DigiNotar und der Iran

Vor gerade mal vier Monaten berichteten wir über Honest Achmed und haben vor den Gefahren beim Umgang mit Verschlüsselung gewarnt. Dabei spielte vor allem nicht gerechtfertigtes Vertrauen in Zertifizierungsstellen eine Rolle. Der niederländische Dienstleister DigiNotar, der sich selbst als Internet Trust Provider bezeichnet, hat ein signiertes Zertifikat für Google vergeben, obwohl Google dort gar kein Kunde ist. Dieses ist im Iran benutzt worden, um einen MITM-Angriff zu verschleiern. Aufgefallen ist die Aktion durch eine weitere Sicherheitsmaßnahme in Googles Browser Chrome, HTTP Strict Transport Security. Dabei wird zusätzlich hinterlegt und geprüft, ob die digitale Signatur eines Zertifikats vom richtigen Dienstleister stammt. Man darf davon ausgehen, dass die iranische Regierung etwa fünf Wochen lang Nutzer von verschlüsselten Googlediensten, insb. vom E-Mail-Dienst Gmail, unbemerkt ausspioniert hat und dadurch in Hinblick auf Regierungsgegner, Oppositionelle und Andersdenkende auch Menschenleben in Gefahr sind. Angeblich wurde in die Systeme von DigiNotar eingebrochen und dadurch konnte das signierte Zertifikat entwendet werden. Wie bei Fefe nachzulesen ist, ist das eine erbärmliche Ausrede und disqualifiziert den Dienstleister in noch weiterem Umfang, ebenso den Sicherheitsdienstleister, der vorgeblich ein Audit durchgeführt hat. Wie F-Secure berichtet, gab es mindestens seit Mai 2009 mehrere Einbrüche, die unbemerkt blieben.

Der verschlüsselte Link zu DigiNotar oben sollte in ihrem Browser heftige Warnmeldungen erzeugen. Wenn er das nicht tut, brauchen sie eine Aktualisierung der Software und/oder der Sicherheitseinstellungen. Offenkundig hat ein Zertifikat DigiNotar Root CA oder DigiNotar Extended Validation CA aus der Trustchain für diese Webseite nichts in der Liste der Zertifikate verloren, denen sie als Anwender vertrauen sollten. Über SSL und HTTPS wird vertrauliche und geldwerte Information (Onlinebanking) ausgetauscht – da darf es keine Fehler geben. Und im Zusammenhang mit Menschenleben erst recht nicht.

2011-08-29 EFF Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities
2011-08-30 heise Neuer SSL-Gau: Falsches Google-Zertifikat blieb fünf Wochen unentdeckt
2011-08-30 golem SSL-VORFALL – Gefälschtes Google-Zertifikat seit Mitte Juli 2011 im Umlauf
2011-08-30 heise Falsches Google-Zertifikat ist Folge eines Hacks
2011-08-30 futurezone IRAN – Gmail mit falschem SSL-Zertifikat ausspioniert

2011-08-30 Vasco DigiNotar reports security incident – Pressemitteilung

This entry was posted in Krypto and tagged , . Bookmark the permalink.

Comments are closed.