwerkingssoftware, zodat deze erg makkelijk is toe te passen.’

Het CWI werkt actief samen met grote partijen als Microsoft en FOX-IT om de techniek in de praktijk in te zetten. De reacties uit de cryptografische gemeenschap zijn zeer positief. Stevens was vorige week in Californië voor CRYPTO, een van de twee grootste cryptografische conferenties ter wereld, waar hij met zijn publicatie over deze software de Best Young-Researcher Paper Award won.

Lees ook

Nieuws brief
* indicates required