Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 150, views: 46.754 •

Het certificaat dat een Beverwijks bedrijf per abuis uitgaf en dat Iran hielp om internetters te bespioneren, blijkt het gevolg van een hack te zijn. Deze hack werd in juli al ontdekt, maar het certificaat werd onlangs pas ingetrokken.

Gebrek aan sslMaandag en dinsdag kwam DigiNotar in het nieuws doordat een frauduleus certificaat dat door het Beverwijkse bedrijf werd uitgegeven, mogelijk door Iran is gebruikt om op Google-gebruikers te spioneren. Naar nu blijkt is dat het gevolg van een hack, waarbij niet alleen een Google-certificaat is vervalst maar ook andere certificaten zijn nagebootst.

In een verklaring schrijft Vasco Security, sinds januari eigenaar van DigiNotar, dat de hack al half juli heeft plaatsgevonden. Toen DigiNotar de hack ontdekte, op 19 juli, heeft het bedrijf de frauduleuze certificaten ingetrokken. Hierbij is er echter minimaal één over het hoofd gezien: het certificaat dat voor Google.com is gebruikt.

Pas toen de Nederlandse overheidsorganisatie GovCert deze week ontdekte dat een frauduleus certificaat nog niet ingetrokken was, is deze alsnog ongeldig gemaakt. Het is onduidelijk of er nog valse ssl-certificaten van DigiNotar in omloop zijn.

Chief operating officer Jan Valcke van DigiNotar zegt dat de Nederlandse overheid destijds wel is ingelicht, maar dat het bedrijf het niet nodig vond om de hack publiek te maken. Volgens Valcke valt zijn bedrijf niets te verwijten: "De vereiste procedures zijn gevolgd", aldus Valcke. "We hopen dat onze certificaten eind deze week weer worden vertrouwd door Google, Mozilla en Microsoft."

DigiNotar is een bedrijf dat veel werk doet voor de overheid: onder meer het ssl-certificaat van DigiD is afkomstig van DigiNotar, evenals de ssl-certificaten die bedrijven en instellingen gebruiken om vertrouwelijk met overheidsdiensten te communiceren.

Als gevolg van de hack zegden makers van webbrowsers collectief hun vertrouwen in DigiNotar op. Het root-certificaat is uit alle grote webbrowsers verwijderd, en in ieder geval in Firefox heeft dat ertoe geleid dat gebruikers binnenkort een foutmelding krijgen als ze naar DigiD proberen te surfen.

Het ministerie van Veiligheid en Justitie maakt zich weinig zorgen. "De sleutels voor de certificaten van de overheid zijn in het bezit van de overheid zelf, het is een gescheiden proces", aldus woordvoerder Jean Fransman. "Het enige wat DigiNotar doet, is de certificaten leveren." Waarschijnlijk bedoelde Fransman hiermee dat DigiNotar enkel over de public key beschikte, maar dat de privésleutel opgeborgen bleef. Over de blokkade door Firefox zegt Fransman: "Dat is niet onze beslissing, wij zijn niet de eigenaar van Firefox."

GroenLinks en D66 hebben minder vertrouwen in DigiNotar. D66 wil een onderzoek naar de zaak, zegt woordvoerder Thierry van Es. Tweede Kamerlid Arjan El Fassed van GroenLinks heeft Kamervragen gesteld over de kwestie. "Dit moet met spoed worden opgepakt door het kabinet", aldus het Kamerlid. "DigiD-gebruikers weten nu niet of ze wel of niet toegang hebben en of die toegang wel veilig is."

Beveiligingsbedrijf F-Secure schreef eerder op dinsdag dat de website van DigiNotar jaren geleden al is gehackt, en dat tekstbestanden waarin van de hack melding werd gemaakt, pas dinsdag werden verwijderd. Het ging om iemand die claimt dat hij een Iraanse hacker was. Het is onduidelijk of dit iets met de ssl-certificaten te maken heeft.

Update, 15:45: Reactie Vasco toegevoegd.

Update, 15:54: Het artikel is aangevuld met de informatie die tweaker GekkePrutser met ons deelde.

Gerelateerde content

Alle gerelateerde content (25)

Reacties (150)

Reactiefilter:-11500146+196+219+32
Heb je ook een suggestie hoe het dan zou moeten werken? Of schreeuw je maar iets?
convergence.io is bijvoorbeeld een beter systeem, maar truth be told alles is beter dan X.509 CA's etcetera.
Het idee achter convergence.io is, te zien aan hun website, exact hetzelfde als het idee achter de X.509 CA's. Ze promoten alleen wat meer dat het mogelijk is om zelf te bepalen wie je vertrouwt, maar dat kan met X.509 CA's net zo goed, en dat er wat uitgebreidere validatietechnieken zijn. Dat is echter allemaal ook mogelijk met SSL en X.509 certificaten, maar is puur (nog?) niet geimplementeerd in clients.
Vind je het niet raar dat je niet mag zeggen dat er een probleem is als je niet ook meteen de oplossing weet?

Ik mag toch ook zeggen dat ze iets aan de files moeten doen, hoef ik toch ook niet meteen de oplossing er bij te leveren?

Ben het er trouwens niet mee eens: het systeem werkt, als het correct wordt gebruikt. DigiNotar is gehackt. Op dat moment hadden zij zichzelf als onveilig moeten beschouwen en al hun certificaten moeten intrekken en dat nieuws wereldkundig maken. Dat is niet gebeurd, maar Microsoft, Mozilla en Google hebben wel de juiste stap genomen: het root certificaat niet meer vertrouwen.

De overheid zou op dit moment moeten kijken naar een andere certificerings instantie of zelf hun eigen certificeringsinstantie worden voor hun eigen root. Dat je certificaten kunt uitgeven voor een overheidsdienst zonder dat je de key hebt is natuurlijk onzin, die is gewoon gecompromitteerd nu.

Als de overheid hier geen stappen op onderneemt om in elk geval hun eigen infra veilig te stellen en het vertrouwen daarin te herstellen zijn ze wat mij betreft nalatig. Dat ze geen stappen hebben ondernomen toen bleek dat DigiNotar gehackt was is in mijn ogen al een vorm van ernstige nalatigheid...
Vind je het niet raar dat je niet mag zeggen dat er een probleem is als je niet ook meteen de oplossing weet?

Ik mag toch ook zeggen dat ze iets aan de files moeten doen, hoef ik toch ook niet meteen de oplossing er bij te leveren?
Vind je het niet raar dat je niet mag vragen om een suggestie als iemand roept dat er een probleem is en dat het allemaal anders moet?

[Reactie gewijzigd door .oisyn op 30 augustus 2011 15:54]

Heb je ook een suggestie hoe het dan zou moeten werken? Of schreeuw je maar iets?
Vooral het "of schreeuw je maar iets" zegt mij dat stumperd niet daadwerkelijk op een suggestie zit te wachten.

Maar om antwoord te geven op je vraag: nee, dat zou ik niet raar vinden. :)
Iedereen heeft recht op zijn/haar mening, echter in een zin iets "schrijven" (om het woord roepen te vermijden) daar heeft niemand iets aan.
Zonder argument, waarom waarvoor is het niet opbouwend of wat dan ook.
Om te voorkomen dat het hier een "youtube-forum" wordt ben ik wel voor het NIET plaasten van one-liners.

"Ze zouden dat hele certificaat systeem moeten veranderen!"
Waarom dan, wat precies is er mis wat stoort je er aan etc. en ja bij voorkeur ook een oplossing of wat er beter zou moeten, begrijpelijk dat dit niet altijd mogelijk is.

het klinkt mij een beetje als iemand die "hij doet het niet" roept, waar dus niemand iets mee kan :)

- just my humble 5 cents
Ben het er trouwens niet mee eens: het systeem werkt, als het correct wordt gebruikt. DigiNotar is gehackt. Op dat moment hadden zij zichzelf als onveilig moeten beschouwen en al hun certificaten moeten intrekken en dat nieuws wereldkundig maken.
Dat ze dat niet gedaan hebben is volstrekt logisch, daarmee zouden ze een groot deel van hun bussiness kwijt geraakt zijn (al gaat dat nu alsnog gebeuren). Volgens mij bewijst het vooral dat het huidige systeem onvoldoende garandeert dat CA's zich op vlak netjes gedragen.

Maar er is een groter probleem, zelfs als DigiNotar al hun certificaten ingetrokken had was het mogelijk geweest dit foute certificaat te gebruiken voor een Man-in-the-Middle attack. Een browser kan niet anders dan online controleren of een certificaat ingetrokken is. Als je toch al op die verbinding aan het rommelen bent is het triviaal om die controle ook te blokkeren. Het intrekken van certificaten werkt in de praktijk dus niet (afdoende), maar is wel cruciaal om SSL te kunnen vertrouwen.

Iets als convergence.io zou kunnen helpen, hoewel ik vermoed dat het niets oplost als iemand de private keys van de webserver te pakken krijgt (maar dat is nu ook al een probleem).
Je verhaal klopt niet helemaal. Het is totaal niet triviaal om dat ook te blokkeren, integendeel, anders zou het complete certificatensysteem ook niets extra bieden.
Iedere browser bevat de publieke keys van alle grote CA's. Zo ook bijv. DigiNotar.
Nadat de browser een certificaat ontvangt van een website zoekt hij op aan welke CA deze is geliëerd. Als dit een (voor de browser) onbekende CA is, krijg je een waarschuwing (dit zijn bijv. de bekende waarschuwings schermen die je ziet bij self-signed certificates). Als dit echter een bekende CA is, neemt de browser met behulp van de public key (die al in de browser zit ingebakken) contact op met de CA. Dit systeem is (zonder gestolen private key) waterdicht. Als in deze verbinding een man in the middle zou zitten, zouden in je browser alle alarmbellen af gaan.
De CA meldt dan of ze dit certificaat daadwerkelijk hebben uitgegeven en of deze nog niet is ingetrokken. Als uiteindelijk alles goed is gekeurd heb je een "beveiligde" verbinding, tenzij een van deze root CA's gehacked wordt natuurlijk.

Oftewel, zonder hack van de CA of een complete aanpassing van alle webbrowsers (waar deze CA keys zitten ingebakken), is dit NIET mogelijk.

[Reactie gewijzigd door OverSoft op 30 augustus 2011 18:06]

Toch is dit niet het hele verhaal.
Dat de CA in de meeste webbrowsers zit ingebakken is geen vereiste van X.509
Sterker nog er bestaat al jaren een generiek systeem voor windows om deze op te slaan en het zou me verbazen als er niet eenzelfde systeem voor mac en linux is.
Het had dus ook afgekund met alleen een windows update.
Voor windows is er namelijk een algemene certificate store.
Er is een duidelijke api voor aanwezig waarvan het gebruik niet heel ingewikkeld is.
Alle browsers hadden er voor kunnen kiezen om gewoon daarvan gebruik te maken voor hun certificaat opslag. Echter zijn deze zoals veel ontwikkelaars eigenwijs en vonden ze liever het wiel maar weer eens opnieuw uit en hebben een eigen certificate store ontwikkeld. Daarom moeten nu alle browsers worden aangepast. Dus ook zonder aanpassing van de webbrowsers had dit mogelijk geweest, mits de browsermakers gewoon de bestaande voorzieningen hadden gebruikt. Maar dan hadden de browsermakers zich wat meer moeten verdiepen in de OSen waar ze voor ontwikkelen.
Dit is veel efficienter om de hele simpele reden dat er maar 4 grote browsermakers zijn en er zijn alleen in Linux al 200 verschillende distro's met 200 verschillende bedrijven er achter die allemaal een update zouden moeten uitgeven. Daarnaast worden bij veel bedrijven Windows Updates eerst tot aan het bot toe getest, voordat deze toegelaten worden op de werkvloer. Minor updates aan browser met alleen een certificaat verwijdering worden veel sneller toegelaten.
Leuk dat er 200 distro's zijn, maar dat neemt niet weg dat die allemaal van dezelfde kernel gebruik maken al zit er misschien kleine verschillen in versies. De distro's hebben meer gemeen dan ze verschillen en een algemene certificate store in de kernel of extra service is niet ondenkbaar. die service zou een eigen update mogelijkheid kunnen implementeren. Waarom is een update van een certificate voor een browser minor en voor een certificate store voor jou ineens een major update? Je kunt het als gebruiker zelfs handmatig zelf al doen! Fluitje van een cent. Net zo makkelijk als het verwijderen van een bestand. Overigens zou je met een windows update al gelijk 90% van de gebruikers hebben terwijl de browsergebruikers veel emer versnipperd zijn. Overigens doen browsermakers voor elk platform een aparte release dit is niet dezelfde binary of source code. Verre hiervan.
Dat ze dat niet gedaan hebben is volstrekt logisch, daarmee zouden ze een groot deel van hun bussiness kwijt geraakt zijn (al gaat dat nu alsnog gebeuren)
En dus is het wellicht de vraag of deze CA's wel beursgenoteerde, private bedrijven moeten zijn. Als je als CA je na zo'n hack eerst afvraagt wat het met de aandelen gaat doen en dan pas wat de mogelijke gevolgen voor derden zijn (in dit geval marteling, dood en/of levenslang in Evin gevangenis voor Iraanse activisten en jeugd), heb je je prioriteiten niet helemaal op orde volgens mij.

Dat ze bij Diginotar dachten dat het achterhouden van zo'n hack minder schade zou doen dan eerlijk zijn is wat mij betreft een teken dat het hele CA systeem 's opnieuw onder de loep genomen moet worden.
Als ik deze berichtgeving moet geloven vind ik het bijzonder dat de overheid niet oprecht is tegenover zijn burgers en of de wereld.

Dit is wel een epic fail, bijzonder dat Diginotar niet open en eerlijk is geweest.
Wat zijn de vervolg stappen? de impact is gigantisch, hier is het laatste woord nog niet over gezegd.
Ik vind het helemaal niet bijzonder dat de overheid niet oprecht is tegenover zijn burgers en of de wereld.
Voorbeelden te over waar de overheid niet oprecht is.
Ook nu weer krijg je de 'gaat u vooral rustig verder slapen' reactie van de overheid te horen.
Een overheid die maar wat te graag zelf alle root-certificaten zou willen bezitten om u en mij overal te kunnen volgen, afluisteren, zien en horen.
Nou heel simpel,
Nu heb je een chain of authority die valt of staat bij het vertrouwen in de schakels in die keten. Blijkt nu bij één van die schakels niet betrouwvaar dan is de betrouwbaarheid van de hele keten weg.
De oplossing is simpel, een schakel pas te vertrouwen als deze wordt goedgekeurd door minimaal 3 onafhankelijke autoriteiten. Drie is het minimum omdat je niet weet wat je moet doen als twee CA's elkaar tegenspreken. Bij drie is degene die afwijkt dus zelf blijkbaar niet meer te vertrouwen.

offtopic:
In de jaren 80 was iets soortgelijks in gebruik voor de computersystemen in een vliegtuig, ik weet niet meer welke, het zou de F15 kunnen zijn geweest of een experimenteel vliegtuig zoals de delta-vleugel-variant van de F16, de F16L of F16XL of de X-29 (forward swept wing). In ieder geval werd daar de besturing gedaan door 4 onboard computers waarbij de computer die afwijkende commando's gaf door de andere drie uitgeschakeld werd. Zo konden er twee computers uitvallen voordat het vliegtuig in de problemen zou komen.


Nadeel van deze methode is dat deze fors meer checks oplevert omdat iedere schakel in de keten nu minimaal 3 keer gecheckt moet worden. Dit zal een toename van de communicatie betekenen, zeker gezien dus een schakel pas vertrouwd wordt als de goedkeurende autoriteiten uit verschillende chains komen. Als twee of drie CA's beiden dezelfde master CA hebben zitten ze in dezelfde keten en zijn ze dus niet voldoende omdat er dan maar één master CA is.
Ben ik de enige die dit een vaag verhaal vindt?

Overheid maakt zich geen zorgen maar over een tijdje als er toch iets kwaads voortvloeit uit dit zijn ze "geschokt".

Ik moet zeggen dat ik zelf veel heb gewerkt met SSL certificaten voor webshops en eigenlijk nooit problemen heb gehad.....

Ik vraag mij af of de overheid niet meerdere partijen de certificaten moet laten leveren voor zoiets belangrijks als DUO en de belastingdienst, ze zijn iets te afhankelijk van DigiNotar als je het mij vraagt.....!
Het is juist de kern van het probleem dat certificaten door meerdere partijen geleverd kunnen worden. Als er maar 1 partij zou zijn die certificaten voor google.com kan uitbrengen dan zou dit probleem niet zijn ontstaan.

Een enkele uitgever heeft zo zo'n eigen problemen, maar dit specifieke probleem was voorkomen.
Hoezo? Is er iets in het certificaat mechanisme dat zorgt dat er geen twee certificaten van google.com tegelijk kunnen bestaan, getekend door hetzelfde rootcertificaat?

Indien niet, dan helpt het niet om maar 1 root-autoriteit te hebben.
Ik vraag mij af of de overheid niet meerdere partijen de certificaten moet laten leveren voor zoiets belangrijks als DUO en de belastingdienst, ze zijn iets te afhankelijk van DigiNotar als je het mij vraagt.....!
Dat doen ze ook.

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is de eigenaar van de Staat der Nederlanden Root CA. Daaronder bevindt zich de Staat der Nederlanden Overheid Intermediate CA, en dááronder zit een intermediate CA van DigiNotar die gebruikt wordt om o.a. de certificaten van DigiD te ondertekenen.

DigiNotar is daar ook niet de enige in. Het is ook mogelijk om dergelijke certificaten bij, bijvoorbeeld, Getronics te verkrijgen.

Instanties die een PKIOverheid certificaat willen hebben, moeten aankloppen bij een van die zogenoemde CSP's. Waarom zoveel overheidsinstanties daarbij voor DigiNotar gekozen hebben is mij ook niet duidelijk. De lijst CSP's vind je hier: http://www.logius.nl/prod...sluiten/toegetreden-csps/

[Reactie gewijzigd door CyBeR op 30 augustus 2011 15:42]

Ben ik de enige die dit een vaag verhaal vindt?
Nee. Vooral m.b.t. het genereren van die certificaten door hackers staan er nog veel vragen open: het verbaast me dat zoiets mogelijk is. Daarbij zijn de defacing-sporen op de server van DigiNotar hoogst merkwaardig.

Wat trouwens ook vreemd is is de rol van DigiNotar bij de uitgifte van overheidscertificaten: waarom doen zij dat en hoe doen zij dat? Het blijkt nu al dat de formele scheiding daarin heel kwetsbaar is, want ondanks dat de overheid een eigen rootcertificaat heeft (ongetwijfeld bedoeld om het vertrouwen daarin af te bakenen) blijkt het vertrouwen daarin toch gekoppeld te zijn aan de reputatie van de uitgevende partijen (zoals DigiNotar). Dat kan nooit de bedoeling zijn geweest.

[Reactie gewijzigd door beantherio op 30 augustus 2011 15:47]

[...]

Nee. Vooral m.b.t. het genereren van die certificaten door hackers staan er nog veel vragen open: het verbaast me dat zoiets mogelijk is. Daarbij zijn de defacing-sporen op de server van DigiNotar hoogst merkwaardig.
Voor zover mij bekend van Public-key Infastructure is zoiets normaal zelfs NIET mogelijk. De sleutels zijn namelijk veel te lang om binnen afzienbare tijd te vervalsen, daar zijn ze namelijk zelfs op gemaakt.

Ik denk eerder dat dit het gevolg is geweest van een stukje social engineering of het werk van iemand binnen DigiNotar zelf die toegang had tot die systemen. Een paar opdrachtjes in een command-line tikken voor een behoorlijke som geld is natuurlijk makkelijk gebeurd.

Maar strikt genomen valt het dan zeker niet meer onder een hack.
Keys zijn in de orde van duizenden bits groot, ben je eenmaal binnen op een computer waar de private key op staat dan heb je hem in 2 seconden overgeseind. Dat is wat er te hacken valt. Het gaat dus om een compromise waarbij de private key is buitgemaakt.
Het gaat dus om een compromise waarbij de private key is buitgemaakt.
Dat is dus jatten van een bestaande key, niet vervalsen (d.w.z. een nieuwe, maar geldige key genereren from scratch)

Als ik een bank beroof neem ik ook bestaand geld mee en rolt het niet spontaan uit de printer. ;)
Er wordt geen bank beroofd maar de drukker van geld wordt beroofd. Er wordt hierbij geen geld buitgemaakt, maar de stempel(private key) om het geld te drukken.

Hiermee kan de dief nieuwe biljetten (nieuwe certificaten) met nieuwe serienummers (nieuwe keys) maken.

Kortom, de dief steelt het mechanisme om nieuwe certicaten te kunnen genereren.
Jammer dat Diginotar zelf nog geen nieuws hierover naar buiten heeft gebracht. Laten ze z.s.m. met een verklaring komen hierover. Er zijn veel klanten die nu willen weten waar ze aan toe zijn! Zeker met het nieuws dat Firefox het DigiD certificaat niet meer vertrouwt.
Vertrouw jij die verklaring dan? Als een bedrijf iets roept over wat er bij hen is misgegaan is dat doorgaans samengevat "het is mooi rustig weer, U kunt rustig gaan slapen, we hebben alles volledig onder controle, alles is veilig.".
"Het ministerie van Veiligheid en Justitie maakt zich weinig zorgen."
Wat ik al in het vorige nieuwsbericht hierover zei en verwachtte: "niets aan de hand mensen, gewoon doorlopen, alles onder controle".
Maar straks krijgen de gebruikers wel keihard een foutmelding. Met alle gevolgen/wantrouwen van dien. Tenzij de overheid keihard roept dat je die waarschuwing maar moet negeren en de gebruikers daardoor 'waarschuwingblind' maakt. Bij de volgende misschien wel echt onveilige waarschuwing klikt men ook gewoon door...

Er is hier dus gewoon niet goed opgelet en dus gewoon gehackt. Nu kun je wel zeggen alles is te hacken maar ik heb nu (als leek ;) ) een stuk minder vertrouwen in DigiD en de beveiliging daarachter.

[Reactie gewijzigd door ManiacsHouse op 30 augustus 2011 15:18]

Ik vraag me eerder af of deze 2 samen hangen, bedoel, ze gaven de SSL voor DigiD uit, daar ging opeens het gerucht dat dat gehacked zou zijn, nu blijken er valse certificaten aangemaakt te zijn.
Het is dus best goed mogenlijk dat er dus wel man in the middle attacks uitgevoerd zijn.

Vind het trouwens een kwalijk zaak dat er niet meteen openheid over de hack gegeven is, want wie garandeerd nu wel dat alle foute certificaten gevonden zijn?

[Reactie gewijzigd door MeNTaL_TO op 30 augustus 2011 15:21]

DigiD gehackt? Er was een aantal weken geleden wel ophef over fraude met DigiD
nieuws: Minister Donner: weinig fraude met DigiD
...waarbij namens honderden huishoudens in Rotterdam en omgeving toeslagen waren aangevraagd.

Beetje conspiracy-denken.... Maar hoe komen ze aan honderden DigiD inlogcodes? Is het mogelijk dat er een "man in the middle" heeft gezeten die DigiD's afving?
Als je daar iets verder leest staat er het volgende:

"Volgens Donner hadden die fraudegevallen niets te maken met DigiD, al kan hij niet zeggen hoe de fraudeur dan wel te werk is gegaan. "Het betreft hier het frauduleus aanvragen van toeslagen met behulp van identiteitsgegevens van de getroffen huishoudens. Daarvoor waren de DigiD’s van de getroffen huishoudens niet nodig. De Belastingdienst heeft inmiddels maatregelen getroffen waardoor dit niet meer mogelijk is."

Er zijn daarbij dus helemaal geen DigiD codes gebruikt..
DigiD kan hier niks aan doen, ze staan er helemaal buiten. Nouja, ze hadden een andere SSL-boer kunnen kiezen, maar er is (ok, was) geen enkele reden om aan te nemen dat het bij andere leveranciers beter is geregeld.
Zou je denken?
Verisign is al meer dan 15 jaar bezig, Thawte misschien ook. Zij worden volgens mij al vanaf het begin vertrouwd. Van Vasco Security had ik voor vandaag niet eens gehoord.

Ik vind ervaring en bestaande klantenkring (bv. Verisign: alle .com) toch wel een reden om aan te nemen dat zij het beter doen.
Dat Vasco voor jou een onbekende naam is zegt helemaal niks. Het is geen kleintje op security gebied. Als je een digpass van bank hebt of een authenticator voor op het werk, dan is de kans groot dat deze van Vasco is.
Behalve dat Diginotar pas sinds januari van Vasco is volgens bovenstaande bericht...
Ik las dat Vasco Security van die random-readers maakte voor het internet bankieren. Zou dus wel een betrouwbare partij moeten zijn zou je zeggen.
Nu we toch op het onderwerp van random readers zijn. Een grote naam zegt ook niet alles, bij RSA was ook van alles meegenomen.
De twee partijen die je noemt zijn geen intermediaries van Staat der Nederlanden Root CA? Voor een Nederlandse overheidssite lijkt het me wel duidelijk dat je een certificate chain wil hebben die daarop terugleidt.

Afgezien daarvan, Verisign is zeker niet de enige partij die SSL certificaten levert voor alle .com sites.
Maar straks krijgen de gebruikers wel keihard een foutmelding. Met alle gevolgen/wantrouwen van dien. Tenzij de overheid keihard roept dat je die waarschuwing maar moet negeren en de gebruikers daardoor 'waarschuwingblind' maakt. Bij de volgende misschien wel echt onveilige waarschuwing klikt men ook gewoon door...
Als iemand nu een man in the middle attack op zou zetten bij de Digid site zou hij waarschijnlijk veel succes hebben, omdat andere mensen denken "oh ja, dat is natuurlijk door die hack van gmail, daar heb ik over gelezen, dus ik kan bij Digid wel veilig doorklikken" of iets in die trant.
En dat is nu het gevaar ..
Juist ook door de publiciteit die deze 'hack' krijgt, zijn er mensen die nu juist zulke ideën krijgen, en de andere mensen die weten dat die melding nu dus kan komen, en negeren die.
Erg lastig dit, ook dat het in de media is gekomen dus.
Wat me nog steeds niet duidelijk is of Diginotar (en via de Patriot Act Vasco / De Amerikaanse regering) nu ook de de private key voor het signen van certificaten van de overheid heeft. Als dat namelijk het geval is, is er potentieel een groter probleem.
Alle bedrijven die gevestigd zijn in de US, en alle dochterbedrijven in het buitenland kan dmv een rechtelijk bevel toegang krijgen tot de alle informatie van het bedrijf.

Dit is ook in opspraak geweest met de hele cloud omgeving. US heeft recht op informatie die op deze servers staan zelfs als deze in NLD zijn geplaatst. dus, ja. ze kunnen hier op inspelen en toegang krijgen tot deze certificaten.
US heeft recht op informatie die op deze servers staan zelfs als deze in NLD zijn geplaatst.
Het ligt iets genuanceerder: de Amerikaanse overheid VINDT dat ze dat recht hebben. Of dit hier juridisch ook echt zo is hangt van de situatie en wetgeving hier af. Ik ben erg blij met partijen die op Europees niveau proberen om de VS duidelijk te maken dat ze eens op moeten houden met het maken van wetgeving waarmee ze over de landsgrenzen heen proberen te werken. Het werkt trouwens ook contra-productief: ik heb voor bedrijven gewerkt die voor bepaalde werkzaamheden hier in Nederland geen Amerikanen inzetten omdat dan via een achterdeur wel eens op specifieke Amerikaanse regeltjes van toepassing zouden kunnen zijn.
Het ligt iets genuanceerder: de Amerikaanse overheid VINDT dat ze dat recht hebben. Of dit hier juridisch ook echt zo is hangt van de situatie en wetgeving hier af.
Misschien wel, maar als een bedrijf in Amerika door de overheid daar onder druk wordt gezet om data op NL servers te overhandigen, waarbij wordt gedreigd met het intrekken van vergunningen of een zeer nauwkeurige controle van de boeken, dan kan ik me niet voorstellen dat dat bedrijf weigert omdat de juridische status in Nederland onduidelijk is.
En daarom moeten wij die situatie duidelijker maken! Maar goed, dit dwaalt wat af van het oorspronkelijke onderwerp.
US heeft recht op informatie die op deze servers staan zelfs als deze in NLD zijn geplaatst. dus, ja. ze kunnen hier op inspelen en toegang krijgen tot deze certificaten.
Afgezien van 1 klein detail: De Nederlandse wet eist (zonder ruimte voor uitzonderingen) dat de desbetreffende key niet op een server staat. Deze moet op een zogenaamde SSCD staan.

(Vermoedelijk is dat waarom aangenomen wordt dat die certificates nog wel veilig zijn; de DigiNotar Root CA key heeft blijkbaar wel op een gehackte server gestaan)
De Amerikaanse overheid heeft haar eigen certificaten waarmee precies hetzelfde mogelijk is. Ze hebben geen enkel voordeel bij ook gebruik kunnen maken van Diginotar. Iedere SSL-provider kan certificaten uitgeven voor iedere domein.
Klopt. Men kan gemakkelijk een certificaat aanmaken voor domeinen als digid.nl en dergelijke met hun eigen root certificates. Dat is echter iets anders dan een certificaat genereren op naam van het root certificate van "De staat der Nederlanden".
Klopt ook, maar in praktijk is er niemand die ooit de uitgever van zo'n certificaat controleert. Er is ook geen enkel mechanisme om vast te leggen door wie zo'n certificaat ondertekend zou moeten zijn. In de meeste gevallen kan ik zelfs met veel gezond verstand niet bepalen of een bepaalde partij te vertrouwen is. Als ik een certficaat krijg van "Microsoft Incoporated", is dat dan goed? En "The Microsoft Corporation" dan? Om maar helemaal niet te spreken over organisaties in verre buitenlanden.
Dat is helaas niet het punt wat ik probeer te maken.

Als Diginotar in naam van de overheid certificaten gaat ondertekenen moeten ze toegang hebben tot de bijbehorende private key. In dat geval heeft ook "Staat der Nederlanden" PKI CA een potentieel beveiligingsprobleem. Ik weet echter te weinig over de technische opzet van de uitgifte van de certificaten om dat uit te sluiten.

In situaties waarin systemen aan elkaar gekoppeld worden met een handmatig ingestelde root certificate van "Staat der Nederlanden" is er nog steeds een probleem als de private key bij een andere partij ligt (een groepje hackers of de Amerikaanse overheid via de Patriot Act).
Neen, diginotar heeft de private key van "de staat der nederlanden" niet nodig. Het is de "staat der nederlanden" die de public key van diginotor ondertekend. Hiermee kan Diginotar certificaten uitgeven

De certifcate chain is dan:

Digid -> Diginotar -> Staat der Nederlanden


Het enige bijzondere certificaat is die van de "staat der nederlanden". Dit is het root certificate authority en deze is altijd self-signed.

Wanneer de staat der nederlanden Diginotor niet meer vertrouwd dan komt het diginotar certificaat op de lijst van ingetrokken certificaten welke de staat der nederlanden onderhoud. De browser van de eindgebruiker vraagt deze lijst op bij een beveiligde webserver van de "staat der nederlanden" en welke server(s) dit zijn staat in het "staat der nederlanden" certificaat.

Indien één van deze certificaten is ingetrokken OF dit niet kan worden bepaald dan wordt in dit geval het Digid certificaat als onveilig aangemerkt.
Diginotar alswel de Staat der Nederlanden hebben hun eigen aparte root certificates. Diginotar was een root certificate in vele browsers en die wordt er over de laatste en volgende paar dagen quasi overal uitgewipt.

De Staat der Nederlanden heeft zijn eigen root certificate die door Diginotar beheerd wordt dus of je dit mag vertrouwen gezien hun vorig gedrag is een grotere vraag.

Diginotar en alle onderliggende certificaten (ook intermediate CA's van Diginotar) zijn nu onveilig verklaard omdat de private key verkregen is dus gelijk welk persoon met die key kan een certificaat ondertekenen als Diginotar. Er zijn maar weinig systemen die gaan kijken of een certificaat teruggetrokken is. Zelfs al heeft Diginotar de certificaten in kwestie teruggetrokken, je kunt in enkele uren duizenden domeinen ondertekenen en Diginotar moet die een per een (als het al gemeld wordt) terugtrekken. Terugtrekken betekent gewoon dat het certificaat op een lijstje komt te staan, ondertekende certificaten blijven ondertekend.

Wat Diginotar moet doen is een nieuw root certificate aanmaken en dan aanvraag indienen bij alle web browser en OS makers om dit gelieve toe te voegen. Dat is de enige manier om dit op te lossen.
DigiNotar is niet de beheerder van de root certificate van de Staat. Ze beheren slechts een intermediate certificate van door SdN Root CA is ondertekend. Zie logius.nl; er zijn nog 5 andere bedrijven in dezelfde positie.
Daarom is het de taak van de certificate authority (wat DigiNotar is) om die identiteit te controleren. Er zijn slechts een beperkt aantal certificate authorities waarvan de identiteit door je browser maker is gecontroleerd, en welke ze aan de lijst hebben toegevoegd. Vervolgens vertrouwen wij de certificate authorities dat ze de identiteit controleren voor de certificaten die ze uitegeven.

Op het moment dat zo'n certificate authority dus gehackt wordt zijn kunnen er SSL-certificaten wordt het zogenaamde Web-of-Trust verbroken. De browsers vertrouwen dat bedrijf, maar aangezien dat bedrijf gehackt is vertrouwen alle browsers dus eigenlijk de hackers.

De vraag van tmarkus is verder maar met 1 antwoord te beantwoorden: ja, die hebben ze. Anders hadden ze nooit de certificaten kunnen signen. Wat de browsermakers nu doen is alles wat met die private key is gedaan niet meer te vertrouwen, aangezien deze in handen van de hackers gevallen kan zijn.

EDIT: Gezien de structuur van de certificaten van bijv. DigiD is het voor de overheid echter vrij makkelijk om die private key in te trekken. Die private key is namelijk slechts gesignt door een andere private key, welke ze zelf hebben. Hiermee kunnen ze een certificate revocation publiceren waardoor de private key die Diginotar had (en volgens jou de Amerikaanse overheid, maar ik zie niet in hoe de Amerikaanse overheid recht heeft op bedrijfsgeheimen van een Nederlands bedrijven, hun wetten gelden hier immers niet) waardeloos is geworden.

[Reactie gewijzigd door hostname op 30 augustus 2011 16:00]

Heldere reactie. Patriot Act berichten ivm cloud storage laten echter zien dat het behoorlijk mistig is wat betreft wetgeving, maar dat is een andere discussie.

De vraag is nu waarom de NL-overheid zelf het Diginotar certificaat niet heeft ingetrokken (via hun eigen root cert). Ik begrijp uit de berichten dat deze kwestie al in juli speelde.
Dat is niet het argument van tmarkus. Hij stelt dat onder de patriot-act diginotar mogelijk verplicht is om de private-keys van certificaten die zij uitgeven (waaronder die van digid) moet afgeven aan de amerikaanse overheid.

Dit zou betekenen dat de amerikaanse overheid zichzelf mogelijk inzicht kan verschaffen in al onze belastingaangiften.

[Reactie gewijzigd door psyBSD op 30 augustus 2011 15:52]

Daarmee overtreed men in dat geval weer de nederlandse wet toch? lijkt me niet verstandig als ze op een dergelijk verzoek zouden ingaan.
Klopt, dat is het onduidelijke aan de situatie.

Hier is iets meer informatie over de kwestie:

---

“Can Microsoft guarantee that EU-stored data, held in EU based datacenters, will not leave the European Economic Area under any circumstances — even under a request by the Patriot Act?”

Frazer explained that, as Microsoft is a U.S.-headquartered company, it has to comply with local laws (the United States, as well as any other location where one of its subsidiary companies is based).

Though he said that “customers would be informed wherever possible”, he could not provide a guarantee that they would be informed — if a gagging order, injunction or U.S. National Security Letter permits it.

He said: “Microsoft cannot provide those guarantees. Neither can any other company“.

---

Serie van artikelen is hier te vinden:

http://www.zdnet.com/blog...a-patriot-act-series/9233

[Reactie gewijzigd door tmarkus op 30 augustus 2011 16:26]

Lijkt me een vervelende spagaat, dan moeten ze dus hier de wet overtreden om in de vs aan de wet te voldoen.
Globalisatie op zijn best.
Maakt niet uit. De Amerikaanse overheid mag verzoeken wat ze willen, maar ze kunnen geen dingen krijgen die niet bestaan. Volgens de Nederlandse wet mag DigiNotar bepaalde gegevens niet eens opslaan (zoals private keys van derden). De Amerikanen kunnen dus wel een verzoek indienen, maar DigiNotar kan dan hard maken dat die gegevens nooit opgeslagen zijn.

Een tweede hypothetische mogelijkheid is dat de Amerikanen eisen dat toekomstige gegevens opgeslagen worden. Dan heeft DigiNotar drie keuzes: De Nederlandse wet breken, de Amerikaanse wet breken, of stoppen.

Ook het Microsoft vehaal is daarom een excuus. Als ze niet aan de EU wet en de VS wet tegelijk kunnen voldoen, dan moeten ze stoppen met die activiteiten.
Dat is niet het argument van tmarkus. Hij stelt dat onder de patriot-act diginotar mogelijk verplicht is om de private-keys van certificaten die zij uitgeven (waaronder die van digid) moet afgeven aan de amerikaanse overheid.
Niet private keys van certificaten van klanten (waaronder digid), want die hebben ze niet. Maar wel hun eigen private keys, waarna een amerikaanse overheid doodsimpel zélf een digid.nl certificaat kan maken.
Dit zou betekenen dat de amerikaanse overheid zichzelf mogelijk inzicht kan verschaffen in al onze belastingaangiften.
Niet datgene wat al verstuurd is, noch datgene wat daadwerkelijk met een echt digid.nl certificaat verstuurd wordt, maar ze kunnen dan wel zelf een MitM uitvoeren ja.
Hmmm.. Weer stelletje verantwoorde mensen daar dus.

Via Fsecure leren we dat ze meer dan 3 keer gehackt zijn; door iran en door turks sprekende mensen.

En gewoon verder gaan met de orde van de dag graag! Niks te zien; niks aan de hand mensen...

Ik snap dat de overheid graag wil doen alsof er niks aan de hand is; maar een GOED onderzoek zou denk ik zo'n berg stront opleveren dat er een heleboel site's met goed fatsoen niet meer zouden kunnen roepen dat men veilig is.

(en als er een GOED onderzoek zou plaatsvinden heb ik nog wel wat pointers voor ze waar ze kunnen beginnen met scheppen... hoef je echt niet diep voor te graven )

Daarnaast; het is snotverdrie een registrar.. als die gehackt zijn lijkt me dat er overal alarmbellen horen over te gaan. Horen ALLE certificaten bekeken te worden; dienen alle ingaande connecties voortaan gescreent te worden; etc.

Ben benieuwd of dit door het bedrijf is gemeld bij de overheid en zo; en of die daar (met de hypothetische melding) wat mee heeft gedaan.

Mijn ervaring is echter dat er hoogstens een rapportje is geschreven waar men alles lekker downplayed.

Weer wat -punten voor de overheid en de geaffilieerde bedrjiven..
"Het enige wat DigiNotar doet, is de certificaten leveren." Volgens mij snapt Fransman niet helemaal hoe Certificates werken. De enige waarde die je aan een certificate kan geven is als die gesigneerd is door een certificate authority die je vertrouwt. Als DigiNotar niet meer vertrouwd wordt in alle browsers, is het certificate van DigiD dus waardeloos geworden voor de gebuikers.
Niet per se.

Officieel (technisch gezien) is de DigiNotar die dat fake Google certificaat uitgaf, namelijk een compleet andere authoriteit dan de DigiNotar die het digid.nl certificaat uitgaf. Het HOEFT dus niets met elkaar te maken te hebben, in ieder geval op technisch vlak.

Het verschil zit hem in de trustchain.
Bij dat Google certificaat zag het er zo uit:
DigiNotar CA certificaat (het root-certificaat wat ingetrokken is door onder andere Microsoft en Mozilla) --> DigiNotar tussencertificaat --> fake google certificaat

Bij digid ziet het er zo uit:
Staat der nederlanden PKI CA (hier is niets mee aan de hand) --> DigiNotar PKI certificaat (Mozilla heeft deze ingetrokken omdat ze gewoon alles met de naam DigiNotar blocken, maar Microsoft volgens mij niet) --> digID certificaat.

De eerste trustchain is door die hack doorbroken, maar dat zegt helemaal niets over die 2e chain. De kans is groot dat ze daar een compleet andere technische infrastructuur en procedures voor hebben.
Ook microsoft heeft de intermediate ingetrokken: Diginotar *
Elke chain van DigiNotar moet worden ingetrokken aangezien alle diginotar chains hoogstwaarschijnlijk dezelfde infrastructuur delen en dus hoogst waarschijnlijk compromised zijn.

Met dit soort zaken is het `better safe then sorry`!
De infrastructuur voor de Staat der Nederlanden Root CA chain is expliciet vastgelegd, en daar mag je de intemediate certificate bijvoorbeeld niet op een server hebben. Lijkt me dus goed mogelijk dat de infra verschilt.
He, het is een politicus, dus doe niet alsof je verbaasd bent. :+

Nee maar het is weer om te lachen en huilen tegelijk dat een politicus die er geen bal van snapt van die domme uitspraken doet. Hoezo is er niks aan de hand "want zij leveren alleen de certificaten"?!? Degene die de sleutels van jouw huis uitgeeft, is niet meer te vertrouwen maar er is niks aan de hand want jij hebt de originele mal zelf in bezit en goed opgeborgen. En dan daar bovenop nog die opmerking over Firefox die kant nog wal raakt. Hij heeft duidelijk de consequenties nog niet door.

Snap ook DigiNotar niet. Als je weet dat je gehackt bent, neem je toch het zekere voor het onzekere en vervang je alle certificaten die ook maar enigszins risico hebben gelopen? Natuurlijk is dat duur maar nu ben je nog veel verder van huis.
Schelden op politici is natuurlijk altijd makkelijk. Maar zelf lezen is ook een kunst: er staat nergens dat Fransman een politicus is. Hij is woordvoerder voor een ministerie.
M.a.w. er staat dus dat hij [i]geen]/] politicus is. Hij is ambtenaar.
Dat ze nu pas naar buiten komen met het hackverhaal is natuurlijk niet verwonderlijk,
ze hebben geprobeerd de geest in de fles te houden. Maar nu die er uit is proberen ze natuulijk nog iets van hun imago te redden.
Maar hoe kun je in godsnaam het certificaat van google.com over het hoofd zien. Dat is zon klein onbenullig bedrijfje waar nog nooit iemand van gehoord heeft toch? 8)7
"Het enige wat DigiNotar doet, is de certificaten leveren." Hoe DigiNotar de certificaten kan leveren zonder over de sleutel te beschikken, is echter een raadsel
En hoe kun je in godsnaam "sloten" leveren zonder dat je weet welke sleutel erbij hoort?
Lijkt me meer een poging om de boel te sussen.

Hopelijk dat de politiek nu eindelijk eens wakker word en serieus aan de slag gaat met ICT.
Want dit heeft een behoorlijk grotere impact als bv een politiesoftware wat weer eens over budget gaat.
Volgens f-secure waren de bestanden op de site, die zijn achtergelaten na hacks, nog van 2009. Dus waarschijnlijk hadden ze echt geen idee, maar zijn ze er simpelweg nog niet achter hoe groot de potentiele schade is.

2 jaar lang open deur voor ophalen certificaten, je moet er niet aan denken hoeveel veilige diensten er jarenlang zijn misbruikt en wat er voor informatie op straat ligt. Het kan net zo goed dat er zoveel informatie is buitgemaakt dat je digid beveiliging geen nut meer heeft.
Hopelijk dat de politiek nu eindelijk eens wakker word en serieus aan de slag gaat met ICT.
Het betreft een commercieel bedrijf, niet de overheid..

* blouweKip wordt moe van de (pvv-) sport om continue over de overheid te zeiken
... een bedrijf wat een overheidscertificaat gebruikt om een certificaat voor de overheid te maken. Nu ben ik in het algemeen voorstander van privatisatie, maar voor dit soort fundamentele zaken binnen de overheid niet. Digid moet gewoon direct door de overheid gecertificeerd worden, en niet via een commercieel bedrijf. Dan hadden we nu geen probleem gehad (afgezien van een paar werkelozen)
Ik snap niet dat de overheid hier zo makkelijk op reageert. Het vertrouwen is geschaad en daarnaast is het niet zeker of er nog meer valse certificaten in omloop zijn maar de overheid ziet dit met vertrouwen tegemoet? Waarop gebaseerd?

Ze moeten als de wiedeweerga de certificaten vervangen, zal een hoop rompslomp meenemen, maar hierdoor wordt het vertrouwen wel hersteld. Er is nu namelijk geen 100% garantie meer.
Je zou nu Vasco maar zijn... Ook al hebben ze pas sinds Januari de toko overgenomen, toch is dit soort publiciteit verschrikkelijk, helemaal voor een beveiligingsbedrijf. Erg vaag dat hier niets over naar buiten is gekomen, je zou verwachten dat een intern onderzoek toch zonder problemen de rotte certificaten er uit zouden moeten kunnen halen (desnoods leg je het langs de facturatie).

Ook vaag hoe de staat claimt de sleutels in eigen bezit te hebben. Kan iemand hier meer uitleg over geven?
De overheid heeft zelf een certificaat. Op basis van dat certficiaat is er een ander certificaat gemaakt die DigiNotar gebruikt om SSL certificaten voor de overheid te signen. DigiNotar heeft het certificaat van de overheid zelf nooit in handen gehad.
De certificaten waar DigiNotar mee tekent zijn nu dus waardeloos geworden. De overheid kijkt niet verder dan hun eigen veilige sleutel, maar in werkelijkheid moeten ze zich zorgen gaan maken om alle diensten waar DigiNotar in de afgelopen jaren certificaten voor hebben uitgegeven.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013