Nieuws
image

Is DigiNotar's PKIoverheid CA ook gehackt?

vrijdag 2 september 2011, 10:10 door Redactie, 6 reacties

Beveiligingsexperts vragen zich af of de aanvallers die bij het Nederlandse DigiNotar wisten in te breken, ook toegang hebben gehad tot de PKIoverheid-certificaten van de Staat der Nederlanden. DigiNotar geeft naast eigen SSL-certificaten ook de PKIoverheid-certificaten van de Staat der Nederlanden uit, die onder andere voor DigiD wordt gebruikt. Aanvallers maakten waarschijnlijk 247 valse SSL-certificaten aan, onder andere voor *.google.com. Daarmee werden Iraanse Gmail-gebruikers afgeluisterd.

Gisterenavond verstuurde overheidsinstantie Logius een e-mail, waarin het overheden vraagt om de gevolgen van het uitvallen van PKI-overheidscertificaten te benoemen. De e-mail kwam ook bij IT-journalist Brenno de Winter terecht, die hem op zijn website publiceerde. Volgens de e-mail zijn er geen aanwijzingen dat de DigiNotar beveiligingscertificaten van PKIoverheid-certificaten ook getroffen zijn.

Toch worden aangeschreven instanties gevraagd om de aanwezige PKIoverheid-certificaten van DigiNotar in de organisaties te inventariseren, te kijken voor welke processen deze worden gebruikt en te inventariseren wat de gevolgen zijn als de PKIoverheid-certificaten van DigiNotar niet meer zijn te vertrouwen.

Overheid
"Ik denk dat het nu verstandig is voor betrokken browserleveranciers om een update voor te bereiden die ook DigiNotar's PKIoverheid CA intrekt, afhankelijk van het onderzoek dat nu wordt uitgevoerd", zegt Roel Schouwenberg van het Russische anti-virusbedrijf Kaspersky Lab. "Veel Nederlandse overheidssites en diensten worden door het intrekken getroffen en het opruimen zal pijnlijk zijn."

Schouwenberg merkt op dat de Nederlandse overheid DigiNotar in veel gevallen als een " intermediary CA" gebruikt, maar dat het ook zelf een root CA heeft, waarmee het snel nieuwe certificaten voor de getroffen diensten kan uitgeven. "Ik hoop dat het nu echt duidelijk is dat de Nederlandse overheid afstand van DigiNotar moet nemen", aldus de virusanalist.

Reacties (6)
02-09-2011, 10:35 door Anoniem
Of ze daadwerkelijk gehacked zijn blijft natuurlijk een vraag. Maar indien Diginator niet in staat is om de overige certificaten goed te beveiligen, dan lijkt het erop dat m.b.t. de overheidscertificaten hetzelfde risico bestaat. Of heeft men een aparte club, meer capabele, beveiligers in dienst die een beter beveiligde infrastructuur hebben opgezet voor de sectie overheid ? ;)
02-09-2011, 12:07 door Anoniem
`voor zover nu bekend` lijkt me nou niet bepaald goed Nederlands in een security context.
Het gaat niet om het verifieren maar om het falsificeren in wetenschappelijke zin.
Kennelijk begrijpt men dat niet, anders zou men zich realiseren dat wat er nu in die email staat vanuit beveligingsoogpunt complete onzin is.
02-09-2011, 12:50 door Anoniem
Schoenmaker - leest: ik heb liever een reactie van een CA/PKI-deskundige dan de ongenuanceerde mening van een anti-virus expert die met bedrijfsnaam graag in het nieuws komt terwijl zijn eigen bedrijf nu niet bekend staat om betrouwbaarheid van de eigen systemen.

Inhoudelijk:
Ik heb ook nog een tweede auto, maar die gebruik ik ook alleen waarvoor deze geschikt is - en dat is niet het slepen van een caravan of aanhanger. Dat de overheid nog een eigen root CA heeft wil niet zeggen dat het deze kan gebruiken voor het doel van die via Diginotar gebruikte certificaten.

Het is niet vreemd dat er nu voor de zekerheid door logius een brief naar hun klanten gaat en er een inventarisatie van de situatie van eisen/wensen van dit moment komt. Stel ze doen dit niet, hoe slim denken we dan dat het is om gewoon maar eenzijdig de klanten te dwingen dat ze een andere CA en certificaten moeten gebruiken.... Juist, grote kans dat de klanten - burgers en organisaties op veel en veel te hoge kosten/tijdsderf/frustratie worden gezet. Wat voor gevolgen zal dat voor Logius en vertrouwen hebben?!?!
02-09-2011, 14:55 door Anoniem
Het vertrouwen is weg, dus vervangen zou ik zeggen. Hoe pijnlijk het ook zal zijn!
02-09-2011, 15:43 door Anoniem
Och, in 2001 gaf Verisign nog certificaten uit op naam van "Microsoft Corp", aan mensen die geen vertegenwoordigers van Microsoft Corp waren.

Saillant detail: over het ontdekken en publiceren van die fout deed Verisign toen twee maanden. Diginotar heeft nu zes weken nodig gehad voordat publicatie (werd afgedwongen).

Ergo: 10 jaar PKI business heeft de detectietijd van fouten met maar liefst 25% verkleind! Das het echte goede nieuws dat uit dit drama valt te halen.
03-09-2011, 02:50 door Anoniem
Begin dit jaar had Comodo het zelfde probleem: http://www.theregister.co.uk/2011/03/23/gmail_microsoft_web_credential_forgeries/ Is de vraag wel waarom Diginotar failliet verklaard wordt maar Comodo vrolijk door kan gaan met het uitgeven van certificaten ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search