Een wiskundige is er toevallig in geslaagd de sleutel van het DKIM systeem van Google en Microsoft te kraken.
De code was onvoldoende sterk opgesteld.
DKIM is een versleuteling van je emails, die ervoor zorgt dat niemand mails kan sturen uit jou naam,
zonder dat ze jou sleutel kennen.
Zo stuurt deze website, ICTscripters, alle mails met een DKIM header.
Dit houdt in dat niemand buiten onze site, mails kan sturen uit onze naam, zonder automatisch een zwaar verhoogde spam score te krijgen.
Hieronder het artikel van SecurityNL:
Een Amerikaanse wiskundige die een e-mail van een Google headhunter ontving heeft een gapend gat in de beveiliging ontdekt die onder andere Google en Microsoft gebruiken om het vervalsen van afzenders van e-mails tegen te gaan. Het probleem bevindt zich in de encryptiesleutels die de internetgiganten voor DomainKeys Identified Mail (DKIM) gebruiken.
Bij DKIM, dat afhankelijk is van "public key cryptografie, wordt een digitale handtekening aan uitgaande e-mail toegevoegd, waardoor de ontvanger kan controleren of een e-mail ook daadwerkelijk vandaan komt waar hij beweert vandaan te komen. Via DKIM moet het makkelijker worden om spam en phishing e-mails met gespoofte e-mailadressen te onderscheppen.
De 35-jarige wiskundige Zach Harris ontving een e-mail van een Google headhunter of hij als engineer voor het bedrijf wilde komen werken. Hij vond de e-mail zo vreemd, dat Harris dacht dat het om een scam ging, waarbij iemand zich voordeed als Google. De e-mailheaders lieten echter zien dat het om een legitiem bericht ging.
Harris ontdekte dat Google zwakke cryptografische sleutels gebruikte om aan ontvangers te bevestigen dat het bericht van een legitiem Google domein afkomstig was. Door het kraken van de sleutel is het mogelijk om een e-mail te versturen alsof die echt van Google afkomstig is.
Harris besloot de zwakke sleutel te kraken en stuurde vervolgens uit naam van Google-oprichter Sergey Brin een e-mail naar medeoprichter Larry Page.
Een antwoord kreeg Harris nooit, maar twee dagen later was het probleem opgelost en werd zijn website druk bezocht door mensen die vanaf een Google IP-adres kwamen. De wiskundige ontdekte dat de domeinen drie kwetsbare sleutellengtes gebruiken: 384-bits, 512-bits en 768-bits. Tegenover Wired laat Harris weten dat het kraken van de 384-bits sleutels op zijn laptop binnen 24 uur is te doen.
Voor het kraken van de 512-bit sleutels gebruikte hij Amazon Web Services. Wat 75 dollar en drie dagen kostte. Het kraken van de 768-bit sleutels zijn volgens Harris niet door een individu zoals hemzelf te doen, maar wel door een land zoals Iran.
Harris is geen beveiligingsonderzoeker en wist niet eens wat DKIM was voordat hij met het onderzoek naar de Google e-mail begon. "Het feit dat ik niet wist wat een DKIM-header was laat zien dat iemand met voldoende technische achtergrond dit gaandeweg kan uitvinden." De wiskundige waarschuwde in augustus het CERT Coordination Center en publiceerde daarna zijn bevindingen op deze mailinglist.
Het Amerikaanse Computer Emergency Readiness Team (US-CERT) kwam naar aanleiding van het Wired-artikel met een advisory. Daarin stelt het dat het probleem zowel Google, Microsoft als Yahoo raakt. Als oplossing wordt geadviseerd om geen sleutels korter dan 1024-bits te gebruiken.
