- 
De uiterste houdbaarheidsdatum van een notes ID
Category analyse
Bookmark :
Gisteren verscheen er een interessant blog-item van Richard Schwartz, over het 'factoren' van een 640 bits RSA key. Een RSA-key is gebaseerd op enkele grote priemgetallen; 'factoring' betekent, heel kort door de bocht, dat men in staat is die oorspronkelijke priemgetallen te achterhalen. Als dat lukt, is de weg geopend naar het doorbreken van de beveiliging die zo'n key biedt. Recent is iemand hierin geslaagd, en dat is het begin van het einde voor 640 bits RSA keys.
Voor Notes/Domino-beheerders is dit relevante informatie, omdat een notes ID-file, tot en met ND6.5, altijd bestond uit een 512- of 630 bits RSA-key!
Bookmark :
Gisteren verscheen er een interessant blog-item van Richard Schwartz, over het 'factoren' van een 640 bits RSA key. Een RSA-key is gebaseerd op enkele grote priemgetallen; 'factoring' betekent, heel kort door de bocht, dat men in staat is die oorspronkelijke priemgetallen te achterhalen. Als dat lukt, is de weg geopend naar het doorbreken van de beveiliging die zo'n key biedt. Recent is iemand hierin geslaagd, en dat is het begin van het einde voor 640 bits RSA keys.
Voor Notes/Domino-beheerders is dit relevante informatie, omdat een notes ID-file, tot en met ND6.5, altijd bestond uit een 512- of 630 bits RSA-key!
Richard Schwartz legt in zijn blog-entry uit dat het kraken van met 640 bit RSA keys beveiligde data voor hackers nu al commercieel interessant zou kunnen zijn; technisch gesproken kost het nu nog veel inspanning, maar wordt het ieder jaar eenvoudiger. Met andere woorden, een notes ID-file aangemaakt met ND6.5 of ouder is misschien over vijf jaar niet meer zo betrouwbaar als u wel mocht denken of wensen.
ND7: Key rollover en policies
IBM heeft dit gelukkig op tijd aan zien komen. In ND6 heeft men al de mogelijkheid ingebouwd om id-files in de toekomst uit te breiden van 630 naar 1024 bits. Vanaf ND7 heeft men daadwerkelijk de mogelijkheid om nieuwe id-files te maken die een 1024 bit RSA key hebben. Bestaande keys kunnen in ND7 opgewaardeerd worden naar die 1024 bits, onder andere automatisch middels een Key Rollover policy.
De verwachting is dat, als de huidige ontwikkelingen zich voortzetten, zulke 1024 bit RSA keys nog decennialang veilig zijn.
In ND7 kan ook een security policy opgezet worden, die grenzen stellen aan welke notes ID's er gebruikt mogen worden op uw Notes/Domino-omgeving. U controleert zelf of u nog 630 bits keys op uw omgeving gebruikt mogen worden, of dat alleen 1024 bits keys nog welkom zijn. U stelt in hoe oud of jong een id-file maximaal mag zijn, of de key die erin zit.
Zo'n policy (zie het screenshot hieronder) zou over vier, vijf jaar wel eens een broodnodige vorm van beveiliging kunnen worden!
 |