Kterak certifikační autority přišly o pel nevinnosti

19. 6. 2012

Sdílet

 Autor: Aamon - Fotolia.com
Důvěryhodnost je alfou a omegou certifikačních autorit. Je jediným atributem, kvůli kterému se na ně obracíme.

Místo toho, abychom si ověřovali totožnost a identitu každého subjektu jednotlivě (což je v globálním kybernetickém světě zhola nemožné), věříme certifikátům vydaným právě těmito autoritami. Jejich nedotknutelnost ale dostává v poslední době vážné trhliny.

Dovolit si pochyby o důvěryhodnosti certifikačních autorit se ještě nedávno rovnalo svatokrádeži. Jejich představitelé se zaštiťovali přesnými prováděcími směrnicemi, transparentními procesy a otevřenou politikou. Kdokoliv se k nim mohl vyjádřit, kdokoliv mohl najít slabinu. Papírově neexistovala.

Přesto bylo otázkou času, kdy se tento snad poslední domeček z karet v informační bezpečnosti slibující „absolutní bezpečnost“ zhroutí. Dnes už víme, že i papírově neexistující slabiny se objevit mohou.

 

Začněme u Stuxnetu

Nejde přitom jen o případ jedné jediné certifikační autority (který by se dal prohlásit za výjimku potvrzující pravidlo), ale o celou škálu certifikačních průšvihů z poslední doby.

Nejprve to byl škodlivý kód Stuxnet. Opakovaně a obšírně jsme se mu věnovali i na stránkách tohoto magazínu, takže jen stručně: Stuxnet napadal systémy SCADA (jednoúčelové průmyslové automaty běžící na obvyklých softwarových platformách), jeho údajným cílem byly centrifugy na obohacování uranu v íránském Natanzu.

Pomiňme nyní skutečnost, že se nejméně rok (ale spíše roky dva) vesele šířil světem a žádný konsolidovaný a komplexní bezpečnostní systém jej nezaregistroval. Soustřeďme se ale na skutečnost, že kód Stuxnetu byl elektronicky podepsán (a tudíž z hlediska logiky informační bezpečnosti ověřený) certifikačními autoritami JMicron a Realtek.

Obě sídlily v Hsinchu Science Parku na Tchaj-wanu, dokonce v jedné budově – asi pak nepřekvapí, že sdílely některé zdroje (včetně fyzické ochrany či personálu).

Někdo s fyzickým přístupem k oběma certifikačním zařízením zkrátka zkopíroval podepisovací klíč. Opravdu bylo v tomto případě vše podle transparentních procesů, zvláště pak sdílení zdrojů?

 

Evropské potíže

Problémy ovšem nechodí pouze po Tchaj-wanu, ale zaznamenali jsme je ve Francii. Konkrétně se týkaly certifikační autority Certigna (její certifikáty najdete v Internet Exploreru, Safari, Firefoxu, Opeře a mnoha dalších prohlížečích). Ta se dopustila neomluvitelného kiksu: její soukromý podepisovací klíč se „nedopatřením“ dostal na webovou stránku do seznamu odvolaných certifikátů.

Certigna se problém snažila zmírnit vysvětlením, že šlo o testovací klíč, o zašifrovaný soubor, který již vypršel – korunu všemu nasadila, když je ze seznamu odvolaných certifikátů stáhla. Buď tam byl v souladu s pravidly – a musí v seznamu zůstat (každá certifikační autorita vám potvrdí, že z tohoto seznamu nesmí být odstraněny byť i omylem zveřejněné certifikáty).

Anebo měla k odstranění jiný důvod. Ať tak nebo tak, žonglování s certifikáty je neomluvitelné. A samozřejmě na důvěryhodnosti nepřidá.

A jdeme dál: další lapsus si na své konto připsala nizozemská certifikační autorita DigiNotar. Desátého června letošního roku útočník s přístupem do interního systému si vydal bez dodržení předepsaných postupů a procesů certifikát pro přístup do systémů společnosti Google.

Následně jej použil k útoku man-in-middle (útočník uprostřed), kdy provedl „odposlech“ několika subjektů v Íránu. Místní poskytovatelé problém záhy zjistili a informovali o něm 28. srpna 2011.

Autorita vzápětí uvedla, že o problému ví a že jej od 19. července vyšetřuje. Ovšem do té doby nezveřejnila žádnou informaci – inu, není nad transparentnost a důvěryhodnost, že. Vyšetřování vzápětí ukázalo, že nešlo o osamocený případ a že podvržené identity byly vydány pro domény jako Yahoo, Mozilla, WordPress a The Tor Project. Google vzápětí zařadil na černou listinu 247 certifikátů v prohlížeči Chrome, Microsoft vyřadil rootový certifikát firmy DigiNotar ze svých produktů (čímž de facto všechny jí vydané certifikáty pro své uživatele znedůvěryhodnil), podobně postupovala i Mozilla v případě prohlížeče Firefox. Apple reagoval bezpečnostní aktualizací 2011-005 – důsledek pro uživatele byl stejný.

Zničující lavina nešla zastavit, zvláště když nizozemská vláda (která měla DigiNotar jako svu dvorní certifikační autoritu pro projekty e-governmentu) oznámila, že si vybere jiného poskytovatele. DigiNotar neměl jinou možnost, než 20. září 2011 vyhlásit bankrot a ukončit činnost.

Zatím posledním případem je čerstvá přestřelka mezi hackerem Comodohacker a certifikační autoritou GlobalSign. Comodohacker tvrdí, že se dostal do jejího webového systému a je schopen vydávat vlastní certifikáty pod hlavičkou GlobalSign (ovšem přesvědčivý důkaz nepřinesl), autorita tvrdí, že to není možné. Netroufáme si dělat soudce v tomto sporu, přesto dnes už víme, že to možné je...

Nedůvěra důvěryhodným

bitcoin školení listopad 24

Výše uvedené případy neznamenají, že bychom nad certifikačními autoritami měli zlomit hůl. Nic lepšího než je totiž nemáme. A většina z nich si svoji vysokou laťku problémům poslední doby navzdory drží.

Jen certifikační autority se musí přestat holedbat „neprůstřelností“ (nepůsobí to důvěryhodně...) a stejně tak my musíme akceptovat, že jsou různé certifikační autority. A že stejně jako se falšují třeba doklady v reálném světě, roste nám pod rukama podobný „průmysl“.