Kterak certifikační autority přišly o pel nevinnosti

19. 6. 2012

Sdílet

 Autor: Aamon - Fotolia.com
Důvěryhodnost je alfou a omegou certifikačních autorit. Je jediným atributem, kvůli kterému se na ně obracíme.

Místo toho, abychom si ověřovali totožnost a identitu každého subjektu jednotlivě (což je v globálním kybernetickém světě zhola nemožné), věříme certifikátům vydaným právě těmito autoritami. Jejich nedotknutelnost ale dostává v poslední době vážné trhliny.

Dovolit si pochyby o důvěryhodnosti certifikačních autorit se ještě nedávno rovnalo svatokrádeži. Jejich představitelé se zaštiťovali přesnými prováděcími směrnicemi, transparentními procesy a otevřenou politikou. Kdokoliv se k nim mohl vyjádřit, kdokoliv mohl najít slabinu. Papírově neexistovala.

Přesto bylo otázkou času, kdy se tento snad poslední domeček z karet v informační bezpečnosti slibující „absolutní bezpečnost“ zhroutí. Dnes už víme, že i papírově neexistující slabiny se objevit mohou.

 

Začněme u Stuxnetu

Nejde přitom jen o případ jedné jediné certifikační autority (který by se dal prohlásit za výjimku potvrzující pravidlo), ale o celou škálu certifikačních průšvihů z poslední doby.

Nejprve to byl škodlivý kód Stuxnet. Opakovaně a obšírně jsme se mu věnovali i na stránkách tohoto magazínu, takže jen stručně: Stuxnet napadal systémy SCADA (jednoúčelové průmyslové automaty běžící na obvyklých softwarových platformách), jeho údajným cílem byly centrifugy na obohacování uranu v íránském Natanzu.

Pomiňme nyní skutečnost, že se nejméně rok (ale spíše roky dva) vesele šířil světem a žádný konsolidovaný a komplexní bezpečnostní systém jej nezaregistroval. Soustřeďme se ale na skutečnost, že kód Stuxnetu byl elektronicky podepsán (a tudíž z hlediska logiky informační bezpečnosti ověřený) certifikačními autoritami JMicron a Realtek.

Obě sídlily v Hsinchu Science Parku na Tchaj-wanu, dokonce v jedné budově – asi pak nepřekvapí, že sdílely některé zdroje (včetně fyzické ochrany či personálu).

Někdo s fyzickým přístupem k oběma certifikačním zařízením zkrátka zkopíroval podepisovací klíč. Opravdu bylo v tomto případě vše podle transparentních procesů, zvláště pak sdílení zdrojů?

 

Evropské potíže

Problémy ovšem nechodí pouze po Tchaj-wanu, ale zaznamenali jsme je ve Francii. Konkrétně se týkaly certifikační autority Certigna (její certifikáty najdete v Internet Exploreru, Safari, Firefoxu, Opeře a mnoha dalších prohlížečích). Ta se dopustila neomluvitelného kiksu: její soukromý podepisovací klíč se „nedopatřením“ dostal na webovou stránku do seznamu odvolaných certifikátů.

Certigna se problém snažila zmírnit vysvětlením, že šlo o testovací klíč, o zašifrovaný soubor, který již vypršel – korunu všemu nasadila, když je ze seznamu odvolaných certifikátů stáhla. Buď tam byl v souladu s pravidly – a musí v seznamu zůstat (každá certifikační autorita vám potvrdí, že z tohoto seznamu nesmí být odstraněny byť i omylem zveřejněné certifikáty).

Anebo měla k odstranění jiný důvod. Ať tak nebo tak, žonglování s certifikáty je neomluvitelné. A samozřejmě na důvěryhodnosti nepřidá.

A jdeme dál: další lapsus si na své konto připsala nizozemská certifikační autorita DigiNotar. Desátého června letošního roku útočník s přístupem do interního systému si vydal bez dodržení předepsaných postupů a procesů certifikát pro přístup do systémů společnosti Google.

Následně jej použil k útoku man-in-middle (útočník uprostřed), kdy provedl „odposlech“ několika subjektů v Íránu. Místní poskytovatelé problém záhy zjistili a informovali o něm 28. srpna 2011.

Autorita vzápětí uvedla, že o problému ví a že jej od 19. července vyšetřuje. Ovšem do té doby nezveřejnila žádnou informaci – inu, není nad transparentnost a důvěryhodnost, že. Vyšetřování vzápětí ukázalo, že nešlo o osamocený případ a že podvržené identity byly vydány pro domény jako Yahoo, Mozilla, WordPress a The Tor Project. Google vzápětí zařadil na černou listinu 247 certifikátů v prohlížeči Chrome, Microsoft vyřadil rootový certifikát firmy DigiNotar ze svých produktů (čímž de facto všechny jí vydané certifikáty pro své uživatele znedůvěryhodnil), podobně postupovala i Mozilla v případě prohlížeče Firefox. Apple reagoval bezpečnostní aktualizací 2011-005 – důsledek pro uživatele byl stejný.

Zničující lavina nešla zastavit, zvláště když nizozemská vláda (která měla DigiNotar jako svu dvorní certifikační autoritu pro projekty e-governmentu) oznámila, že si vybere jiného poskytovatele. DigiNotar neměl jinou možnost, než 20. září 2011 vyhlásit bankrot a ukončit činnost.

Zatím posledním případem je čerstvá přestřelka mezi hackerem Comodohacker a certifikační autoritou GlobalSign. Comodohacker tvrdí, že se dostal do jejího webového systému a je schopen vydávat vlastní certifikáty pod hlavičkou GlobalSign (ovšem přesvědčivý důkaz nepřinesl), autorita tvrdí, že to není možné. Netroufáme si dělat soudce v tomto sporu, přesto dnes už víme, že to možné je...

Nedůvěra důvěryhodným

bitcoin_skoleni

Výše uvedené případy neznamenají, že bychom nad certifikačními autoritami měli zlomit hůl. Nic lepšího než je totiž nemáme. A většina z nich si svoji vysokou laťku problémům poslední doby navzdory drží.

Jen certifikační autority se musí přestat holedbat „neprůstřelností“ (nepůsobí to důvěryhodně...) a stejně tak my musíme akceptovat, že jsou různé certifikační autority. A že stejně jako se falšují třeba doklady v reálném světě, roste nám pod rukama podobný „průmysl“.