En hoe was google ook alweer gehackt in China??

Google is niet gehacked door 'eigen' certificaten.

Muphry heeft een heel goed punt. Het prob is dat PKI bedoeld was voor communicatie met onbekenden terwijl het meestal gebruikt wordt voor validatie van bekenden - infrastructurele certificaten, zoals je doet bij een S-LDAP en in SOAP/Htttps verhalen in je eigen netwerk - daarvoor heb je geen commerciële CA's op internet nodig, daar wil je als organisatie zélf in control zijn (en de kosten van gekochte certificaten besparen, terwijl die niets toevoegen). Door het gebruik van self-signed ingewikkelder te maken spek je de externe CA's (die vooral schijnzekerheid bieden), moeten interne systemen outbound verkeer naar crl.versign.com kunnen opzetten (of CDP gebruiken met vergelijkbare of ergere gevolgen), zodat je interne infra toch iets meer exposed wordt dan strikt noodzakelijk. Natuurlijk kun je dit allemaal wel oplossen, maar dat gaat de meeste gewone ICT-ers toch wel ver boven het propellorpetje. Dus IE8 is niet zélf onveilger maar dwingt organisaties onveiliger te gaan werken.

mee eens..... btw ik denk dat alles onveilig is als je niet weet hoee er mee om moet gaan.

Om te weten welke CA's goed zijn, moet men de CPS can de CSP doornemen. Hierin staat beschreven hoe de Private Key beveiligd is.

Wij moesten even lachen... Maar wat volgt hierna? Linux is onveilig? We zijn benieuwd!

Setji.ams.osd/Crew

Homerisch gelach

Om te weten welke autos goed zijn, moet je de folder lezen. (toyota)
Om te weten welke banken goed zijn, moet je de accountantsverklaring lezen. (bear stearns, ABN/AMRO, AIG)

Om te weten hoe de PKI leverancier zijn processen doet, moet je ETSI 101456 lezen en de auditorstatement lezen.
a): snap je wat daar staat?
b) Kijk je naar een moment opname, een opgepoetst verhaal of een gemiddelde operatie?
c) Hoe kun jij dit verifiëren?
d) Hoe kan een rechter dit verifiëren?
e) Als je gaat procederen, wat gaat de civiele procedure je kosten?
f) Geeft de jurisprudentie je een hoopvol beeld, gegeven de aansprakelijkheidspraktijken in ons land?

Zo stelt de CPS van PKI-overheid in Nederland: -"is alleen aansprakelijk richting digitale Certificaathouders of vertrouwende partijen voor onmiddellijk verlies". Daar heb je dus geen ruk aan.

Controlevraagjes:
* als de CA meldt alleen aansprakelijk te zijn voor directe schade, weet je wat dat betekent?
* als de CA iets meldt, en zich er niet aan houdt, weet je onder welke juridische werkelijkheid je daar iets aan kan doen?

Nog meer homerisch gelach.

Als je het certifikaatbeheer van Windows al te moeilijk vindt, dan moet je echt niet de illusie hebben dat je een veilig PKI-systeem kan opzetten.

En ja: dat Firefox zo perfect is dat het verboden is om er commentaar op te hebben, is natuurlijk geen houdbare stelling.

Als je daarmee dat 20 stappen plan bedoelt: die stappen zijn voldoende, maar niet allemaal nodig.

Als je wat verder naar beneden scrollt blijkt het op Windows clients vrij eenvoudig om een eigen CA certificaat toe te voegen (Start -> run -> mmc -> add snap in -> certificates -> enz.).

Ja en daarom wordt er hier ook in alle talen gezwegen over die nepversie van Firefox die in omloop is. En die overduidelijk aantoont hoeveel risico openbron software met zich meebrengt.

Hou nou eens op met dat bashen van alles wat van Microsoft komt en ga eens objectief worden. Als je niet weet wat dat betekent, zijn er genoeg woordenboeken op internet te vinden waar je dat woord kunt opzoeken.

Wie betaalt het gelach?

Het probleem is niet hoe moeilijk het Windows certificaatbeheer is, maar wat je moet doen om erop te kunnen vertrouwen dat de SSL verbindingen die je maakt, signed files die je opent en signed/encrypted mails die je leest, resp. zijn met de site die je verwacht, ondertekend zijn door de juiste persoon, of versleuteld/ondertekend zijn door de juiste persoon.

Moet je daarvoor root certificaten verwijderen? Juist andere toevoegen? Of toch maar op Microsoft, Mozilla etc. vertrouwen dat zij uitsluitend "betrouwbare" CA's selecteren?

Die gok lijkt net zo groot als het vertrouwen dat je in iemands paspoort kunt hebben (Europese overheden laten en masse blanco exemplaren ontvreemden, zie http://www.nrc.nl/binnenland/article2477396.ece/Diefstal_paspoorten_omvangrijk_in_Schengenlanden).

Interessant in het kader van deze discussie is dat de "echte" Mozilla Firefox downloads zijn voorzien van een digitale handtekening. Als mensen zo stom zijn om executables van een vage site te downloaden en te starten zonder ook maar 1 check op de authenticiteit uit te voeren dan vragen ze er wel zelf om.

Tip 1: google naar Mozilla Firefox en kijk waar de meeste sites naar verwijzen. Naar verluidt lukt het aanvallers soms om (tijdelijk) Google zoekresulaten te manipuleren waardoor een nep-page bovenaan de lijst verschijnt. (alhoewel ik dat nog nooit zelf gezien heb). Op een URL klikken die je via een spam-mail kreeg is een doodzonde. Alternatief: download software via een bekende downloadsite zoals http://www.softpedia.com/ of http://www.tucows.com/. Overigens sturen dergelijke sites je voor de feitelijke download meestal door naar de site van de maker, dus dat software "spywarefree" zou zijn kan hebben geklopt tijdens het testen maar hoeft niet te gelden op het moment dat jij iets downloadt.

Tip 2: Zodra je een EXE of MSI file gedownload heb klik je er op met de rechter muistoets en kies je Eigenschappen (properties). Als de file voorzien is van een digitale handtekening verschijnt er een extra tabblad getiteld "Digitale Handtekeningen". Open dat tabblad, selecteer de (enige of bovenste) regel in het lijstje en kies "Details". Het openen duurt soms even omdat er op dat moment gecontroleerd wordt of het certificaat niet is ingetrokken ("revoked") - daar is een internet-connectie voor nodig. Leer jezelf aan om door dit soort vensters heen te klikken en te begrijpen wat er staat. Check de datum en de organisatie aan wie het certificaat is uitgegeven. Als de digitale handtekening klopt weet je redelijk zeker dat het bestand sinds ondertekening niet meer is gewijzigd, wanneer het is ondertekend en door wie.

N.b. bij tip 2 wordt van de root (CA) certificaten in de MSIE webbrowser gebruik gemaakt. Als er CA's tussen zitten die niet te vertrouwen zijn zouden zij een certificaat aan iemand kunnen uitgeven die zich voordoet als vertegenwoordiger van Mozilla (zie mijn bovenstaande post).

Als een officieel bestand niet is voorzien van digitale handtekening (helaas zijn er nog veel softwaremakers die hun bestanden niet ondertekenen) dan zul je op een andere manier de authenticiteit moeten vaststellen. Als er bij zo'n naast zo'n bestand (zeg x.exe) ook een bestan met een .asc extensie gedownload kan worden (dan x.exe.asc) dan wil dat zeggen dat het bestand van een ander type digitale handtekening is voorzien, nl. van het type PGP of GnuPG. Het is te ingewikkeld om hier uit te leggen hoe je zo'n signature controleert.

Als je een bestand downloadt van een website en op diezelfde website staan MD5 of SHA1 checksums vermeld, dan zegt dat niet zoveel. Als een aanvaller het bestand door een ander bestand kan vervangen, kan hij/zij vaak net zo makkelijk ook de getoonde MD5 en SHA1 checksums vervangen. Door te Googlen naar: "bestandsnaam md5" (zonder de aanhalingstekens) kun je vaak op andere sites MD5 checksums vinden. Als meerdere sites al sinds enige tijd (meer dan 1 week of zo) dezelfde MD5 checksum noemen, en het bestand dat je gedownload hebt heeft ook die MD5 waarde, dan is de kans erg groot dat het om het originele bestand gaat. MD5 is feitelijk gekraakt, maar wordt nog erg veel gebruikt (meer dan SHA1). Als je SHA1 checksums kunt vinden verdienen die de voorkeur, maar iets is beter dan niets.