Hopp til navigasjon Hopp til innhold

– SSL-knekk overdrevet

Sveitsiske forskere hevdet før helgen at de hadde knekket krypteringen i SSL-protokollen. Nå møter de massiv motstand.

Nyheten har gått sin gang verden rundt, og i kjølvannet har flere eksperter uttalt seg om den såkalte crackingen. Og alle sammen er enige om en ting: SSL-protokollen er ikke cracket.

Et annet viktig poeng er at det ikke er snakk om en svakhet for nettbasert e-post, som Hotmail, som tidligere nevnt. Svakheten gjelder i praksis mer for alle e-postlesere som bruker POP eller IMAP.

Overdrevet

Flere sikkerhetseksperter mener at utsagnet om at protokollen er blitt cracket er direkte feil, og i det minste sterkt overdrevet.

Det er også her snakk om at man har funnet en svakhet i implementeringen av SSL-protokollen, ikke i selve protokollens sikkerhet.

Sikkerhetskonsulent Adam Pointon mener at forskere og andre elsker, og ønsker å kunne hevde at de har cracket protokollen fordi den er så utbredt. -Det er også derfor nyheten har fått så mye omtale, sier han til ZDNet News.

Klienter

Det andre poenget er vel så viktig. Det har hittil vært sagt at sveitserne fant en svakhet som gjorde at de kunne tappe passordet til en nettbasert e-posttjeneste som bruker SSL.

Faktum er at de nettbaserte tjenestene kun sender passordet til serveren en gang for hver pålogging.

E-post klienter som Outlook, Eudora eller andre bruker også SSL for å autentisere seg mot POP eller IMAP servere. For hver gang man trykker «Send og motta», eller om programmet automatisk sjekker e-post for deg til faste intervall, blir passordet sendt til serveren. Ofte sendes det også mer enn en gang for hver sjekk.

Sjekker man e-posten hvert 5. minutt blir altså passordet sendt 12 ganger eller mer i timen. Således er derfor svakheten langt mer alvorlig enn for nettbasert e-post.

Svakheten er uansett allerede fikset av OpenSSL som står bak utviklingen av protokollen. Med Slammer friskt i minne får vi bare håpe at administratorer verden rundt oppdaterer e-post tjenerne sine litt oftere enn SQL-serverne.

Stikkord: internett