Category Archives: DKIM

Encryptie sleutels in soorten en maten

Er bestaan heel veel soorten encyptie sleutels. Zo’n sleutel is “de set van gegevens die zijn gebruikt om een boodschap te versleutelen, en/of de set van gegevens die nodig zijn om een versleutelde boodschap te ontcijferen”.

In het geval van symetrische encryptie wordt dezelfde sleutel gebruikt voor het versleutelen en het ontcijferen. Bij asymetrische symetrie wordt het versleutelen of het ontcijferen gedaan met een zogenaamde publieke sleutel die openlijk gepubliceerd wordt. Het omgekeerde proces zit echter onder een prive sleutel.

Welke vorm van encryptie je ook gebruikt, het is natuurlijk zaak het kraken van de encryptie sleutel zo moeilijk mogelijk te maken. En daar gaat het nog wel eens mis. Zo kreeg wiskundige Zachary Harris onlangs een mail van een headhunter of hij bij Google wilde werken. Harris dacht dat er een geheime opdracht verbonden moest zijn aan de email en begon de encryptie sleutels die voor de encryptie van de email gebruikt waren te onderzoeken.

Al snel vond Harris waarnaar hij op zoek was. De gebruikte DKIM encryptie sleutel was 512-bit terwijl het DKIM encryptie=protocol minimaal 1024-bit voorschrijft. “512-bit sleutels kan ik kraken binnen 72 uur waarbij ik gebruik maak van Amazon Web Services voor $75. … Dan zijn er ook nog 768-bit sleutels. Die zijn voor een normaal persoon als ik met normale hulpmiddelen niet te kraken. Maar de Iraanse regering kan dat waarschijnlijk wel of een grote groep mensen met voldoende computer capaciteit.”

Harris kraakte de door Google gebruikte encryptie en stuurde vervolgens voor de lol een nep-mailtje aan Larry Page, een van de twee Google-oprichters, met als afzender het email-adres van de andere Google-oprichter Sergey Brin. Omdat het nep-emailtje versleuteld werd onder de gekraakte encryptie zag het er net zo echt uit als een echte email van Sergey Brin.

Harris hoorde niets op zijn email. Maar hij merkte twee dagen later wel dat Google zijn DKIM sleutels had veranderd van 512-bit naar 2028 bit. Het bleek dat de headhunter mail helemaal geen puzzel bevatte en dat Harris voor de grap de beveiliging van Google’s email had gekraakt.

Vervolgens ging Harris op zoek. Hij vond dat eBay, Yahoo, Twitter en Amazon ook 512-bit sleutels gebruikten. PayPal, LinkedIn, US Bank en HSBC gebruikten 768-bit sleutels. Dit zijn allemaal onveilige sleutels omdat ze onder de vereiste standaard vallen van 1024-bit. Dat is flink zorgelijk.