Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 21/2/2003
Forskere har fundet en sårbarhed i SSL-krypteringen, der kan afsløre passwords, som sendes flere gange. Sårbarheden er rettet i OpenSSL.Sårbarheden findes i kryptering ud fra SSL- eller TLS-standarden (Secure Sockets Layer og Transport Layer Security). Den kræver, at en bestemt tekst sendes flere gange mellem parterne, der kommunikerer via den krypterede forbindelse. Det kan for eksempel være et password. Sådan fungerer de færreste web-tjenester, her udveksles adgangskoder kun en enkelt gang.
Forskere fra det svejtsiske teknologiinstitut i Lausanne har afprøvet sårbarheden i forbindelsen mellem et Outlook Express-postprogram og en IMAP 4-server. På sådan en forbindelse sendes brugernavn og password jævnligt. Det tog under en time, før forskerne havde afsløret adgangskoden.
Folkene bag OpenSSL, som er et serverprogram til at lave SSL-kryptering med, har nu ændret programmet, så denne form for angreb ikke kan lade sig gøre.