Menurut sebuah laporan dari Wired, matematikawan Zachary Harris telah menemukan bahwa banyak situs utama menggunakan kunci yang tidak cukup panjang pada digital signature email mereka. Alamat email dari Google, PayPal, Yahoo, Amazon, eBay dan banyak lainnya begitu mudah dipalsukan, kata Harris.
Banyak perusahaan sekarang menggunakan DomainKeys Identified Mail (DKIM) untuk menyertakan tanda tangan digital dan mengkonfirmasi bahwa email memang berasal dari domain mereka. Ketika memeriksa sebuah tawaran pekerjaan yang tampaknya datang dari Google, Harris menyadari bahwa tanda tangan Google mudah untuk dipalsukan. Ia kemudian memberitahu Google masalah tersebut dengan mengirimkan kepada CEO Google Larry Page email yang seakan-akan berasal dari co-founder Sergey Brin dan sebaliknya.
DKIM biasanya dienkripsi melalui kunci publik dan metode RSA. Namun tampaknya, perusahaan-perusahaan seperti Google, eBay, Yahoo, Twitter dan Amazon hanya menggunakan kunci 512-bit.
Menurut Harris, kunci ini dapat dipecahkan dalam waktu tiga hari di layanan cloud Amazon Web Services (AWS) dengan biaya hanya sekitar $ 75. Lembaga keuangan seperti PayPal, US Bank dan HSBC dilaporkan menggunakan kunci 768-bit yang juga dianggap tidak aman.
Untuk membuat tanda tangan digital yang efektif, kunci dengan panjang minimal 1.024 bit harus digunakan pada RSA. Institut Standariasi dan Teknologi Amerika Serikat (NIST) bahkan merekomendasikan panjang minimal 2.048 bit.
Harris telah memberitahu perusahaan yang terkena dampak tersebut, juga kepada CERT di Carnegie Mellon University, lalu mendorong perusahaan untuk menghapus kunci yang mereka gunakan sekarang dan mengeluarkan yang baru.
US-CERT kini telah menerbitkan sebuah saran untuk masalah tersebut, secara khusus juga menyebutkan Google, Microsoft dan Yahoo. Saran tersebut juga menyertakan beberapa pesan DKIM yang dikirim untuk pengujian. Menurut RFC 6376, saran yang diberikan tersebut harus diperlakukan seakan-akan DKIM itu dikirim tanpa kunci sama sekali.
Sumber : Heise
Banyak perusahaan sekarang menggunakan DomainKeys Identified Mail (DKIM) untuk menyertakan tanda tangan digital dan mengkonfirmasi bahwa email memang berasal dari domain mereka. Ketika memeriksa sebuah tawaran pekerjaan yang tampaknya datang dari Google, Harris menyadari bahwa tanda tangan Google mudah untuk dipalsukan. Ia kemudian memberitahu Google masalah tersebut dengan mengirimkan kepada CEO Google Larry Page email yang seakan-akan berasal dari co-founder Sergey Brin dan sebaliknya.
DKIM biasanya dienkripsi melalui kunci publik dan metode RSA. Namun tampaknya, perusahaan-perusahaan seperti Google, eBay, Yahoo, Twitter dan Amazon hanya menggunakan kunci 512-bit.
Menurut Harris, kunci ini dapat dipecahkan dalam waktu tiga hari di layanan cloud Amazon Web Services (AWS) dengan biaya hanya sekitar $ 75. Lembaga keuangan seperti PayPal, US Bank dan HSBC dilaporkan menggunakan kunci 768-bit yang juga dianggap tidak aman.
Untuk membuat tanda tangan digital yang efektif, kunci dengan panjang minimal 1.024 bit harus digunakan pada RSA. Institut Standariasi dan Teknologi Amerika Serikat (NIST) bahkan merekomendasikan panjang minimal 2.048 bit.
Harris telah memberitahu perusahaan yang terkena dampak tersebut, juga kepada CERT di Carnegie Mellon University, lalu mendorong perusahaan untuk menghapus kunci yang mereka gunakan sekarang dan mengeluarkan yang baru.
US-CERT kini telah menerbitkan sebuah saran untuk masalah tersebut, secara khusus juga menyebutkan Google, Microsoft dan Yahoo. Saran tersebut juga menyertakan beberapa pesan DKIM yang dikirim untuk pengujian. Menurut RFC 6376, saran yang diberikan tersebut harus diperlakukan seakan-akan DKIM itu dikirim tanpa kunci sama sekali.
Sumber : Heise
No Comment.