SHA-1-kollision: Nogle gange kommer ulven faktisk
Der er noget 'ulven kommer' over cybersikkerhedsområdet.
Det hænger sammen med, at der på den ene side er godt fyldt op med it-sikkerhedsfolk, der - ofte motiveret af kommercielle eller politiske interesser - gerne vil sige, at ulven er på vej, og samtidig passer cyber-historier bare godt til den journalistiske tommelfingerregel om, at jo mere alvorligt noget er, og jo flere det går ud over, des bedre en historie er det også.
Hvis man dertil tilsætter den fascination - tænk film som 'The Matrix', 'Wargames' etc. - der for mange mennesker er forbundet med cyber, så er det som journalist vanvittigt besnærende at give sig i kast med vinkler og overskrifter som 'Hackere sniger sig ind på dine børns computer,' uanset om det måtte være en fuldstændig tænkt og virkelighedsfjern situation. (Denne skribent er helt sikkert faldet for fristelsen mere end én gang i årenes løb.)
Ud over faren for at skabe unødig frygt kombineret med et fald i den generelle medie-troværdighed så gør den uhellige cyber-alliance mellem journalister og eksperter det svært at gennemskue, når der faktisk er grund til at lytte efter eksperternes advarsler.
Tag eksempelvis historien fra denne uge om, at Google i samarbejde med forskere fra det hollandske forskningsinstitut CWI (Centrum Wiskunde & Informatica) har formået at lave en kollision i forhold til SHA-1-algoritmen.
Version2 har i løbet af ugen i flere artikler omtalt problemet, der principielt betyder, at det er muligt at ændre på dataindhold, som er signeret via SHA-1. Det relaterer sig blandt andet til sikkerheden på de hjemmesider, der stadig måtte kryptere forbindelsen via SHA-1-certifikater.
Google- og CWI-folkenes forskningsresultat er ikke det samme som, at alle SHA-1-hjemmesider nu med et trylleslag er usikre, men arbejdet vidner om, hvorfor hjemmesider ikke bør bruge SHA-1-certifikater.
Browser-advarsel
Flere har gennem årene advaret om, at SHA-1 inden for en overskuelig fremtid ville blive sårbar over for kollisionsangreb - blandt andet den anerkendte sikkerhedsmand Bruce Schneier tilbage i 2012.
Hjemmesider, der anvender er SHA-1, er der heldigvis blevet færre og færre af. Ikke mindst takker være en indsats fra blandt andet Google, der i 2014 meddelte, at virksomhedens Chrome-browser ville begynde at advare brugere ved besøg på hjemmesider beskyttet med SHA-1.
Også Microsoft og Mozilla har tidligere bekendtgjort udfasningen af SHA-1 i deres respektive browsere.
I forhold til Chrome-advarslen så er den specifikt blevet udløst, når hjemmesider har anvendt et SHA-1-baseret certifikat, der udløber efter 1. januar 2017. Denne tilgang bevirkede, da Google skruede yderligere op for advarslen, at Coop Banks netbank-domæne i 2015 pludseligt blev vist med en rød streg hen over HTTPS, der ellers skulle indikere en sikker forbindelse.
Det fik dengang Coops it-direktør René Munk-Nissen til at udtrykke irritation over Chrome-advarslen.
»Det er noget, vi arbejder på at få fjernet, så vi ikke går i rødt så at sige. Vi mener ikke, tilstanden er rød, og derfor er jeg lidt generet over den røde farve. Men nu er den der, og jeg medgiver, at det giver noget forvirring, hvilket ikke er heldigt,« sagde René Munk-Nissen til Version2 i 2015.
Hvorom alting er, så blev certifikatet hos Coop opdateret. Hvorvidt coopbank.dk stadig havde været udstyret med SHA-1-certifikatet i dag, hvis ikke Chrome havde vist en rød streg, er ikke til at vide, men Coops it-direktør behøver i hvert fald ikke ligge søvnløs over de mulige implikationer i forhold til denne uges historie om SHA-1-kollisionen.
Også Erhvervsstyrelsens hjemmeside døjede i 2015 med en rød streg i Chrome, og også her blev certifikatet opdateret.
En reminder
Alt andet lige så har historier a la 'alverdens hjemmesider risikerer at få et sikkerhedsproblem inden for en overskuelig fremtid' ofte noget sværere ved at trænge igennem støjen end en historie om, at 'Pas på: Kriminelle hacker din computer, når du surfer porno'.
Set i det lys er SHA-1-historien en reminder om, at det er værd at lytte efter, når de rette folk råber højt.
Det har dog næppe været råbt højt nok til i sig selv at trænge gennem myriaderne af cyber-historier. Og i den forbindelse kan der næppe herske nogen tvivl om, at den brugervendte advarsel i Chrome og andre browsere har spillet en stor rolle i forhold til, at SHA-1-certifikater faktisk er blevet udskiftet på mange sites.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
