Dansk forsker: Ingen grund til signatur-panik

En dansk professor i kryptologi er snart klar med et nyt og mere sikkert alternativ til SHA-1 standarden, som bruges i den digitale signatur. Men det understreges samtidig, at der ikke er grund til panik.

Mens kinesiske forskere har sat et stort spørgsmålstegn ved den internationale standard SHA-1, som bruges i TDC's digitale signatur, er en dansk krypterings-forsker på trapperne med en ny og langt mere sikker standard, SMASH. Den nye hash-algoritme bliver præsenteret på Fast Encryption konferencen i næste uge i Paris.

SMASH er udviklet af Lars R. Knudsen, der er professor i kryptologi ved Institut for Matematik på DTU. Han mener at det nye kinesiske forskningsresultat giver grund til bekymring, men ikke til panik. Den digitale signatur er fortsat sikker - også selvom kinesiske forskere har fundet en svaghed i hash-algoritmen SHA-1.

»De nye resultater fra Kina er meget imponerende. Men så må jeg også skynde mig at sige, at der altså er lang vej endnu, inden man kan snakke om, at den digitale signatur er knækket. En digital signatur består af to dele: en komprimeringsdel og en underskriftsdel. SHA-1 bruges kun i komprimeringsdelen og underskriftsdelen er ikke berørt af de nye resultater,« forklarer Lars R. Knudsen.

Den regnekraft der kræves for at udføre det nye angreb svarer til cirka 100.000.000.000.000.000.000.000 regneoperationer på en computer.

»Men selvom en regneoperation kan gøres lynhurtigt idag, så er der her tale om så mange af slagsen at kun få er istand til at udføre angrebet, mange bække små gør en stor å. Og selvom det skulle lykkes at lave disse beregninger, så betyder det ikke, at den retskafne bruger af den digitale signatur har grund til bekymring. Resultatet kan f.eks. overhovedet ikke bruges til at knække de signaturer, som jeg laver med systemet,« siger Lars R. Knudsen til ComON.

Hash-funktionen bruges til at fremstille et slags digitalt fingeraftryk af meddelelsen. Forskerne har fundet en metode til at duplikere dette fingeraftryk under særlige forhold.

»Det er den uærlige bruger, der kan forsøge at drage fordel heraf. I bedste fald er han istand til at generere to forskellige tekster, hvis digitale signatur er den samme. Da kan han underskrive den ene tekst, og så senere benægte dette, og fremvise den anden tekst som "bevis",« siger Lars R. Knudsen.

Han understreger at chancen for at finde to meddelelser med samme fingeraftryk, som rent faktisk indeholder meningsfuld tekst på forståeligt dansk, er forsvindende lille.

»De amerikanske myndigheder har tidligere i år anbefalet, at man startede forberedelserne til at udskifte SHA-1 med en af dens storebrødre, som amerikanere udviklede for flere år siden. Dette er nu bekræftet med den kinesiske resultat,« siger han.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
SAP Excellence Day 2025

Hvordan du orkestrerer og opdeler SAP-projekter for at opnå gevinster hurtigere? Hvordan påvirker AI fremtiden for SAP i almindelighed og måske også din virksomhed? Dette er blot nogle af de svar du får ved at deltage på denne spændende konference.

03. april 2025 | Læs mere


Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere