Der er ingen grund til at gå i panik over de forskningsresultater, som blev fremlagt i Californien i sidste uge, sådan lyder det fra både TDC og PBS, der begge benytter den kritiserede sikkerhedsalgoritme.
Spørgsmålet er ellers blevet rejst i Folketinget af Socialdemokraterne, som vil have Videnskabsminister Helge Sander til at redegøre for sikkerheden i den digitale signatur.
Forskningsresultaterne har sået tvivl om de algoritmer som sikkerheden i digitale logins verden over er baseret på. Algoritmerne er de såkaldte MD5, SHA-0 og SHA-1, og sidstnævnte bruges både i den digitale signatur og bankernes loginsystem til netbankerne.
Brist er kun teoretisk
Men der er ingen grund til at gå i panik over resultaterne. De retter sig primært mod MD5 og SHA-0, lyder meldingen fra TDC, der har udviklet den digitale signatur.
»Både MD5 og SHA-0 blev allerede frarådet for nogle år siden - og derfor har de fleste verden over for længst opgraderet til SHA-1,« siger afdelingsleder Morten Storm Petersen fra TDC Certiceringscenter til IT-avisen ComON.
»Med hensyn til SHA-1 antyder resultaterne, at det også på et tidspunkt vil blive muligt at bryde den. Men indtil videre er det en teoretisk mulighed og ikke noget, der er praktisk anvendeligt. Det betyder bare, at teknologien om nogle år skal opgraderes til en stærkere algoritme, og det var egentlig ventet,« siger Morten Storm Petersen og fortæller, at det om nogle år vil betyde, at der skal skiftes til en anden algoritme. Dette kunne eksempelvis være de såkaldte SHA-224, SHA-256, SHA-384 eller SHA-512, som allerede er standardiserede og forberedt til formålet.
»Men der er ingen problemer på nuværende tidspunkt, og hverken som myndighed, virksomhed eller privatperson skal man være nervøs for at benytte den digitale signatur til at udveksle dokumenter,« understreger Morten Storm Petersen.
Den digitale signatur er fundamentet for den digitalisering, som skal ske af hele den offentlige sektor over de kommende år.
Bliver det nødvendigt at opgradere til den stærkere algoritme vil det kunne gøres i løbet af maksimum to år. Certifikaternes levetid er nemlig kun to år, og skal derfor udskiftes hvert andet år.
PBS: Vi følger udviklingen tæt
Hos PBS, der står bag netbankernes login-løsning samt den nye Net-ID, er man heller ikke bekymret.
»Omkring SHA-1 er det indtil videre blot nogle meget foreløbige resultater, som er fremlagt, og formuleringerne er ret ukonkrete. Derfor vil nu forsøge at få flere oplysninger, om hvad det konkret er, at forskerne har fundet ud af. Men vi har endnu ikke set noget, som har gjort os urolige,« siger underdirektør i PBS Johnny Bennedsen til IT-avisen ComON.
»Vi følger dog udviklingen nøje, og der opstår et reelt problem, så er det klart, at det er noget, vi skal gøre noget ved,« siger Johnny Bennedsen.
