Nieuws
image

Mozilla beveiligt infrastructuur met CryptoStick

donderdag 14 februari 2013, 13:04 door Redactie, 5 reacties

Om de interne infrastructuur en verschillende softwareprojecten te beschermen, gebruikt Mozilla een 59 euro kostende USB-stick uit Duitsland. Het gaat om de CryptoStick, ontwikkeld door de Duitse Privacy Stichting. Mozilla gebruikt de CryptoStick als Hardware Security Module (HSM) voor het digitaal ondertekenen van softwareprojecten.

De HSM is een cryptoprocessor die digitale sleutels beheert. Het gaat om een fysiek apparaat in de vorm van een insteekkaart of extern apparaat dat op een computer is aan te sluiten en cryptografische operaties kan uitvoeren. Het bevat de privésleutels die voor het ondertekenen, versleutelen of authenticeren worden gebruikt.

De sleutel zelf kan de hardware niet verlaten. Het is daardoor onmogelijk voor aanvallers om de sleutel via het internet te bemachtigen. Zodra de hardware wordt verwijderd, is de sleutel niet meer te gebruiken. Het is dan ook belangrijk om de CryptoStick te verwijderen als die niet wordt gebruikt, merkt Mozilla op. Iets wat bij DigiNotar niet werd gedaan.

Keuze
"Mozilla's architectuur is breed en verschillende teams gebruiken verschillende platformen, op verschillende plekken en in verschillende netwerken. We willen zeker weten dat de pakketten die ze installeren, door ons gesigneerd zijn, en dat we enige zekerheid hebben dat de gebruikte sleutel voor het ondertekenen niet te compromitteren of te stelen is", zegt Guillaume Destuynder

Mozilla koos bewust voor CryptoStick, vanwege de openheid van het project, de lage prijs en het gemak waarmee aanvullende sticks zijn te verkrijgen, dat het geen echte smartcard is, maar toch eenvoudig fysiek te verwijderen valt en de integratie met GnuPG.

"CryptoStick werkt zonder smartcard, maar in de plaats daarvan emuleert het er eentje", merkt Destuynder op. Hoe Mozilla CryptoStick toepast laat hij in dit artikel zien.

Reacties (5)
14-02-2013, 14:23 door Fwiffo
::allu hoedje op::
Wie zegt dat er maar twee signing crypto sticks zijn, en niet drie? Er zijn immers overheidsinstanties die hiervoor grof geld zullen betalen neem ik aan... Firefox ondertekenen met je eigen key, handig toch? Welke overheid wil dat nou niet?!

Verder, ondertekende hashes zijn te vinden op de ftp server van mozilla. Lijkt niet altijd toegankelijk echter.. (tijdens nieuwe releases??).
14-02-2013, 14:44 door Anoniem
Door Fwiffo: ::allu hoedje op:: Wie zegt dat er maar twee signing crypto sticks zijn, en niet drie?

Wie zegt dat het er twee zijn? "dit artikel"?

Toen waren de sticks al bij mozilla. De derde stick moet dan door mozilla zelf aan de desbetreffende overheid zijn gegeven. Als je mozilla niet vertrouwd moet je je afvragen of je hun signatures wel wilt vertrouwen al zijn ze 100% guaranteed van mozilla (en alleen mozilla).
14-02-2013, 17:39 door Fwiffo
Door Anoniem: Wie zegt dat het er twee zijn? "dit artikel"?
Nu ik het nalees; ze hebben een 'offline' computer waar de private key op is opgeslagen en die ze eindeloos terug kunnen zetten op nieuwe cryptosticks. Zo maak je het de overheid wel erg makkelijk zouden ze deze sleutel willen bemachtigen. Puur theoretisch gesproken, dat wel!
14-02-2013, 19:19 door Anoniem
Dit is vooral een endorsmentorial. Weer eens wat anders dan die gare securityblogjes. Mocht je toevallig naar zo'n ding op zoek zijn dan is dit meer de moeite van het bekijken waard dan een hoop commercieele alternatieven.
14-02-2013, 23:28 door Erik van Straten
Door Redactie: De sleutel zelf kan de hardware niet verlaten. Het is daardoor onmogelijk voor aanvallers om de sleutel via het internet te bemachtigen.
Sja, dat zei Atmel ook over haar "secure" crypto co-processor series microprocessors (AT91SAM7XC), maar dat bleek toch niet helemaal waar zoals Adam Laurie (a.k.a. RFIDiot) hier: http://lists.grok.org.uk/pipermail/full-disclosure/2013-February/089622.html aankondigt en hier: http://oamajormal.blogspot.co.uk/2013/02/atmel-sam7xc-crypto-co-processor-key.html boeiend beschrijft.

Daar wil ik niet mee zeggen dat deze stick onveilig is, maar onderaan http://www.crypto-stick.org/ wijzen de makers op een aantal conculega producten die ook onveilig bleken te zijn - kortom, het is in de praktijk echt moeilijk om dit foutloos te implementeren.

Een aardige presentatie in dit kader is http://events.linuxfoundation.org/slides/2011/linuxcon-japan/lcj2011_yutaka.pdf. Hieron beschrijft Niibe Yutaka de "GnuK", een vergelijkbaar project voor verschillende USB crypto devices. Bijna op het einde ervan vind je onder "Comparison of potable secret keys" een tabel met voor en nadelen van de verschillende oplossingen, waarbij ook de GPF CryptoStick wordt meegenomen. Verder is deze presentatie vooral interessant voor de hardwareknutselaars onder ons. Veel info over de GNUK software vind je hier: http://www.fsij.org/doc-gnuk/index.html.

De OpenPGP Card Version 2 specificatie, geschreven door Achim Pietig, vind je hier: http://g10code.com/docs/openpgp-card-2.0.pdf (g10code is het bedrijf van Werner Koch, de man achter GnuPG, zie http://g10code.com/about.html).

Een goedkopere oplossing is mogelijk een "OpenPGP SmartCard V2", zie http://www.cryptoshop.com/de/products/cardtoken/processorchipcards/3810102013.php. Bij de getoonde prijs komen nog wel verzendkosten, en je hebt natuurlijk een kaartlezer nodig.

Meer info over de GPF CryptoStick: http://www.privacyfoundation.de/crypto_stick/crypto_stick_english/. Die stick is ook hier te koop: http://shop.kernelconcepts.de/product_info.php?cPath=1_26&products_id=133.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search