image

Mozilla akkoord met zwakke encryptie in betaalautomaten

donderdag 25 februari 2016, 16:42 door Redactie, 16 reacties

Mozilla heeft betalingsverwerker Worldpay toestemming gegeven om voor het verkeer van en naar meer dan 10.000 betaalautomaten in de hele wereld voorlopig zwakke encryptie te blijven gebruiken. De betaalautomaten gebruiken certificaten voor het beveiligen van het verkeer naar de centrale servers.

Het probleem is dat deze certificaten van het sha-1-algoritme gebruikmaken, wat als verouderd en onveilig is bestempeld. Inmiddels hebben browserontwikkelaars en andere partijen ondersteuning van sha-1 uitgefaseerd of zijn hiermee bezig. Ook is het sinds 1 januari van dit jaar niet meer toegestaan om sha-1-certificaten uit te geven. Er zijn echter verschillende betalingsverwerkers die hun betaalautomaten nog altijd niet hebben geüpgraded om certificaten met het sha-2-algoritme te ondersteunen, de opvolger van sha-1. Ook al zijn de deadlines van het oudere algoritme al jaren geleden afgesproken. Het gevolg hiervan is dat veel betaalautomaten alleen met servers kunnen communiceren die van het sha-1-algoritme gebruikmaken.

Worldpay is één van de betalingsverwerkers die van de sha-1-certificaten gebruikmaakt en de overstap naar sha-2 nog niet heeft afgerond. Het bedrijf vergat echter voor 31 december 2015 sha-1-certificaten aan te vragen voor de servers die hier nog gebruik van maken. Worldpay verzocht vervolgens Symantec om negen sha-1-certificaten uit te geven, wat in strijd met het beleid is dat dergelijke certificaten niet meer worden uitgegeven. De certificaten zijn volgens Worldpay nodig voor meer dan 10.000 verouderde betaalautomaten die over de hele wereld worden gebruikt.

Voor het uitgeven van de certificaten heeft Symantec dan ook toestemming nodig van het CA/Browser Forum, een vrijwillig consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties. Het forum, waar ook Mozilla onderdeel van uitmaakt, maakt richtlijnen voor de uitgifte van certificaten. Om verstoringen bij de klanten van Worldpay te voorkomen heeft Mozilla na discussie besloten om de uitgifte van de certificaten toe te staan. Wel zijn hier verschillende voorwaarden aan gesteld, zodat de uitgifte transparant is en alleen als doel heeft om uiteindelijk naar sha-2 te kunnen overstappen.

"De toestemming houdt in dat Symantec sha-1-certificaten kan uitgeven die ervoor zorgen dat de Worldpay-apparaten langer blijven werken, en dat de uitgifte niet door Mozilla als fout zal worden gezien", zegt Mozilla's Richard Barnes. Het gaat in dit geval alleen om het Mozilla-rootprogramma, oftewel alleen certificaten die door Mozilla worden vertrouwd. Andere browserleveranciers zijn ook door Worldpay benaderd, maar kunnen besluiten om de uitgifte van de certificaten mogelijk wel als fout zien.

Reacties (16)
25-02-2016, 17:22 door Anoniem
Hhm,dat is niet zo best,hoe kan bankieren dan nog veilig zijn?.
Ik had van Mozilla wel een ander standpunt verwacht.
Ze zijn toch ook gebrand op veiligheid?.
25-02-2016, 17:39 door [Account Verwijderd]
[Verwijderd]
25-02-2016, 17:40 door Anoniem
Door Anoniem: Hhm,dat is niet zo best,hoe kan bankieren dan nog veilig zijn?.
Ik had van Mozilla wel een ander standpunt verwacht.
Ze zijn toch ook gebrand op veiligheid?.
Mozilla is zeker gebrand op veiligheid, echter het vervangen van deze certificaten, en de gehele infrastructuur die hiervan afhankelijk is herconfigureren neemt veel tijd in beslag. Betaalautomaten zijn dermate belangrijk in de hedendaagse maatschappij dat het niet mogelijk is om deze buiten werking te stellen. Zeker niet nu de overheden steeds meer het papieren geld willen gaan verbannen ;)
25-02-2016, 20:09 door Anoniem
Iedereen moet op de blaren zitten als ze laks zijn om beveiliging up-to-date te houden, behalve als het om genoeg geld gaat. Veiligheid is daar ook bij Mozilla ondergeschikt aan. Pech voor de gebruikers.
25-02-2016, 20:29 door Anoniem
Ben ik toch weer blij met mijn certificaatloos cash geld. Dat doet het gewoon...
25-02-2016, 21:27 door Anoniem
Van sha-1 naar sha-2? Ga toch gewoon direct naar sha-256 of zelfs sha-512. Het is nu en waarschijnlijk in de toeomst niet mogelijk om sha-192 en hoger te brute forcen. Simpel gezegt omdat dit meer energie kost dan er beschikbaar is in dit universum.
25-02-2016, 22:47 door Anoniem
Door Anoniem: Hhm,dat is niet zo best,hoe kan bankieren dan nog veilig zijn?.
Ik had van Mozilla wel een ander standpunt verwacht.
Ze zijn toch ook gebrand op veiligheid?.
Door Anoniem: Iedereen moet op de blaren zitten als ze laks zijn om beveiliging up-to-date te houden, behalve als het om genoeg geld gaat. Veiligheid is daar ook bij Mozilla ondergeschikt aan. Pech voor de gebruikers.

Praat mij eens bij, hoe vaak (en hoe!) browsen jullie met je browsertje naar een betaalterminal?

Iets anders
Zou het kunnen zijn dat geldpinnende en betalende gebruikers er toch meer bij gebaat zijn om nog wel gebruik te kunnen maken van 1 van die 10.000 betaalterminals over de hele wereld?
Zou het kunnen dat als er onverhoopt toch iets fout gaat (want het is geen garantie) dat Worldpay daarvoor aansprakelijk gesteld kan worden en zelf voor de schade dient op te draaien?

Zou het kunnen dat vanwege deze twee 'argumenten' Mozilla foundation het te onredelijk zou vinden om a priori maar even ettelijke honderdduizenden (miljoenen?) gebruikers voor het blok te zetten?
Er is een afweging gemaakt waarbij volgens mij het risico en het ongemak vooral ligt bij Worldpay en eigenlijk juist niet zozeer bij de gebruiker.

Als het misbruik al zou voorkomen dan is die gebruiker inderdaad tijdelijk de pineut en gedwongen in de paperassen te gaan hangen om een claim neer te leggen bij Worldpay.
Maar weegt dat mogelijke tijdelijk nadeel op tegen het gegarandeerde uitsluiten van al die mensen door 10.000 betaalautomaten te blokkeren?

Als Mozilla de voet dwars had gezet was het verwijt vast omgekeerd geweest : Mozilla zet miljoenen mensen in de financiële kou!
Tja.
25-02-2016, 23:07 door Anoniem
Door Anoniem: Van sha-1 naar sha-2? Ga toch gewoon direct naar sha-256 of zelfs sha-512. Het is nu en waarschijnlijk in de toeomst niet mogelijk om sha-192 en hoger te brute forcen. Simpel gezegt omdat dit meer energie kost dan er beschikbaar is in dit universum.

Ken je klassiekers.
Sha-256/512 == sha-2
25-02-2016, 23:25 door Anoniem
Door Anoniem: Ben ik toch weer blij met mijn certificaatloos cash geld. Dat doet het gewoon...

Mijn bitcoins doen het ook perfect als digitaal zonde certificaat.
26-02-2016, 08:10 door Anoniem
Alles draait om geld, de hele wereld en alle criminele activiteiten. Als het ergens van belang is om goede en veilige encryptie dan is het in de fanancieele wereld en juist DAAR laten ze het liggen.

Mozilla zou juist GEEN toestemming moeten geven om zwakkere encryptie te gebruiken en ze onder druk zetten om als de brandweer aan de gang te gaan.
26-02-2016, 08:35 door potshot
Door Anoniem: Ben ik toch weer blij met mijn certificaatloos cash geld. Dat doet het gewoon...

lol,de overvallers,zakkenrollers,en ander tuig dat je geld wil 'doet' het ook nog 'gewoon' hoor...........................................
de schade door fysieke diefstal is vele malen groter dan waar jij zo panisch voor bent.
de nieuwe tijd is altijd eng heh oud besje?
26-02-2016, 08:56 door Anoniem
Dit is toch een blunder van de bovenste plank. Dit issue is ik weet niet hoelang van te voren aangekondigd dat dit ging gebeuren. Dan heb je als organisatie gewoon liggen slapen.
26-02-2016, 09:05 door Overcome - Bijgewerkt: 26-02-2016, 09:06
Door Anoniem: Van sha-1 naar sha-2? Ga toch gewoon direct naar sha-256 of zelfs sha-512. Het is nu en waarschijnlijk in de toeomst niet mogelijk om sha-192 en hoger te brute forcen. Simpel gezegt omdat dit meer energie kost dan er beschikbaar is in dit universum.

SHA-512 en SHA-256 maken onderdeel uit van SHA-2. SHA-2 is een familie van hash functies. Zie https://en.wikipedia.org/wiki/SHA-2. Dus hopelijk gaan ze in één stap naar SHA-512.
26-02-2016, 09:44 door Anoniem
Oftewel, goede lobby tijden en iemand heeft een volle zak op dit moment.
26-02-2016, 12:13 door [Account Verwijderd] - Bijgewerkt: 26-02-2016, 12:14
[Verwijderd]
01-03-2016, 11:19 door Anoniem
Door Anoniem: Ben ik toch weer blij met mijn certificaatloos cash geld. Dat doet het gewoon...

Papiergeld zou je ook als certificaat kunnen zien. Een certificaat van een schuld van de bank aan toonder.

Vroeger stond dit er zelfs op: http://www.jenneken.nl/bekijk/pics1900/1900-muntenbankbljet-5.jpg
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.