Cryptograaf Marc Stevens is erin geslaagd het SHA1-algoritme te kraken, zo laat De Telegraaf weten. Dit algoritme wordt gebruikt om e-mails, betalingen en wachtwoorden een unieke vingerafdruk te geven en vormt de basisbeveiliging van internet.

Marc Stevens, werkzaam bij het Centrum Wiskunde & Informatica in Amsterdam, had al bewezen dat het SHA1-algoritme kwetsbaar was, maar nu is hij er ook daadwerkelijk in geslaagd het te kraken. De beveiligingsmethode berust op het principe dat via internet verzonden data een cryptografische sleutel meekrijgt. Hiermee is te controleren of de data bij aankomst nog steeds authentiek is. Als de sleutel gekopieerd kan worden, merkt de ontvanger niet dat er met de data gerommeld is en dat kopiëren is nu gelukt. Stevens en zijn team hebben er samen met Google voor gezorgd dat twee pdf-bestanden dezelfde vingerafdruk kregen. Eenvoudig was dit overigens niet. Het kostte jaren om een broncode voor de aanval te schrijven en een paar maanden om het eerste salvo af te vuren. De uiteindelijke kraak kostte ook nog acht dagen in welke tijd 9,2 triljoen (miljard keer miljard) berekeningen werden uitgevoerd. Met deze methodiek wordt het onder andere mogelijk om ‘achterdeurtjes’ in dataverkeer te verbergen, om zo controle te krijgen over de computer van het slachtoffer. Een lichtpuntje is dat SHA1 inmiddels wordt opgevolgd door het veel beter beveiligde SHA2. Alleen wordt dat nieuwe protocol alleen nog in Google Chrome gebruikt. De browsers Firefox volgt binnenkort, maar veel mensen werken met Internet Explorer en Safari. Het is niet bekend wanneer die op SHA2 overstappen. Stevens verwacht overigens niet dat cybercriminelen nu massaal SHA1 gaan kraken. Daarvoor is de methode te moeilijk. Er zijn volgens hem makkelijker manieren om cybercrime te plegen.