Lek in SHA-3-implementatie maakt collisions en preimage-aanvallen mogelijk

[Captain Kirk]

In de officiële implementatie van het SHA-3-hashingalgoritme is een kwetsbaarheid gevonden die collisions en preimage-aanvallen mogelijk maakt. Het probleem speelt ook bij Python, PHP en verschillende andere projecten die van de code gebruikmaken. Het beveiligingslek, aangeduid als CVE-2022-37454, zat al sinds januari 2011 in de code, wat volgens onderzoeker Nicky Mouha aangeeft hoe lastig het is om kwetsbaarheden in cryptografische implementaties te vinden, ook al spelen die een belangrijke rol in de veiligheid van systemen.

 

Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden. Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden.

Er zijn verschillende SHA-versies in omloop, waarvan SHA-2 het meestgebruikt is. Vanwege verschillende aanvallen is besloten om het gebruik van SHA-1 uit te faseren. SHA-3 is de meest recente versie. Wanneer de officiële SHA-3-implementatie (XKCP) bepaalde invoer te verwerken krijgt kan er een buffer overflow ontstaan, zo ontdekte Mouha. Hij is onderzoeker bij het Amerikaanse National Institute of Standards and Technology (NIST), dat onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid.

Via de kwetsbaarheid zijn volgens Mouha verschillende soorten aanvallen mogelijk, zoals collisions. Bij dergelijke aanvallen geeft verschillende invoer dezelfde uitvoer. Daardoor zijn digitale handtekeningen die met het algoritme zijn gemaakt niet meer te vertrouwen. Ook is het zo mogelijk om vervalste certificaten te maken die als echt worden beschouwd, waarmee bijvoorbeeld man-in-the-middle-aanvallen zijn uit te voeren. Verder maakt de kwetsbaarheid in XKCP "preimage-aanvallen" mogelijk. Daarmee kan een aanvaller aan de hand van een hash de originele invoer achterhalen.

Mouha meldt dat hij het bestaan van de kwetsbaarheid met andere partijen heeft gecoördineerd. Er is echter weinig verdere informatie over updates te vinden. De onderzoeker merkt verder op dat hij ook andere beveiligingslekken heeft gevonden maar die nu nog niet kan openbaren.

 

bron: https://www.security.nl