Rotterdam, 30 dec. U bankiert op internet? U shopt vanaf uw pc? U verstuurt vertrouwelijke e- mails, en u denkt dat zulke handelingen veilig verlopen?

Dat is ook meestal zo.

Maar als het zo moet blíjven, dan moeten internetbeheerders vooral luisteren naar cryptograaf Marc Stevens, promovendus aan het Centrum Wiskunde & Informatica (CWI) in Amsterdam, en zijn collega’s. Want zij hebben software, waarmee ze – in principe – de ‘grootste internetkraak’ van de laatste jaren kunnen zetten.

Vanmiddag demonstreert Stevens de werking ervan op het 25C3-congres voor cryptografen en hackers in Berlijn – zonder cruciale details prijs te geven. Vooraf liet hij in een Utrechtse cafetaria het werk alvast zien.

Kijk in gedachten even mee. Interessant zijn de beveiligde verbindingen (het webadres begint dan met https) naar sites van banken en winkels. Bij een bezoek verschijnt op het scherm een slotje: dat icoontje garandeert de betrouwbaarheid van de site en de bijbehorende internetverbinding. Het vertelt dat uw internetbrowser het veiligheidscertificaat van de betreffende site heeft goedgekeurd. Als u er op klikt, kunt u zien welke Certification Authority (CA, de hoogste beveiligingsinstanties van internet) dat certificaat verleende, en hoe lang de veiligheidsgarantie geldig is.

Daar komen Stevens en zijn collega’s uit Eindhoven, Californië in de VS en het Zwitserse Lausanne in beeld. Zij kunnen zo’n CA-certificaat namaken, compleet met de unieke digitale handtekening van één van de Certification Authorities. Die wisten ze aan een wereldwijd opererende CA te ontfutselen, dankzij een al langer bekende zwakte in de zogeheten MD5-hashfunctie die met die digitale handtekeningen samenhangt (zie kader).

Ter demonstratie maakt Stevens in Utrecht een certificaat voor een ‘beveiligde website voor NRC-journalisten’, behalve dat de website waar al gauw een slotje aan hangt, niets met NRC heeft uit te staan.

Een expert die hard werkt en alle open literatuur kent, kan het hem in één tot drie maanden nadoen, schat Stevens. En zoiets wordt gevaarlijk als zo’n vals CA-certificaat aan bijvoorbeeld een vervalste site voor internetbankieren komt te hangen, valt zijn promotor, de Leidse hoogleraar en hoofd cryptografie bij het CWI, Ronald Cramer bij.

Eerder liet Dan Kaminsky, een onafhankelijke Amerikaanse beveiligingsexpert, al zien hoe gebruikers (klanten én banken) ongemerkt naar een vervalste site kunnen worden gevoerd. Dankzij het valse CA-certificaat kunnen ze daar nu verder om de tuin worden geleid, en dan nietsvermoedend transacties uitvoeren. Vervalsers kunnen intussen die transacties – bedragen, rekeningnummers – naar wens aanpassen.

In theorie.

Want uit voorzorg hebben Stevens en zijn collega’s de valse certificaten meteen laten verlopen: ze zijn, of liever waren, alleen geldig in augustus 2004. De groep heeft bovendien de CA’s verwittigd, en de grote internetbrowsers. „We zien dit als een waarschuwing aan internetpartijen: gebruik voor beveiligingsdoeleinden niet langer de MD5-software”, zeggen Stevens en Cramer.

Het was al slecht nieuws toen de Chinese cryptografe Xiaoyun Wang in 2004 liet zien dat twee (een miniem beetje) verschillende documenten tóch dezelfde MD5-hashwaarde konden opleveren – een collision in het cryptografen-jargon. Het betekende dat MD5 de betrouwbaarheid van bestanden niet voor honderd procent kon garanderen. Maar omdat Wang géén methode had om de hashwaarde van een willekeurig document te dupliceren, leek haar vondst in de praktijk vrij gevaarloos.

Tot Stevens twee jaar geleden, nog masterstudent in Eindhoven, samen met Benne de Weger en Arjen Lenstra liet zien dat MD5 óók voor twee willekeurige internetbestanden dezelfde hashwaarde kan uitrekenen. Zijn truc was om die documenten als een voorvoegsel – een ‘chosen prefix’ – te behandelen. Daarachter plakte hij een voor het overige zinloze, maar wiskundig slim gekozen rij nullen en enen. In MD5-berekeningen leidde die rij daarna tot een hashwaarde die voor beide bestanden hetzelfde was. Het enige obstakel: de toevoegingen waren zo groot (8.192 bits), dat de ‘botsende bestanden’ in het gewone internetverkeer onbruikbaar waren.

Samen met collega’s uit Californië zetten Stevens en consorten nu de laatste stap. Zij ontdekten dat sommige CA’s nog steeds MD5 gebruiken, en vlooiden de structuur van hun veiligheidscertificaten uit: het serienummer, de volgorde van alle coderingsinformatie en de lengte ervan, enzovoort.

Andere hulp kwam uit Lausanne, waar een collega wist hoe je gamecomputers kon inzetten voor snelle cryptoberekeningen. Met list, techniek en rekenkracht lukte het vervolgens ook om botsende bestanden met een in een CA-certificaat verwerkbare lengte te maken.

Tweehonderd spelcomputers (het equivalent van achtduizend systeemprocessoren) lieten daarna binnen een dag een officieel CA-certificaat en een certificaat voor een vervalste site ‘botsen’. De met de hash samenhangende handtekening voor de een was ook geldig voor de ander. Het leverde een vals certificaat op, waarmee certificaten voor willekeurig websites gemaakt kunnen worden. „Gewoon dankzij slimme wiskunde ”, benadrukt promotor Ronald Cramer.

Waarom MD5 na 2004, en vooral na 2006, nog gebruikt wordt, daarover willen Stevens en Cramer niet speculeren. Maar hun indruk is dat de bezwaren van cryptografen en wiskundigen een beetje snel als ‘puur theoretisch’ zijn weggewuifd. Stevens: „Dat tussen die eerste theoretische aanwijzingen uit 2004 en dit praktijkvoorbeeld maar vier jaar zitten, lijkt me een belangrijke les.”

De MD5-software werd in 1991 gemaakt door Ron Rivest van het Amerikaanse MIT, en kan voor elk computerbestand een hash berekenen: een vingerafdruk die uit 32 karakters, ofwel 128 bits, bestaat. Een goede hash verzegelt een bestand en voldoet daarvoor aan twee eisen. Ten eerste verraadt de hash niets over de inhoud van het bestand. Ten tweede hoort bij elk bestand een unieke hash. Zodra er aan gerommeld is, komt een andere hashwaarde te voorschijn. In het dagelijks internetverkeer: als de ontvanger van een bestand dezelfde hashwaarde berekent die de verzender eerder had meegestuurd, dan is het bestand veilig overgekomen.