DigiNotar-hacker maakt 60.000 certificaten waardeloos
Door de aanval op het Nederlandse DigiNotar zijn 60.000 digitale certificaten waardeloos geworden. Inmiddels worden DigiNotar-certificaten niet meer door Microsoft, Mozilla en Google vertrouwd en ook bij allerlei andere instanties niet meer te gebriuken. "Daardoor zijn 60.000 certificaten waardeloos geworden", zegt Friso de Jong van Stichting Waarborg E-factureren. Hij merkt op dat de ondergang van de Nederlandse SSL-uitgever ook gevolgen op e-facturering heeft.
Digitale handtekeningen die aan PDF-facturen zijn gekoppeld en van een ingetrokken certificaat zijn voorzien, zijn juridisch gezien niet meer geldig. Daarnaast kunnen gebruikers van een "e-invoice portal" die DigiNotar-certificaten gebruikt deze plekken niet meer bezoeken of krijgen allerlei waarschuwingen. "In sommige gevallen is het versturen van e-facturen naar (publieke) organisaties die een specifiek digitaal certificaat vereisen niet meer mogelijk."
Waardeloos
"Als een reguliere certificaatuitgever wordt gecompromitteerd, maakt het meteen tienduizenden certificaten waardeloos, wat invloed op miljoenen elektronische facturen heeft. Als de certificaatuitgever een internationale speler is, dan is het gevolg tienvoudig", aldus De Jong. Vanaf 1 januari 2013 gelden er in Europa nieuwe regels, waardoor technische maatregelen niet langer nodig zijn om de integriteit en authenticiteit van een e-factuur te bepalen.
Inhoudelijk is de discussie interessant (en klopt het wat Friso de Jong zegt): wat doe je met bestanden die digitaal zijn ondertekend en waarvan het certificaat is ingetrokken, verlopen, of waarvan de toegepaste cryptografische techieken ondertussen kraakbaar zijn? En hoe zit dat met de van toepassing zijnde gebruikte root certificaten?
Microsoft's Authenticode is een notoire leugenaar op dit punt: als je de handtekening onder een digitaal ondertekend bestand checkt, en het bijbehorende certificaat is ondertussen verlopen, dan wordt die handtekening nog als "in orde" aangeduid (als ik het goed begrijp, mits die handtekening ook een geldige timestamp bevat). De -discutabele- argumentatie van Microsoft daarachter is dat het certificaat geldig was op het moment van ondertekenen.
Voor degenen die meer geïnteresseerd zijn in het vervallen van de plicht voor digitale handtekeningen in belastingaangiftes vanaf 2013-01-01, een overzicht vind je op http://ec.europa.eu/enterprise/sectors/ict/e-invoicing/benefits/index_en.htm.
In http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:189:0001:0008:NL:PDF (dit is EU Directive 2010/45/EU van 2010-07-13):
(11) De authenticiteit en de integriteit van de elektronische factuur kunnen tevens worden gewaarborgd met behulp van bestaande technologieën, zoals elektronische uitwisseling van gegevens (Electronic Data Interchange — EDI) en een geavanceerde elektronische handtekening. Aangezien er echter ook andere technologieën bestaan, mogen belastingplichtigen niet verplicht worden tot het gebruik van een bepaalde technologie voor elektronische facturering.
[...]
2. De authenticiteit van de herkomst en de integriteit van de inhoud van een elektronische factuur kunnen, behalve door middel van de in lid 1 bedoelde bedrijfscontroles, bijvoorbeeld ook met de volgende technologieën worden gewaarborgd:
a) een geavanceerde elektronische handtekening in de zin van artikel 2, punt 2), van Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (*), welke gebaseerd is op een gekwalificeerd certificaat in de zin van artikel 2, punt 10), van Richtlijn 1999/93/EG en gecreëerd wordt met een veilig middel voor het aanmaken van handtekeningen in de zin van artikel 2, punten 6) en 10), van Richtlijn 1999/93/EG;
b) elektronische uitwisseling van gegevens (Electronic Data Interchange — EDI), zoals gedefinieerd in artikel 2 van bijlage 1 bij Aanbeveling 1994/820/EG van de Commissie van 19 oktober 1994 betreffende de juridische aspecten van de elektronische uitwisseling van gegevens (**), indien het akkoord betreffende deze uitwisseling in het gebruik van procedures voorziet die de authenticiteit van de herkomst en de integriteit van de gegevens waarborgen.
[...]
Dat is onwaar. Ze waren geldig op het moment van uitgeven. Alleen als de certificaten vervalst zijn, zouden ze ongeldig zijn.
Als je zelf een certificaat maakt en die gebruikt om documenten te signeren, dat zijn ze even goed geldig. Als je bijvoorbeeld PGP gebruikt dan is dat prima. Een controlerende instantie kan altijd vragen om bevestiging van de correctheid van een public key.
De geldigheid van het certificaat is alleen van belang bij het versturen van de factuur.
Ik neem aan dat certificaten voor het signeren van facturen net zo lang geldig zijn als voor een gemiddelde website: 1 jaar
Anders zou het zo zijn dat je een factuur ontvangen een een maand voor het verlopen van het certificaat gewoon kunt weigeren te betalen met het argument dat het certificaat niet geldig is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
