» »

Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!

Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!

Slo-Tech - Britanski posrednik certifikatov HTTPS Trustico je te dni zakuhal pravi škandal, saj je objavil zasebne ključe 23.000 certifikatov svojih strank, s čimer je povzročil množičen preklic. Trustico je imel doslej partnerja Symantec (DigiCert), kateremu pa se bo odrekel in ga zamenjal s Comodom. Razlog so številne nepravilnosti na Symantecovi strani, zaradi česar bodo letos brskalniki nehali zaupati njegovim certifikatom. Ko se bo to zgodilo, bodo zaupanja nevredni tudi Trusticovi certifikati, zato je podjetje preventivno reagiralo in šlo na nož.

Trustico je od DigiCerta zahteval, da prekliče izdane certifikate, s čimer bi svoje stranke prisilil, da bi jih zamenjale za Comodove certifikate. DigiCert tega ni želel storiti, češ da lahko preklic zahteva le imetnik certifikata, sicer pa je treba predložiti dokaz, da so bili dejansko kompromitirani. Trustico se je potem odzval skrajno neverjetno, in sicer je DigiCertu poslal več kot 23.000 zasebnih ključev, ki so ustrezali certifikatom njegovih strank. To je podobno, kot če bi v dokaz, da znate narediti bombo, razstrelili lasten stanovanjski blok. DigiCert tedaj ni imel druge možnosti, kakor da certifikate prekliče. Hkrati pa je - tega pa Trustico ni pričakoval - obvestil še vse njegove stranke, da so certifikati sedaj preklicani in neveljavni. Še vedno pa ostaja 27.000 certifikatov, ki pa jih DigiCert ni preklical, ker zanje Trustico ni dokazal, da bi bili kompromitirani.

Zgodba seveda tu ni končana. Da je imel Trustico shranjenih 24.000 zasebnih ključev svojih strank, je nedopustna nevarnost. Zasebne ključe smejo imeti le lastniki domen, katere podpisujejo, saj se lahko sicer vsak lastnik pretvarja. Trustico ne nudi nobenih storitev, za katere bi potreboval te ključe. Trustico seveda teh ključev ni zlorabljal, prav tako ni nobenih dokazov, da bi mu kdaj ušli ali bi jih izkoristili hekerji. Toda že samo hranjenje je problematično, kaj šele pošiljanje po elektronski pošti.

11 komentarjev

oxyuranus ::

Zgodba tudi tu ni koncana :D

https://twitter.com/cujanovic/status/96...
Those who do not understand UNIX are condemned to reinvent it, poorly.
(hint: linux)

Truga ::

honestly it's like a fucking laurel and hardy sketch

trustico: hey boss man we gotta get revoke fifty thousand certs, they all got compromised
digicert: [sputtering] fifty...thousand? how on earth did fifty thousand certificates get compromised? are you sure they've been compromised?
trustico: see for youself, boss [spills 23k private keys on their desk]

c3p0 ::

To bi moral biti konec posla za Trustico, kak odgovoren pa v zapor...

PaX_MaN ::

c3p0 je izjavil:

To bi moral biti konec posla za Trustico, kak odgovoren pa v zapor...

Tam se nekaj preklajo kdo sploh je bil upravičenec do teh ključev, tkoda če je bil Trustico un k jih je kupu/mel na escrow/drugo podobno, pol, jah, ne bo cigare?

c3p0 je izjavil:

Toda že samo hranjenje je problematično, kaj šele pošiljanje po elektronski pošti.

MJU prav da ni, in hkrati da je:
Pred morebitnimi posledicami svari tudi ministrstvo za javno upravo, ki vidi celo nevarnost kibernetskih napadov, menda pa tudi ministrstvo za infrastrukturo.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

ender ::

Trustico ni imel nobenega escrowa, samo na spletni strani so imeli generator zasebnih ključev in CSRjev, ki je deloval na njihovem strežniku.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Truga ::

MrStein ::

Trustico je imel doslej partnerja Symantec (DigiCert), kateremu pa se bo odrekel in ga zamenjal s Comodom. Razlog so številne nepravilnosti na Symantecovi strani

A Comodo pa je OK? V preteklosti so imeli nemalo kiksov.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Truga ::

Comodo tudi ni nevemkaj, ja.

MrStein ::

To je podobno, kot če bi v dokaz, da znate narediti bombo, razstrelili lasten stanovanjski blok.

Ne, podobno je, kot če bi prinesli in na mizo dali delujočo bombo, s prižganim fitiljem. (ki bi ga potem ugasnili)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

tony1 ::

Hahahaha, še ena komedija na temo sistema zaupanja vrednih overiteljev certikatov :))

c3p0 ::

Biznis se ob poplavi free SSL certov počasi sesuva.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Prevzem certifikata sigenca v WIN 10 (strani: 1 2 )

Oddelek: Informacijska varnost
5321002 (17567) MrStein
»

Ponudnik certifikatov po elektronski pošti namenoma poslal 23.000 zasebnih ključev!

Oddelek: Novice / Varnost
115152 (3423) c3p0
»

privacy error NET::ERR_CERT_AUTHORITY_INVALID

Oddelek: Pomoč in nasveti
51239 (1084) 3CPm0Tra
»

Ob vstopu na stran spletne banke mi ne ponudi okna s certifikatom

Oddelek: Pomoč in nasveti
429240 (6924) mepa
»

Vdor v Sony odnesel tudi certifikate, nesnaga že tu

Oddelek: Novice / Varnost
85938 (3858) tomaz88

Več podobnih tem