Microsoft vervangt oude encryptietechnologieën in Windows

Microsofts Security Business & Technology Unit heeft een update uitgebracht van de Secure Development Lifecycle policy's die binnen het softwarebedrijf gebruikt worden. In deze documenten is te lezen dat programmeurs voortaan gebruik moeten maken van het SHA-256-algoritme en van AES-blokvercijfering. Verder is door het Redmondse softwarebedrijf besloten om het gebruik van enkele oudere encryptietechnologieën in verband met veiligheid sterk te beperken. Deze algoritmes raken namelijk 'creaky at the edges', aldus Michael Howard, senior security program manager bij Microsoft. De encryptie­technologieën die niet meer gebruikt mogen worden, zijn DES, MD4 en MD5. MD4 en MD5 zijn hashalgoritmes die gebruikt worden om de integriteit van data te verifiëren. DES is een vorm van blokvercijfering en wordt in netwerkprotocollen gebruikt voor de encryptie van informatie.

Wanneer ontwikkelaars binnen Microsoft ondanks dit nieuwe beleid toch nog gebruikmaken van de genoemde encryptietechnologieën, zal de relevante code automatisch gemerkt en de programmeur verzocht worden om de code aan te passen. In de toekomst is het ook de bedoeling dat oudere code aangepast zal worden om calls naar DES-, MD4- en MD5-functies zoveel mogelijk uit te bannen. Analist Bruce Schneier is erg te spreken over deze wijziging. Tegelijk meent hij echter dat hier al veel eerder mee begonnen had moeten worden, omdat (theoretische) aanvallen op de genoemde algoritmes al langere tijd bekend zijn. Microsoft heeft ook besloten om het gebruik van SHA-1 per geval te bekijken en zo na te gaan of dit algoritme veilig gebruikt wordt. Dat is volgens Schneier opvallend, omdat theoretische aanvallen op SHA-1 pas in februari dit jaar bekend zijn geworden.