image

Overheid zegt vertrouwen in Diginotar op

zaterdag 3 september 2011, 08:06 door Redactie, 10 reacties

De overheid heeft het vertrouwen in de certificaten van het Beverwijkse bedrijf Diginotar opgezegd. Dat liet minister Donner van Binnenlandse Zaken en Koninkrijksrelaties weten naar aanleiding van het rapport dat beveiligingsbedrijf Fox-IT publiceerde. Dit onderzoek laat zien dat niet uitgesloten kan worden dat ook de PKI Overheid certificaten van Diginotar gecompromitteerd zijn. Aanvallers wisten bij DigiNotar in te breken en genereerden vervolgens honderden certificaten, waarmee onder andere Iraanse Gmail-gebruikers werden afgeluisterd. Diginotar geeft twee soorten certificaten uit, de Diginotar eigen merk certificaten en PKI Overheid certificaten, die voor DigiD.nl worden gebruikt.

De gebruiker van overheidssites heeft niet langer de garantie dat hij daadwerkelijk op de site van zijn keuze uitkomt, aldus een waarschuwing van de overheid. Daarnaast kunnen gebruikers bij het benaderen van de websites de melding krijgen dat deze website niet langer betrouwbaar zijn.

Leverancier
Als oplossing is er besloten om zo snel als mogelijk op andere PKI-certificatenleveranciers over te stappen. "We kiezen voor een beheerst overgangsscenario waarbij het operationeel beheer van alle certificaten van Diginotar wordt overgenomen", aldus Donner.

Die laat verder weten dat door het operationeel beheer over te nemen, er gemonitord kan worden of er ook "oneigenlijk gebruik" plaatsvindt tijdens de overgangsfase.

Reacties (10)
03-09-2011, 08:39 door [Account Verwijderd]
[Verwijderd]
03-09-2011, 09:50 door [Account Verwijderd]
[Verwijderd]
03-09-2011, 10:03 door Anoniem
Uit de Certificate Revocation Lists van DigiNotar blijkt het volgende:

Aantal ingetrokken certificaten in de serie met het valse Google-certificaat:
2007 1
2008 77
2009 118
2010 3994
2011 690

Aantal ingetrokken certificaten in de serie met het geldige Digid-certificaat:
2008 14
2009 194
2010 482
2011 143

Het ziet er naar uit, dat er al in 2010 het een en ander mis was.
03-09-2011, 14:16 door jmkf
Nu bekend en erkend is dat de diginotar certificaten rammelen, wordt blijkbaar niet de moeite door de overheid genomen de het diginotar certificaat zelf ongeldig te verklaren door het op de CRL te zetten.

Op de http://crl.pkioverheid.nl/LatestCRL.crl, staat nog steeds geen enkel certificaat.
Zou de overheid in de rol van CA niet hier haar verantwoordelijkheid moeten nemen?

Certificate Revocation List (CRL):
Version 2 (0x1)
Signature Algorithm: sha1WithRSAEncryption
Issuer: /C=NL/O=Staat der Nederlanden/CN=Staat der Nederlanden Root CA
Last Update: Jun 8 08:29:25 2011 GMT
Next Update: Jun 7 08:34:25 2012 GMT
CRL extensions:
X509v3 CRL Number:
17
No Revoked Certificates.
03-09-2011, 15:17 door Bitwiper
Door Anoniem: Uit de Certificate Revocation Lists van DigiNotar blijkt het volgende:

Aantal ingetrokken certificaten in de serie met het valse Google-certificaat:
2007 1
2008 77
2009 118
2010 3994
2011 690

Aantal ingetrokken certificaten in de serie met het geldige Digid-certificaat:
2008 14
2009 194
2010 482
2011 143

Het ziet er naar uit, dat er al in 2010 het een en ander mis was.
Dat was mij eerder ook al opgevallen, vooral in juli 2010. Zou DigiNotar de certificaten waarvan ze ontdekt hebben dat deze gestolen zijn, bewust of onbewust revoked hebben met een datum 1 jaar in het verleden, of zou er toen ook al iets heel erg mis zijn gegaan bij DigiNotar, of bij een klant?
03-09-2011, 15:29 door Anoniem
Root/Stam certificaat Staat der Nederlanden valt onder (PinkRoccade) Getronics/KPN en wordt aldaar beheerd.
Men zou wel de Diginotar tak moeten kunnen revoken op hoogste niveau wat volgens mij de cert; DigiNotar PKIoverheid CA Overheid en Bedrijven (serial:20015536) is.
Maar ja het is warm he , en weekend;-)
03-09-2011, 16:07 door Erik Loman
Hier een lijstje van certificaten die bij Diginotar zijn gestolen:

*.10million.org
*.balatarin.com
*.google.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.skype.com
*.torproject.org
*.walla.co.il
*.wordpress.com
addons.mozilla.org
azadegi.com
friends.walla.co.il
login.yahoo.com
twitter.com
wordpress.com
www.cia.gov
www.facebook.com
www.sis.gov.uk

Bron: http://blog.gerv.net/2011/09/diginotar-compromise/
03-09-2011, 20:04 door Bitwiper
Hee, die site had ik net ook gevonden (via https://mail1.eff.org/pipermail/observatory/2011-September/thread.html, nadat ik aan het zoeken was naar een wereldwijde database met zomogelijk alle bekende en niet verlopen webserver certificaten).

N.b. Gervase Markham is een Britse Mozilla ontwikkelaar, zie http://en.wikipedia.org/wiki/Gervase_Markham_%28programmer%29.

Mogelijk dat de blog van Gervase ondertussen is geupdate, want naast de certs die Erik Loman hierboven noemt zie ik:

DigiCert Root CA
Equifax Root CA
Thawte Root CA
VeriSign Root CA

Het is onduidelijk wat de aanvallers daarmee wilden doen (Peter Gutmann stelt dezelfde vraag in https://mail1.eff.org/pipermail/observatory/2011-September/000305.html).

Daarnaast doet Gervase een oproep aan Nederlandstaligen om te helpen websites met nu defecte DigiNotar certificaten op te sporen en vooral de eigenaars ervan te waarschuwen:
zie https://docs.google.com/spreadsheet/ccc?pli=1&key=0AtLNtYDDyKsudG1lc2xmRDZRNTBkdXR1M0gzelZ3MkE&hl=en_GB#gid=1
03-09-2011, 22:31 door Anoniem
@unbalanced:

Je kunt zelf de certificaten ook niet vertrouwen. Daarvoor heb in Windows mogelijkheden (certmgr.msc) of in de browser zelf.
04-09-2011, 15:02 door Jan-Hein
Door unbalanced: Edit: al zie ik zo snel geen beter systeem. Het blijft zo dat je uiteindelijk gewoon op een partij moet vertrouwen en dat is door dit soort toestanden niet meteen vanzelfsprekend.
Een alternatief voor public key infrastructures wordt beschreven in http://www.jan-hein.info/lkmap.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.