Rapport bekritiseert Microsoft om vertrouwen root-certificaat Thaise overheid

De organisatie Privacy International heeft een rapport uitgebracht over surveillance door de overheid in Thailand. Daarin besteedt het aandacht aan het feit dat Microsoft het digitale root-certificaat van de overheid vertrouwt, terwijl andere partijen dat niet doen.

In het rapport meldt de organisatie dat de Thaise overheid een root-certificaat in handen heeft, waarmee het als autoriteit certificaten voor derde partijen kan ondertekenen. Het probleem is daarbij dat dit de overheid veel macht geeft, bijvoorbeeld door gebruikers naar een kwaadaardige site door te sturen en versleutelde communicatie te onderscheppen. Normaal gesproken krijgen gebruikers hierbij een waarschuwing dat het om een niet-vertrouwd certificaat gaat. In het geval van Windows-gebruikers is dat volgens Privacy International niet zo, omdat Microsoft het overheidscertificaat standaard vertrouwt.

Andere bedrijven, zoals Apple, Mozilla en Google, zouden het certificaat niet vertrouwen. Hoewel Windows-gebruikers in staat zijn om zelf vertrouwde certificaten te verwijderen, heeft de beslissing van Microsoft gevolgen voor veel gebruikers, schrijft Privacy International. Zo zou de Thaise regering in 2014 al downgrade-aanvallen op versleutelde verbindingen hebben uitgevoerd, waardoor een versleutelde verbinding overgaat naar een onveilige variant. Daardoor zou bijvoorbeeld de inhoud van e-mails inzichtelijk zijn gemaakt. In 2014 vond er in Thailand een militaire coup plaats, waarbij Facebook korte tijd niet te bereiken was. Het is onduidelijk of het om een opzettelijke actie of een technische storing ging, aldus het rapport.

Microsoft heeft op de kritiek gereageerd, zowel richting Privacy International als richting The Verge. Het bedrijf voorzag de site van een uitgebreider antwoord, waarin het zegt dat het root-certificaat van Thailand aan zijn standaarden voldoet. Verder zegt een woordvoerder dat 'Microsoft alleen certificaten vertrouwt die zijn goedgekeurd door zijn Root Certificate Program, wat een uitgebreid onderzoeksproces behelst in combinatie met regelmatige audits van derden'. Dit proces zou niet in het rapport van Privacy International terug te lezen zijn.

IT-banen

Reacties (65)

SED 26 januari 2017 12:08

Interessant of een leverancier het recht heeft een certificaat dat aan alle eisen voldoet te mogen weigeren op basis van zelfbedachte criteria. Dat lijkt me een minstens zo bedenkelijke zaak. Hoewel mensenrechten erg belangrijk zijn ( het belangrijkste) moet je niet het kind met het badwater wegspoelen. De eigenschap van het westen om iedereen zijn cultuur op te dringen speelt hier ook een grote rol.
Onze morele inzichten worden immers niet overal ter wereld op eenzelfde wijze geinterpreteerd.

https://technet.microsoft.com/en-us/library/cc751157.aspx

staan trouwens toch wel een aantal heel opvallende andere zaken in dat rapport. Dit bijv valt nogla op

As of October 2015, there were 86 million mobile phone subscriptions in a population
of 67 million people. Of the total handsets sold in the first quarter of 2015, 75.5%
were smartphones.

Geen verklaring daarvoor helaas.
Ok de cooperatie van facebook valt op

The day after the King’s death, Takorn
Tantasith, secretary-general of the NBTC, announced he had sent ISPs and webadministrators
of social media (including Facebook, Twitter, YouTube and Line) an
order to monitor “inappropriate content” on their channels and remove it as soon as
possible. Takorn Tantasith threatened to prosecute any ISP that did not comply.62
Unlike on previous occasions, companies have – for the most part – appeared willing
to cooperate. According to the Nation, Facebook executive Alvin Sheng Hui Tan
allegedly sent two letters to the Minister for Digital Economy and Society saying
they were willing to collaborate with Thai authorities regarding lèse-majesté content.
“Government entities can submit reports to Facebook about content that is believed
to violate local law. If, after careful legal review, we find that the content is illegal
under local law, we will restrict such content as appropriate,” Tan said in the letter.63

Nog een aanvulling
Ook de UK en zwitserland werken mee aan de inbreuken die men in dit rapoort vaststelde

Likewise, in the UK, since 2015, the Department for Business, Innovation and Skills
also started publishing data on export licences. Thailand obtained six different
licenses for telecommunications interception equipment from the UK.84 The purchases
ranged from £ 125,000 ($154,508) to £1M ($1,2M), an unusually expensive purchase
for this type of licence. This licence was granted for “accessories/spare parts. Law
enforcement agency end use.

[Reactie gewijzigd door SED op 24 juli 2024 10:13]

CH4OS @SED • 26 januari 2017 12:19

Interessant of een leverancier het recht heeft een certificaat dat aan alle eisen voldoet te mogen weigeren op basis van zelfbedachte criteria.

Daarom dus de audits door derden.

Bor Coördinator Frontpage Admins / FP Powermod @CH4OS • 26 januari 2017 12:56

Interessant of een leverancier het recht heeft een certificaat dat aan alle eisen voldoet te mogen weigeren op basis van zelfbedachte criteria.

Op dat punt gaat een audit niet helpen. Het hele certificaten / PKI systeem werkt op basis van een ding: vertrouwen. Het staat een ieder vrij om een certificaat niet te vertrouwen of een (root)CA niet op te nemen als vertrouwd.

Er is geen enkele dwingende maatregel die stelt van welke certificaten het verplicht is om deze als vertrouwd aan te merken. Deze lijst verschilt per systeem / applicatie en soms zelfs per patchlevel.

CH4OS @Bor • 26 januari 2017 13:05

Dat snap ik. De chain is zo sterk als de zwakste schakel. Echter worden de checks die MS doet in elk geval door een derde partij gecontroleerd, wat ook niet overal het geval is. Mozilla kan bijvoorbeeld doodleuk blijven zeggen dat zij een (root) CA vertrouwen of niet, zonder dat er verdere controle is op hun beleid. Bij MS is dat wel het geval. Iemand anders komt dus met hetzelfde beleid tot dezelfde conclusie, dat is wat de audit doet.

[Reactie gewijzigd door CH4OS op 24 juli 2024 10:13]

Tukkertje-RaH @CH4OS • 26 januari 2017 14:18

Zoals ik het lees & interpreteer is een audit niet het aangewezen middel om dit soort problemen (if any) aan het licht te brengen.

Een audit controleert of jij je houdt aan een vooraf afgesproken standaard of procedure. Doe je wat je zegt en kan je dat aantonen. In deze zaak gaat het meer over het feit of Microsoft wel een root certificaat van een (volgens derden) minder betrouwbare overheid had mogen accepteren als een betrouwbaar root certificaat - vanwege alle hierboven al geschetste problemen.

Dit is dus meer een ethisch probleem dan technisch of procedureel. Geen enkele standaard zal vereisen dat een root-authority pas mag worden geaccepteerd als het de rechten van de mens heeft onderschreven of als het alleen de LGBT ondersteunt.

Yoshi @CH4OS • 26 januari 2017 12:38

en dat is blijkbaar ook het geval ;-)

wat een uitgebreid onderzoeksproces behelst in combinatie met regelmatige audits van derden'.

CH4OS @Yoshi • 26 januari 2017 12:46

Dat weet ik, vandaar mijn reactie.

tweaknico @CH4OS • 26 januari 2017 12:53

Maar goedkeuren op basis van zelfbedachte criteria is wel goed?....
Want dat is wat er tot nog toe gebeurd.

Een AUDIT is niets anders dan kijken of er volgen een bepaalde set van regels gehandeld is.
Als in die set staat: "Ten allen tijde meewerken aan lokale overheid verzoeken zonder Mensenrechten te beschouwen" dan voldoet het inderdaad nog steeds.
Als de regel is: "Ten allen tijde meewerken aan lokale overheid verzoeken"
Voldoet het ook nog steeds.
Als de regel is: "Ten allen tijde meewerken aan lokale overheid verzoeken met in acht nemen van Mensenrechten" Kan het nog voldoen...., afhankelijk van het Mensenrechte referentie kader.
Als de regel is: "Ten allen tijde meewerken aan lokale overheid verzoeken met in acht nemen van Mensenrechten conform VM ( http://www.un.org/en/univ...n-human-rights/index.html )" dan wordt het moeilijk om de audit te halen.

Basszje @SED • 26 januari 2017 12:15

Dat doen alle browser fabricanten ook. Je moet ergens beginnen met vertrouwen.

Mij lijkt dat eenmaal een root-registrar de fout ingegaan is moedwillig het exit vertrouwen dient te zijn. Komt te voet, gaat te paard enzo.

Misschien moet er een duidelijke waarschuwing ( die niemand leest ) komen, als warning dit is van XXX-overheid, kijk zelf of je die vertrouwt. Kan je dat ook gelijk doen bij alle overheden.

[Reactie gewijzigd door Basszje op 24 juli 2024 10:13]

CivLord

@Basszje • 26 januari 2017 12:36

Mij lijkt dat eenmaal een root-registrar de fout ingegaan is moedwillig het exit vertrouwen dient te zijn. Komt te voet, gaat te paard enzo.

Er staat nergens dat de root-registrar de fout in is gegaan. Alleen dat er een mogelijkheid bestaat voor misbruik. Wanneer dat al voldoende is, enkel de mogelijkheid, dan mag iedereen wel alle sites, certificaten etc. van de Amerikaanse overheid blacklisten.

mrdemc @CivLord • 26 januari 2017 12:45

Of die van de Nederlandse overheid met hun certificaten:
https://cert.pkioverheid.nl/

Nederlandse overheid kan natuurlijk net zo goed (en vrijwel elke andere overheid) een trusted certificaat uitgeven voor iedere website die je je kan bedenken. Zal me eigenlijk niet eens verbazen als een AIVD / MIVD / FIOD / etc. dit zou doen bij onderzoeken...

Maar hoe dan ook, zo lang dit niet bewezen kan worden en het rootcert aan de eisen voldoet dan moet dit gewoon goedgekeurd worden, van welke overheid dan ook. Dus dat andere leveranciers dat niet doen vind ik persoonlijk heel zorgwekkend. Dat zou dus betekenen dat softwareleveranciers van software die ik gebruik hun eigen politieke standaard gaan gebruiken om mijn gebruik te kunnen sturen. Nu zal ik er niet zo snel last van hebben in het geval van Thailand, maar in hoeverre is dit het enige geval waarbij zoiets gebeurd? Hoeveel meer politiek gemotiveerde acties (zoals het blokkeren van dit certificaat dat aan de eisen voldoet) hebben Apple, Mozilla en Google dan gedaan?

[Reactie gewijzigd door mrdemc op 24 juli 2024 10:13]

Basszje @CivLord • 26 januari 2017 12:46

Uit het artikel:

' Zo zou de Thaise regering in 2014 al downgrade-aanvallen op versleutelde verbindingen hebben uitgevoerd, waardoor een versleutelde verbinding overgaat naar een onveilige variant. Daardoor zouden bijvoorbeeld de inhoud van e-mails inzichtelijk hebben gemaakt. In 2014 vond er in Thailand een militaire coup plaats, waarbij Facebook korte tijd niet te bereiken was. Het is onduidelijk of het om een opzettelijke actie of een technische storing ging, aldus het rapport.'

En ja dan mag je van mij ook de Amerikaanse overheid en welke dan ook blacklisten.

CivLord

@Basszje • 26 januari 2017 12:58

Ik zie veel insinuaties en mogelijkheden, maar geen feiten en bewijs.

Mocro_Pimp® @CivLord • 26 januari 2017 14:54

De feiten zijn over het algemeen bekend onder veel Tweakers. Een zoekterm om te beginnen is Edward Snowden.

Edward Snowden heeft keihard bewijs geleverd voor vele praktijken, waardoor ook ik geen vertrouwen meer heb in de overheid en corporaties uit de VS van Amerika.

CivLord

@Mocro_Pimp® • 26 januari 2017 15:02

Mijn opmerking slaat terug op het artikel. Naar mijn weten heeft Snowden niets over de Thaise overheid als root-registrar gezegd.

Aaargh! @CivLord • 26 januari 2017 14:32

dan mag iedereen wel alle sites, certificaten etc. van de Amerikaanse overheid blacklisten.

Je ziet het precies verkeerd om.

Er is geen blacklist, de lijst met root-CA's is een whitelist. En nee, de Amerikaanse overheid staat daar bij de meeste browsers en OS-en niet op.

BeosBeing @SED • 26 januari 2017 12:36

Oplossing is dat je een certificaat alleen vertrouwd als het door meerdere anderen (root-authories of ook de eigen bedrijfsvestigingen) vertrouwd is

Verwijderd @SED • 26 januari 2017 12:48

Als je weet dat een overheid spioneert met zo'n certificaat dan lijkt mij dat voldoende reden om het niet meer te vertrouwen.

Het betekent niet dat overheden geen root certificates mogen uitgeven. Maar ik vind dat browsers wel mogen waarschuwen of een overheid een certificate gesigned heeft.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 10:13]

Verwijderd @SED • 26 januari 2017 12:46

"Interessant of een leverancier het recht heeft een certificaat dat aan alle eisen voldoet te mogen weigeren op basis van zelfbedachte criteria"

Verander certificaat in het woord "app" of "nieuwsbericht", en je antwoord is de facto JA.

"De eigenschap van het westen om iedereen zijn cultuur op te dringen speelt hier ook een grote rol.", o, leg uit. Of bedoel je dat mensenrechten rasafhankelijk zijn?

maussie95 @Verwijderd • 26 januari 2017 13:39

Mensenrechten zijn onmogelijk universeel. Elk mens heeft andere behoeftes. Het ligt er net aan in welk land hij leeft, in welke cultuur hij leeft, welke religie hij aanhangt, in welke tijd hij leeft, et cetera, et cetera. Moraal evolueert, morgen denken wij weer anders over een bepaald recht. En dan moeten wij het wel op gaan leggen aan anderen? Lijkt mij niet gewenst.

Verwijderd @maussie95 • 26 januari 2017 15:05

okeeee.

Geef mij maar aan welk mensenrecht dan landafhankelijk is. Het mensenrecht om niet gefolterd te worden (artikel 5), recht om geen slaaf te zijn (artikel 4), recht op waardigheid (artikel 1) etcetcetc.

Over welk recht denken we dan nu anders dan gisteren?

En tja, aan anderen opleggen dat ze niet mogen folteren, dat is natuurlijk helemaal not done. hoe durven we.

maussie95 @Verwijderd • 26 januari 2017 15:18

In Brazilië hebben de vrouwen geen recht om een abortus te doen. In de meeste Westerse landen wel. Trump wil waterboarden opnieuw invoeren. Slavernij is in Amerika pas 152 jaar geleden afgeschaft. Tijd en plaats hebben ongelooflijk veel invloed op de rechten die een mens heeft.

Dat morgen was natuurlijk bij wijze van spreken.

Dat is not done inderdaad. Wie denk je wel dat je bent als je je eigen moraal aan een ander op wil leggen?

ronaldvr @maussie95 • 28 januari 2017 00:11

Hmmm je criteria over dat 'opleggen van een moraal' zijn op zijn zachtst gezegd bedenkelijk. Je mag dus niet de moraal van 'mensenrechten' opleggen, maar wel de moraal van het verbieden van abortus?

Het is dus in blijkbaar in jouw ogen zo dat als een niet-westerse regering (waarvan het nog maar de vraag is of je Brazilië daar toe zou moeten rekenen overigens) iets barbaars aan haar bevolking oplegt dat dat OK is, maar dat als 'westerse' regeringen zeggen dat ze dat niet OK vinden dat dat dan niet kan?

Het feit dat mensenrechten niet altijd en overal gerespecteerd zijn en/of worden maakt ze niet minder universeel. Het maakt ze alleen niet universeel gerespecteerd. En dat is al bedenkelijk genoeg zonder dat je excuses voor barbaars gedrag gaat verzinnen.

maussie95 @ronaldvr • 30 januari 2017 08:32

Hmmm je criteria over dat 'opleggen van een moraal' zijn op zijn zachtst gezegd bedenkelijk. Je mag dus niet de moraal van 'mensenrechten' opleggen, maar wel de moraal van het verbieden van abortus?

Dat zeg ik nergens.

Het is dus in blijkbaar in jouw ogen zo dat als een niet-westerse regering (waarvan het nog maar de vraag is of je Brazilië daar toe zou moeten rekenen overigens) iets barbaars aan haar bevolking oplegt dat dat OK is, maar dat als 'westerse' regeringen zeggen dat ze dat niet OK vinden dat dat dan niet kan?

Het feit dat mensenrechten niet altijd en overal gerespecteerd zijn en/of worden maakt ze niet minder universeel. Het maakt ze alleen niet universeel gerespecteerd. En dat is al bedenkelijk genoeg zonder dat je excuses voor barbaars gedrag gaat verzinnen.

Moraal verschuift, evolueert zo je wilt. Dat de democratische overheid in Brazilië abortus verbiedt, betekent niet dat ze barbaars zijn of mensenrechten niet respecteren. Het betekent enkel dat zij abortus niet zien als een onbetwistbaar recht. Je kunt en mag niet aan hun opleggen om abortus als een onbetwistbaar recht te zien. Het Westen is immers niet de baas over Brazilië, hoewel de Westerse progressieven daar anders over lijken te denken.

ronaldvr @maussie95 • 31 januari 2017 11:52

Je kunt en mag niet aan hun opleggen om abortus als een onbetwistbaar recht te zien. Het Westen is immers niet de baas over Brazilië, hoewel de Westerse progressieven daar anders over lijken te denken.

Maar het omgekeerde geldt óók en dát is wat jij over het hoofd schijnt te zien. Ik (en eventueel regeringen) heb het rechtom die praktijken barbaars te vinden en te veroordelen. Het enkele feit dat een land als Brazilie of Rusland het daar niet mee eens is doet daar niks aan af, en maakt die praktijken niet minder barbaars.

Waar jij je in verliest is de soort post-modernistische alt-left en alt-right houding van "alles is relatief, zelfs feiten". Het verbieden van abortus bijvoorbeeld resulteert in

all the London teaching hospitals set a few wards aside each Friday for women who were septic, bleeding or dying from having backstreet abortions. There would be a spate of cases on Friday because it was payday.

They were often performed by people with some nursing experience using hot solutions and knitting needles or coat hanger hooks.

http://www.bbc.com/news/magazine-38722929

Is dat barbaars of niet?

SED @Verwijderd • 26 januari 2017 14:07

Misschien moet je ejzelf eens verdiepen in het verschijnsel certificaat en het verschil met een app opf een nieuwsbericht. dat zal je vraag vanzelf ophelderen.
Mensenrechten rasafhankelijk? Hoe kom je op die rare conclusie of vraagstelling. Daar heeft ras niets mee te maken. Die is uit mijn tekst absoluut niet te distilleren.
Om op de waarschijnlijk onderliggende vraag te antwoorden.
De wijze waarop het westen naar mensenrechten kijkt is sterk beinvloed door de franse filosofen en hun kijk op individualiteit. Gevolg is de nadruk op de rechten van het individu.
Als je meer naar Oosterse landen kijkt dan zie je daar meer nadruk op het collectief, het collectief gaat daar voor op de rechten van het individu. Regelingen zoals de 1 ( nu 2) kind politiek in china zijn daarvan het gevolg. Begrijpelijk vanuit Oosters/Chinees standpunt maar voor de westerling met zijn vaak beperkte kijk op de wereld een gotspe.

Aaargh! @SED • 26 januari 2017 13:36

Interessant of een leverancier het recht heeft een certificaat dat aan alle eisen voldoet te mogen weigeren op basis van zelfbedachte criteria.

Hoezo zouden ze het recht niet hebben om certificaten te weigeren ? Het is juist andersom: niemand heeft het recht om een leverancier te verplichten een root-CA op te nemen.

Wat had je dan als alternatief gedacht, dat fabrikanten zomaar de root CA's van jan en alleman accepteert ? Dan heeft het hele certificaten systeem geen zin meer.

Armin @SED • 26 januari 2017 19:43

Interessant of een leverancier het recht heeft een certificaat dat aan alle eisen voldoet te mogen weigeren op basis van zelfbedachte criteria. Dat lijkt me een minstens zo bedenkelijke zaak. Hoewel mensenrechten erg belangrijk zijn ( het belangrijkste) moet je niet het kind met het badwater wegspoelen. De eigenschap van het westen om iedereen zijn cultuur op te dringen speelt hier ook een grote rol.
Onze morele inzichten worden immers niet overal ter wereld op eenzelfde wijze geinterpreteerd

Aanvullend, tenzij ik het gemist heb, is er vooral een vrees dat de Thaise overheid het certifciaat zou kunnen gebruiken om MITM aanvallen te doen, maar heeft die dat nog niet gedaan.

Wél heeft de Thaise overheid diverse andere zaken gedaan om afluisteren makkelijk te maken.

Maar zolang het certifciaat enkel gebruikt wordt voor legitieme zaken zoals eigen overheidssites, is er ook geen reden om het certifciaat in te trekken.

Verwijderd 26 januari 2017 12:25

Het PDF-document in het bronartikel laat op pagina 19 een screenshot zien met een lijst root certificaten die afwijkt van die in mijn Windows-10-installatie. Zo staat bij mij het Thaise root certificate er niet tussen maar prijkt er wel weer eentje tussen van de Nederlandse overheid. Ik heb deze lijst zelf nog nooit aangepast. Zou het kunnen dat e.e.a. gebonden is aan lokatie-instellingen van Windows?

[Reactie gewijzigd door Verwijderd op 24 juli 2024 10:13]

OnTracK @Verwijderd • 26 januari 2017 13:08

Certificaten in Windows komen pas in je store terecht als je hem "nodig" hebt. Dus als je naar een website verbind (waarbij je browser de Windows-certificaatstore gebruikt, iig IE, Edge en Chrome), dan kijkt de Windows-store of je zelf dat certificaat al hebt, of hij download deze van een Microsoft-server als hij in het root-programma is opgenomen.

Bij een kale Windows-installatie zitten dus relatief weinig certificaten behalve die benodigd zijn om Windows-update en ook deze certificaat-download-functionaliteit zelf te faciliteren. Dat maakt het wel relatief ontransparant welke certificaten je eigen PC zal vertrouwen. Want zelfs als ie niet in je lijst voorkomt kan hij er plotseling in verschijnen na het verbinden met een website.

Kenhas @OnTracK • 26 januari 2017 14:20

Zo ontransparant vind ik het niet. Als je benieuwd bent naar de lijst: veel plezier

CyBeR @Verwijderd • 26 januari 2017 13:30

Zover ik weet is de root store in principe altijd gelijk. De Staat der Nederlanden Root CA staat er dan ook overal in, niet alleen in Nederland.

Verwijderd @CyBeR • 26 januari 2017 13:48

Op de screenshot in het artikel is Staat der Nederlanden niet terug te vinden in de lijst. Ik vermoed dat @OnTrack gelijk heeft.

Martinspire

Microsoft

26 januari 2017 12:33

Heeft er al een partij gereageerd die het certificaat niet accepteren en zo ja: om welke reden?

ByteBusters @Martinspire • 26 januari 2017 12:37

Heel goed punt. Daar ben ik ook benieuwd naar.

dennizzz

@Martinspire • 26 januari 2017 12:55

CA's moeten zich aanmelden bij browsers om hun certificaat in de trust store te krijgen. Ik zie niets op https://groups.google.com...zilla.dev.security.policy of Mozilla's Bugzilla over dit certificaat, dus ik denk dat ze zich niet eens hebben aangemeld.

Aaargh! @Martinspire • 26 januari 2017 14:00

Da's de wereld op z'n kop. Je moet juist beargumenteren waarom je het wel accepteert.

iceheart @Aaargh! • 26 januari 2017 14:15

Leuk idee, tot je er daadwerkelijk over nadenkt; enige wat daarop te antwoorden valt is "voldoet aan de eigen". Eventueel werk je dan het gekke lijstje af, maar da's alleen maar meer papierwerk, geen daadwerkelijke argumentatie.
Pas als er specifieke bezwaren ontstaan (anders dan niet voldoen aan de voorwaarden want dat is natuurlijk makkelijk zat) kun je gaan beargumenteren waarom je eventueel wél toelaat.
Maar dat kan dus niet het eerste uitgangspunt zijn

Aaargh! @iceheart • 26 januari 2017 14:22

Als ik een root-cert aanmaak (1 minuut werk) dan zou Microsoft deze klakkeloos moeten opnemen in hun OS ? Ze hebben volgens jouw redenatie geen concrete reden om te weigeren. Vervolgens kan ik overal lekker MitM attacks uitvoeren, want ik kan dan een cert. uitgeven voor elke willekeurige website.

Een root-cert is een zogenaamd trust-anchor, als je een root-cert opneemt zeg je "ik vertrouw deze partij en alles wat (direct of indirect) door deze partij is ondertekend"

Als zo'n partij naar je toekomt met de vraag of je hun root cert. wilt opnemen in je OS/Browser, dan moeten zij jou dus overtuigen dat ze te vertrouwen zijn en hun zaakjes op orde hebben, het is niet zo dat je iedereen maar vertrouwd totdat je een reden hebt om ze niet te vertrouwen.

Aaargh! @iceheart • 26 januari 2017 14:35

Een lijstje met eisen is niet voldoende om een vertrouwensrelatie vast te stellen. Dat is nu net mijn punt. Er kunnen per definitie geen objectieve criteria zijn, want vertrouwen is niet objectief.

[Reactie gewijzigd door Aaargh! op 24 juli 2024 10:13]

P1nGu1n

26 januari 2017 12:13

In welk opzicht verschilt de situatie van Thailand met die van Nederland?
'De staat der Nederlanden' heeft immers ook een root certificaat.

https://cert.pkioverheid.nl/

SinergyX

Microsoft

@P1nGu1n • 26 januari 2017 12:21

Het enige basis verschil is simpel, de politieke motieven achter het certificaat.

Best raar dat dus een standaard een secondaire toetsing krijgt, waar dus een politiek kenmerk de basis is of een certificaat wel of niet te vertrouwen is. Maar wat daar anders dan elk ander land/bedrijf/instantie die een root certificaat heeft, ook zij kunnen potentieel hier misbruik van maken.

tweaknico @SinergyX • 26 januari 2017 12:55

Tja met de nieuwe wetgeving waarbij de politie mag inbreken op apparaten is dat mogelijk ook een beschadigd certificaat.
Vergeet dan overigens niet alle andere landen certificaten, Turkije heeft er verschillende.

Verwijderd @P1nGu1n • 26 januari 2017 12:49

Dan wil ik wel eens weten welke certificates gesigned zijn met dit root certificaat.

P1nGu1n

@Verwijderd • 26 januari 2017 13:16

https://www.rijksoverheid.nl/
https://www.digid.nl/
https://www.defensie.nl/
https://www.logius.nl/
https://forum.kpn.com/

Ga zo maar door...

Verwijderd @P1nGu1n • 26 januari 2017 13:25

Hmm, die van KPN valt mij meteen op. Waarom zou een overheid als CA optreden voor een forum van een privaat bedrijf?

P1nGu1n

@Verwijderd • 26 januari 2017 13:46

Daarom deed ik hem er ook bij

Misschien omdat het een voormalig staatsbedrijf is? Ik weet ook niet of er meer domeinen zijn zoals KPN (non-overheidsdomeinen met een SDN certificaat).

Niet alleen het forum (was slechts een voorbeeld), maar bijna alle subdomeinen. Op sommige hebben ze een EV certificaat zitten, maar dit was voorheen ook een van de Staat der Nederlanden volgens mij.

https://jobs.kpn.com/
https://bestellen.kpn.com/
https://blog.kpn.com/
https://apparatuurvoorthuis.kpn.com/
https://zakelijkforum.kpn.com/
etc...

Glashelder

@Verwijderd • 26 januari 2017 14:16

Omdat KPN zelf PKIOverheid certificaten uitgeeft? Lekker goedkoop toch als je als bedrijf gewoon je eigen CA kan gebruiken.

CyBeR @Verwijderd • 26 januari 2017 13:31

Onder andere die van overheidswebsites zoal overheid.nl.

Aaargh! @P1nGu1n • 26 januari 2017 13:59

Het verschil is dat de Thaise overheid blijkbaar niet te vertrouwen is.

Het maken van een root certificaat is niet moeilijk, da's hooguit 1 minuut werk. Iedereen kan een root certificaat maken, het is niet alsof er een centrale instantie is die root-certificaten uitgeeft.

Je hebt alleen niets aan een root-certificaat tenzij je derden er van kan overtuigen jouw root cert te vertrouwen. Blijkbaar heeft de Nederlandse overheid Microsoft, Apple. Google, Mozilla, etc. weten te overtuigen dat zij te vertrouwen zijn en hebben deze partijen het root-cert. van de Nederlandse overheid opgenomen in hun lijst van vertrouwde CA's. Thailand is dit blijkbaar alleen bij Microsoft gelukt.

vinno97 @P1nGu1n • 26 januari 2017 22:58

Even een vraag als relatieve leek: stel ik heb een certificaat van GlobalSign en de overheid heeft er zin om subtiel het verkeer van mijn website te onderscheppe. Kunnen zij dan zelf een certificaat ondertekenen op mijn domein, zonder dat een gebruiker dit merkt?
En zo ja, ik neem aan dat ook HSTS hier niet veel tegen kan doen?

P1nGu1n

@vinno97 • 26 januari 2017 23:57

Ja, dat kan. De gehele PKI is gebaseerd op vertrouwen.
HSTS kan dit inderdaad voorkomen.

Verwijderd 26 januari 2017 12:21

Ik snap er niks van, als de Thai hun overheid niet vertrouwen, moet MS dan partij kiezen ofzo?

Ja, met een root certificataat heb je veel macht in handen, zo werken ze.

Kenhas @Verwijderd • 26 januari 2017 12:32

Wat heeft de Thaise bevolking hier mee te maken ? Een Root certificaat moet aan bepaalde objectieve eisen voldoen en volgens Microsoft is er dus geen probleem. Ik krijg de indruk dat veel Nederlanders hun regering ook niet vertrouwen maar dat kan toch geen reden zijn om het certificaat niet te vertrouwen.

Ik dacht toch dat, voor dergelijke zaken, er een lijst van eisen zou zijn die vast ligt. Nu stelt Microsoft blijkbaar andere eisen dan bijvoorbeeld Google

tweaknico @Kenhas • 26 januari 2017 12:56

Op basis van het root certificaat kan programma code als betrouwbaar gezien worden terwijl het gewoon Overheid Hacking software is.

Kenhas @tweaknico • 26 januari 2017 14:16

Euhm, en ... ?

Wat een root certificaat is, weet ik. Maar waarom mag het certificaat van de Thaise overheid niet vertrouwd worden ?

In het artikel lees ik veel " ... zou ..." dus bewijzen zullen er niet zijn anders kan ik me echt niet voorstellen dat het certificaat nog voldoet aan de eisen van Microsoft.

Dit rapport stelt nu wel dat Microsoft in de fout gaat maar is het eigenlijk niet meer de rest die het certificaat niet vertrouwd zonder bewijzen ?

tweaknico @Kenhas • 26 januari 2017 14:51

Jouw PC vertrouwd alles wat gebaseerd is op "vertrouwde certificaten".
ABSOLUUT, geen twijfel, blind.

Dat is dus ook code voor device drivers, .EXE bestanden, Websites etc.
Het is voldoende om een Root certificate te hebben in de "vertrouwde store", en de betreffende code/data daarmee ondertekend te krijgen.
Ongetekende code daar krijg je een pop-voor, bij geldig ondertekende code niet. (immers is vertrouwd).

Tja als de Thaise overheid zelf zou zeggen Wij doen het zus of zo..., maar dat doen ze niet, er zijn dingen misgegaan, en er zijn aanwijzingen (dus nog geen absoluut bewijs), hoe die dingen misgaan.
Microsoft ondersteund op deze manier actief de onderdrukking in Thailand, dat kan natuurlijk ook een keuze van Microsoft zijn.

Armin @Kenhas • 26 januari 2017 19:47

Nu stelt Microsoft blijkbaar andere eisen dan bijvoorbeeld Google

Microsoft heeft simpelweg een veel grotere database. Het opzetten en onderhouden van zo'n database is moeilijk en kostbaar. Google kan bovendien meeliften met Microsoft omdat het igv Chrome op Windows, de Microsoft database gebruikt.

Dus niet zozeer andere eisen qua strengheid, maar gewoonweg historie en bedrijfsnoodzaak.

Blokker_1999

Microsoft
Internet
Privacy

26 januari 2017 12:12

De organistatie heeft met andere woorden geen enkel bewijs in handen dat het certificaat op zich misbruikt wordt maar vind omdat de overheid niet democratisch verkozen is men het certificaat van die overheid niet zou mogen vertrouwen ook al voldoet het aan alle objectieve criteria.

Geen idee waarom de andere partijen het certificaat niet opnemen, maar ik vind dat MS hier correct handelt. Beeld je maar eens in hoe de wereld eruit zou zien als we alles wat misbruikt kan worden gaan verbieden...

Verwijderd 26 januari 2017 13:02

Als de Thaise wet dergelijke downgrade aanvallen onder bepaalde voorwaarden toestaat moet dat gewoon kunnen. Ik zie niet hoe dat wezenlijk anders is dan onze terughackwet.

Als de Nederlandse wet het de Thaise overheid niet toestaat dit soort dingen in Nederland te doen zou je als browser maker het Thaise certificaat uit kunnen zetten voor gebruikers in Nederland (Of misschien wel alle gebruikers buiten Thailand.)

Vincent Dw 26 januari 2017 13:04

'Daarin besteedt het aandacht aan het feit dat Microsoft het digitale root-certificaat van de overheid vetrouwt, terwijl andere partijen dat niet doen.'

Staat een spelfout in de tekst 'vetrouwt' moet vertrouwt zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (65)

Sorteer op:

Weergave: