Google heeft oplossing voor SSL-systeem
Twee onderzoekers van Google hebben een oplossing voor het SSL-systeem aangedragen dat de laatste tijd regelmatig onder vuur ligt. SSL wordt gebruikt voor het versleutelen van de communicatie tussen bezoekers en websites, en laat de bezoeker ook de identiteit van de website vaststellen. Inbraken bij DigiNotar en Comodo, waarbij aanvallers vervalste certificaten voor allerlei domeinen uitgaven, lieten zien dat het systeem niet waterdicht is.
Adam Langley en Ben Laurie hebben een oplossing bedacht die dit soort incidenten moeten voorkomen. Alle certificate authorities (CA) moeten cryptografische details over elk uitgegeven SSL-certificaat publiceren. Die informatie wordt gesigneerd en in een publiek toegankelijke audit-log bewaard. Daardoor zou een aanvaller niet, of met veel meer moeite, valse certificaten kunnen laten genereren.
"Servers leveren naast het certificaat, het bewijs dat het certificaat is geregistreerd. Clients controleren dit bewijs en domeineigenaren monitoren de logs", aldus Langley. "We denken dat dit ontwerp een grote, positieve impact op een belangrijk deel van de internetveiligheid zal hebben en dat het is uit te rollen. De uitrol zal echter niet eenvoudig zijn en hopelijk zullen we het niet alleen uitrollen", voegt Laurie toe.
Ik weet niet of dit echt een oplossing is.
En als iedereen dan toch die logs moet gaan vertrouwen: hoe verifieer je echtheid van zo'n log? Met een certificaat?
1. Dat misbruik in Iran uiteindelijk gedecteerd werd door Google's chrome browser. Wat voor controle hadden zij die de andere browsers/aplicaties niet hadden?
2. Dat Fox-it als eerste de OCSP-responder bij Diginotar heeft omgedraaid van een negatieve controle (blacklist) naar een positieve controle (whitelist).
Zonder OCSP wordt alleen geverifieerd of een certificaat is ingetrokken (CRL: blacklist) terwijl het idee van Google om de uitgegeven certificaten te signeren een vorm van whitelisting is. Het maakt dat een hacker een extra component zal moeten manipuleren. Als deze logfile met hetzelfde certificaat gesigneerd mag worden, dan sluit ik me aan bij hotboy: wat schiet je ermee op?
Maar wellicht zijn er andere mogelijkheden. De kern van het probleem was m.i. dat een identiteit aan het certificaat vals is gekoppeld (bijv.google.com) terwijl de binding van dit certicaat aan de betreffende server een andere was. Oftewel: zouden wij de registrars niet moeten toevoegen in de SSL-keten? Terug naar het voorbeeld van de logfiles: als de betreffende registrar ziet dat een uitgegeven certicaat inderdaad is toegepast aan het domein waarvoor het beweerd te zijn uitgegeven, dan signeert de registrar het uitgegeven certificaat in de logfile. Daarmee had m.i. het Diginotar incident niet kunnen plaatsvinden want het google.com certificaat had alleen door een registrar van het.com-domein gesigneerd kunnen worden.
Vindt het toch wel een grote impact qua uitrollen omdat alle browsers en applicaties een extra controle moeten inbouwen, maar ten opzichte van het hele systeem op de schop gooien kan het misschien niet anders.
Wie heeft er meer ideeen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.