Overpelt

Even een moeilijk berichtje. Kent u de Canvastrofee nog? Dat was een belangrijke prijs die in 2000 voor het eerst werd uitgereikt. Winnaar waren Joan Daemen en Vincent Rijmen. Ze hadden samen met hun programma Rijndael een wedstrijd gewonnen van het Amerikaanse National Institute for Standards and Technology (NIST), dat op zoek was naar een nieuwe encryptiestandaard voor de beveiliging van o.a. het internetbankieren, draadloze netwerken en bestanden op harde schijven. En Joan Daemen is een Overpeltenaar, vandaar dit bericht.
Want nu hebben drie onderzoekers voor het eerst een zwak punt gevonden in het AES-algoritme van Rijndael, dat sinds 2000 wereldwijd gebruikt wordt in meer dan 1.700 door het NIST gecertificeerde producten en duizenden andere toepassingen. Vijftien jaar lang bestudeerden heel wat wetenschappers de veiligheid van het AES zonder er ook maar één zwak punt in te vinden. De drie onderzoekers vonden nu echter een manier om de geheime sleutel vier keer sneller dan tot nog toe werd verwacht, te bepalen. Hoewel het gaat om het eerste echt zwakke punt dat in het AES-algoritme werd ontdekt, heeft de ontdekking in de praktijk geen consequenties voor de veiligheid. Zelfs met behulp van een biljoen computers die een miljard sleutels per seconde zouden kunnen testen, is er immers nog steeds twee miljard jaar nodig om een AES-sleutel te kraken...
Is dat nu erg? vroegen we aan Joan Daemen. "Het gaat over een zwakheid die er theoretisch eigenlijk niet zou mogen zijn en die toelaat een geheime sleutel (zoals een paswoord, maar dan niet om te onthouden voor mensen maar op te slaan in computers en bankkaarten) ongeveer 4 keer sneller te vinden dan normaal," zegt hij. "En dat geldt als een aanval. Maar omdat het normaliter enorm lang duurt om zo een sleutel te vinden, is het in praktijk geen probleem. Enfin, dit is dus het eerste barstje in Rijndael, we hopen natuurlijk dat er geen ergere in komen. Het gebeurt veel dat het volledig kraken van een algoritme verloopt in een aantal fasen: iemand constateert een eigenaardige eigenschap die geen aanval toelaat maar toch een beetje verdacht is. Dan gebruikt iemand die eigenschap om een zwakheid te vinden. Daarna wordt die zwakheid in combinatie met nog andere eigenschappen een grote zwakheid en ten slotte is er niks meer over. Dat kan soms jaren duren. Met Rijndael hebben we 15 jaar achter de rug van publicaties die "verdachte eigenschappen" rapporteerden, maar geen van deze eigenschappen heeft aanleiding gegeven tot echte aanvallen. Tot nu dus. We kennen de auteurs van de aanval en dat zijn wel knappe koppen. Het goede nieuws is dat het er niet naar uitziet dat hun aanval nog veel verbeterd kan worden."