Fijne feestdagen van SSL.com! We hopen dat jullie allemaal een gelukkig en voorspoedig 2019 hebben gehad en kijken uit naar grote dingen in 2020 (wij ook)! In onze laatste samenvatting van het jaar zullen we het hebben over:
- Een "veilige" berichten-app dat bleek een hulpmiddel te zijn voor spionage door de overheid
- Vervaldatum van het zelfondertekende certificaat van Cisco kwestie
- New archief voor RSA key factoring en discrete logaritme berekening
En als je hier klaar bent, kijk dan ook eens naar onze nieuw artikel over wat certificeringsinstanties (CA's) doen en hoe moeilijk het is om er een te zijn!
Berichten-app ToTok is UAE Spy Tool
Op 22 december verschijnt de New York Times gerapporteerd dat een populaire berichten-app ToTok ook een spionagetool is die door de regering van de Verenigde Arabische Emiraten (VAE) wordt gebruikt om "elk gesprek, elke beweging, elke relatie, afspraak, geluid en beeld te traceren van degenen die het op hun telefoons installeren." Burgers uit de Emiraten voelden zich aangetrokken tot de app omdat de VAE de functionaliteit van gecodeerde berichtentoepassingen zoals WhatsApp en Skype blokkeert.
ToTok werd aan de Times onthuld als een spionagetool door zowel Amerikaanse functionarissen die een geheime inlichtingenbeoordeling hadden gezien, als een anonieme digitale beveiligingsexpert die zei dat hij de informatie had gekregen van 'hoge ambtenaren uit de Emiraten'. De app, die zichzelf beschouwt als 'veilig' ondanks dat er geen aanspraak op wordt gemaakt op end-to-end encryptie, werd ook op grote schaal gepromoot door het Chinese telecombedrijf Huawei.
Zowel Apple Google heeft ToTok al verwijderd uit hun app-winkels, maar de app is al miljoenen keren gedownload door gebruikers.
Zelfondertekende certificaten op veel Cisco-apparaten die binnenkort verlopen
Cisco's veldmededeling FN-70498 (20 december 2019) waarschuwt gebruikers dat zelfondertekende X.509-certificaten op apparaten met getroffen releases van Cisco IOS of IOS XE-software op 1 januari 2020 om middernacht aflopen. Bovendien kunnen er geen nieuwe zelfondertekende certificaten worden gemaakt op deze apparaten na deze datum tenzij een software-upgrade is toegepast.
Na het bijwerken van de software van het apparaat, moeten alle zelfondertekende certificaten opnieuw worden gegenereerd en geëxporteerd naar alle apparaten die dit nodig hebben in hun trust store.
Cisco merkt op dat:
Dit probleem is alleen van invloed op zelfondertekende certificaten die zijn gegenereerd door het Cisco IOS- of Cisco IOS XE-apparaat en zijn toegepast op een service op het apparaat. Dit probleem heeft geen gevolgen voor certificaten die zijn gegenereerd door een certificeringsinstantie (CA), waaronder de certificaten die zijn gegenereerd door de Cisco IOS CA-functie.
Na de aankondiging van Cisco, Rapid7-laboratoria gebruikt Sonar scan gegevens om "meer dan 80,000 Cisco-apparaten te identificeren die waarschijnlijk zullen worden beïnvloed door dit probleem met de vervaldatum." Zou de jouwe erbij kunnen zijn?
Nieuw RSA Key-Cracking Record
Dan Goodin bij Ars Technica meldt dat een team van onderzoekers onder leiding van Emmanuel Thomé van het Franse National Institute for Computer Science and Applied Mathematics nieuwe records heeft gevestigd door de "grootste RSA-sleutelomvang ooit berekend en een overeenkomstige berekening van de grootste discrete logaritme ooit". De records bestaan uit de factoring van RSA-240 (795 bits) en de berekening van een discrete logaritme van dezelfde grootte.
Deze records zijn niet alleen te wijten aan Wet van Moore (de neiging van het aantal transistoren in IC's om de twee jaar te verdubbelen), aangezien de snelheidswinst groter is dan zou worden voorspeld door alleen incrementele hardwareverbeteringen. In plaats daarvan crediteren de onderzoekers verbeteringen in de software-implementatie van het Number Field Sieve-algoritme dat wordt gebruikt om de berekeningen uit te voeren:
Om de efficiëntieverbetering aan te tonen, hebben de onderzoekers hun software op hardware uitgevoerd die identiek was aan die welke werd gebruikt om het 768-bit discrete logaritme in 2016 te berekenen. Ze ontdekten dat het gebruik van de oude hardware om het record van 795-bits te zeven 25% zou kosten minder tijd nodig dan dezelfde apparatuur om de 768-bit DLP-berekening uit te voeren.