image

NCSC geeft certificaat-tips na Diginotar-incident

donderdag 27 september 2012, 15:07 door Redactie, 6 reacties

Volgens het Nationaal Cyber Security Center (NCSC) heeft het Diginotar-incident duidelijk gemaakt dat het huidige certificatenstelsel beperkingen kent en er aanvullende maatregelen nodig zijn om certificaten op een veilige manier te beheren. "Het Diginotar-incident heeft geleid tot inzichten die beheerders en gebruikers van certificaten kunnen helpen om hun stelsel van beheermaatregelen te toetsen en aan te scherpen", zo laat de overheidsorganisatie in een nieuwe factsheet weten.

"Incidenten met certificaten hebben duidelijk gemaakt dat het omgaan met certificaten een prominente plek verdient in de informatiebeveiliging. Maatregelen moeten niet alleen de kans op incidenten verkleinen, maar moeten bij een incident ook zorgen dat de schade beperkt blijft en zo snel mogelijk hersteld wordt."

Maatregelen
De factsheet waarschuwt voor de risico's bij het gebruik van certificaten, de gevolgen van een CA-beveiligingsincident, beheermaatregelen en overige aandachtspunten. Het gaat dan bijvoorbeeld om bedrijven die hun beheertaken outsourcen of van cloudcomputing gebruik maken.

"Daarbij geldt: taken en diensten kunt u uitbesteden, verantwoordelijkheid niet. U blijft er dus verantwoordelijk voor dat het beheer van certificaten goed geregeld is", aldus het NCSC.

Reacties (6)
27-09-2012, 16:09 door Bitwiper
Dat een certificaat kan worden gebruikt om "de authenticiteit van een website te garanderen" is natuurlijk grote onzin. Door dit soort onzin draagt deze factsheet alleen maar verder bij aan de bestaande verwarring. Zo krijgen we PKI niet veiliger!

Voor degenen die nog steeds denken dat, als webserver een certificaat kan presenteren, daarmee de authenticiteit van die webserver is aangetoond, presenteer ik hierbij het certificaat van https://www.ncsc.nl/:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Als je bovenstaande tekst selecteert, kopieert, in kladblok plakt, op je bureaublad opslaat als www.ncsc.nl.cer, en er dan op dubbelklikt, kun je zien dat dit het certificaat is van die site en dat deze nu op security.nl staat. Ik kan dit certificaat natuurlijk ook zonder problemen als een server-certificaat op een webserver installeren en daarmee www.ncsc.nl proberen te spoofen.

Er is maar één reden waarom dit niet goed gaat werken, nl. omdat bezoekers een certificaat foutmelding zullen krijgen. De reden daarvoor is dat ik de private key behorende bij het bovenstaande certficaat niet in m'n bezit heb.

Een certificaat toont slechts aan dat een "naam" (hostname in het geval van een SSL certificaat) bij een public key in dat zelfde certificaat hoort. Niks meer en niks minder.

Overigens heeft NCSC haar server wel goed geconfigureerd, zie https://www.ssllabs.com/ssltest/analyze.html?d=www.ncsc.nl.

Hoewel er in de NCSC factsheet eindelijk wel eens wat valt te lezen over private sleutels, is het duidelijk dat we nog een lange weg te gaan hebben...

20120928 0830 correctie: www.ncscn.nl --> www.ncsc.nl, woordje "in" ontbrak en een italics code gerepareerd. Opmerking: als je kopieert en plakt in kladblok/notepad krijg je 1 of enkele lange regels (oorzaak is dat security.nl kennelijk uitsluitend LF (LineFeed) kakakters gebruikt in plaats van de in de Microsoft wereld gebruikelijke CRLF voor regeleindes. Dit maakt echter niet uit, als je uit kladblok opslaat is het certificaat nog steeds correct.
28-09-2012, 00:02 door burne101
Door Bitwiper:
een public key

Helaas.


Hoewel er in de NCSC factsheet eindelijk wel eens wat valt te lezen over private sleutels, is het duidelijk dat we nog een lange weg te gaan hebben...

De key is private. Altijd. Jouw reactie onderstreept vooral hoe lang de weg is die we te gaan hebben. Public key. Hoe de bloody fucking hell kom je op het idee van public keys?
28-09-2012, 09:02 door Anoniem
Bitwiper heeft gewoon gelijk burne101. Certificaten werken met een public en private key. Er zit nog wel wat extra's eromheen, maar de basis is een public/private key systeem.
28-09-2012, 09:44 door Nimrod
De key is private. Altijd. Jouw reactie onderstreept vooral hoe lang de weg is die we te gaan hebben. Public key. Hoe de bloody fucking hell kom je op het idee van public keys?
Fail... Je hebt duidelijk totaal geen verstand van encryptie. Bij SSL wordt gebruik gemaakt van asynchrone encryptie, waar bij een public en een private key gebruikt worden. De public key mag in de krant zoals men dat noemt. Dit is dus publiekelijk beschikbaar. Ga a.u.b. jezelf inlezen, scholen o.i.d. voordat je nog een keer reageert.
30-09-2012, 12:53 door Overcome
Door Nimrod: Fail... Je hebt duidelijk totaal geen verstand van encryptie. Bij SSL wordt gebruik gemaakt van asynchrone encryptie, waar bij een public en een private key gebruikt worden. De public key mag in de krant zoals men dat noemt. Dit is dus publiekelijk beschikbaar. Ga a.u.b. jezelf inlezen, scholen o.i.d. voordat je nog een keer reageert.

Ehmm... asymmetrische encryptie :)
30-09-2012, 20:46 door Nimrod
Juist asymmetrisch :P Ik was net multi-threaded aan het programmeren en dan ben je dus bezig met asynchrone acties enzo. Was even in de war. Thanks voor de verbetering.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.