Nieuws
image

DigiNotar-hacker maakt 60.000 certificaten waardeloos

zaterdag 10 september 2011, 10:09 door Redactie, 3 reacties

Door de aanval op het Nederlandse DigiNotar zijn 60.000 digitale certificaten waardeloos geworden. Inmiddels worden DigiNotar-certificaten niet meer door Microsoft, Mozilla en Google vertrouwd en ook bij allerlei andere instanties niet meer te gebriuken. "Daardoor zijn 60.000 certificaten waardeloos geworden", zegt Friso de Jong van Stichting Waarborg E-factureren. Hij merkt op dat de ondergang van de Nederlandse SSL-uitgever ook gevolgen op e-facturering heeft.

Digitale handtekeningen die aan PDF-facturen zijn gekoppeld en van een ingetrokken certificaat zijn voorzien, zijn juridisch gezien niet meer geldig. Daarnaast kunnen gebruikers van een "e-invoice portal" die DigiNotar-certificaten gebruikt deze plekken niet meer bezoeken of krijgen allerlei waarschuwingen. "In sommige gevallen is het versturen van e-facturen naar (publieke) organisaties die een specifiek digitaal certificaat vereisen niet meer mogelijk."

Waardeloos
"Als een reguliere certificaatuitgever wordt gecompromitteerd, maakt het meteen tienduizenden certificaten waardeloos, wat invloed op miljoenen elektronische facturen heeft. Als de certificaatuitgever een internationale speler is, dan is het gevolg tienvoudig", aldus De Jong. Vanaf 1 januari 2013 gelden er in Europa nieuwe regels, waardoor technische maatregelen niet langer nodig zijn om de integriteit en authenticiteit van een e-factuur te bepalen.

Reacties (3)
10-09-2011, 13:55 door Bitwiper
In http://www.finextra.com/community/fullblog.aspx?blogID=5759 lees ik ondermeer:
Door Friso de Jong op 08 Sep, 2011 14:25: Whereas the end-users were under the impression that they were directly connected with Gmail, they in reality communicated with Gmail through the servers of the Iranian Government!
Dat de Iraanse overheid haar eigen servers voor deze aanval zou hebben gebruikt, heb ik nog nergens onderbouwd gezien. Maar misschien moet ik hier maar over ophouden.

Inhoudelijk is de discussie interessant (en klopt het wat Friso de Jong zegt): wat doe je met bestanden die digitaal zijn ondertekend en waarvan het certificaat is ingetrokken, verlopen, of waarvan de toegepaste cryptografische techieken ondertussen kraakbaar zijn? En hoe zit dat met de van toepassing zijnde gebruikte root certificaten?

Microsoft's Authenticode is een notoire leugenaar op dit punt: als je de handtekening onder een digitaal ondertekend bestand checkt, en het bijbehorende certificaat is ondertussen verlopen, dan wordt die handtekening nog als "in orde" aangeduid (als ik het goed begrijp, mits die handtekening ook een geldige timestamp bevat). De -discutabele- argumentatie van Microsoft daarachter is dat het certificaat geldig was op het moment van ondertekenen.

Voor degenen die meer geïnteresseerd zijn in het vervallen van de plicht voor digitale handtekeningen in belastingaangiftes vanaf 2013-01-01, een overzicht vind je op http://ec.europa.eu/enterprise/sectors/ict/e-invoicing/benefits/index_en.htm.

In http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:189:0001:0008:NL:PDF (dit is EU Directive 2010/45/EU van 2010-07-13):
Door DE RAAD VAN DE EUROPESE UNIE: [...]

(11) De authenticiteit en de integriteit van de elektronische factuur kunnen tevens worden gewaarborgd met behulp van bestaande technologieën, zoals elektronische uitwisseling van gegevens (Electronic Data Interchange — EDI) en een geavanceerde elektronische handtekening. Aangezien er echter ook andere technologieën bestaan, mogen belastingplichtigen niet verplicht worden tot het gebruik van een bepaalde technologie voor elektronische facturering.

[...]

2. De authenticiteit van de herkomst en de integriteit van de inhoud van een elektronische factuur kunnen, behalve door middel van de in lid 1 bedoelde bedrijfscontroles, bijvoorbeeld ook met de volgende technologieën worden gewaarborgd:

a) een geavanceerde elektronische handtekening in de zin van artikel 2, punt 2), van Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (*), welke gebaseerd is op een gekwalificeerd certificaat in de zin van artikel 2, punt 10), van Richtlijn 1999/93/EG en gecreëerd wordt met een veilig middel voor het aanmaken van handtekeningen in de zin van artikel 2, punten 6) en 10), van Richtlijn 1999/93/EG;

b) elektronische uitwisseling van gegevens (Electronic Data Interchange — EDI), zoals gedefinieerd in artikel 2 van bijlage 1 bij Aanbeveling 1994/820/EG van de Commissie van 19 oktober 1994 betreffende de juridische aspecten van de elektronische uitwisseling van gegevens (**), indien het akkoord betreffende deze uitwisseling in het gebruik van procedures voorziet die de authenticiteit van de herkomst en de integriteit van de gegevens waarborgen.

[...]
Tekst in de bovenstaande quote is door mij vet gemaakt ter verduidelijking).
10-09-2011, 16:51 door Anoniem
"Digitale handtekeningen die aan PDF-facturen zijn gekoppeld en van een ingetrokken certificaat zijn voorzien, zijn juridisch gezien niet meer geldig."

Dat is onwaar. Ze waren geldig op het moment van uitgeven. Alleen als de certificaten vervalst zijn, zouden ze ongeldig zijn.

Als je zelf een certificaat maakt en die gebruikt om documenten te signeren, dat zijn ze even goed geldig. Als je bijvoorbeeld PGP gebruikt dan is dat prima. Een controlerende instantie kan altijd vragen om bevestiging van de correctheid van een public key.
11-09-2011, 20:09 door Anoniem
@Anoniem Heel goed, dat was ook mijn idee.

De geldigheid van het certificaat is alleen van belang bij het versturen van de factuur.

Ik neem aan dat certificaten voor het signeren van facturen net zo lang geldig zijn als voor een gemiddelde website: 1 jaar

Anders zou het zo zijn dat je een factuur ontvangen een een maand voor het verlopen van het certificaat gewoon kunt weigeren te betalen met het argument dat het certificaat niet geldig is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search