PKI als oplossing tegen Internet zwendel
Oplichters maken steeds vaker gebruik van frauduleuze e-mails om de persoonlijke gegevens, zoals creditcard nummers, rekeningnummers en andere gevoelige informatie, van nietsvermoedende gebruikers te ontfutselen. Dit soort zwendel wordt steeds populairder, waardoor meer mensen het slachtoffer worden. Als oplossing voor deze fraude denkt de auteur van dit artikel aan het gebruik van PKI certificaten.
Gebruikers moeten controleren of een PKI certificaat op de website aanwezig is, waardoor de identiteit van een gecertificeerd bedrijf geverifieerd kan worden. PKIs bestaan uit twee delen, een publieke en private key. Deze sleutels zijn van een 256 tot 2048 bit encryptie code voorzien, waardoor ze theoretisch niet te kraken zijn. PKI wordt op het moment echter nog niet veel gebruikt, maar het kost slechts weinig moeite om dit te veranderen, zo kunnen we in het artikel lezen.
Zodra de infrastructurele problemen opgelost zijn (wie beheert zo'n
directory) kunnen we aan de echte problemen beginnen (kwetsbaarheid
van bijvoorbeeld ASN.1, mensen die hun eigen certificaten gaan uitgeven
en zo).
certificaten bij een paar CA's. Dan hebben die CA's teveel
werk om alles goed te controleren. Oplichters kunnen dan
zonder veel moeite kun aanvraag ertussen doen. Of we halen
alle certificaten bij meerder CA's. Een oplichter maakt een
eigen CA en haalt daar certificaten uit. Een eigen CA valt
toch niet op tussen die andere CA's.
Het is nog wel mogelijk, maar het mag duidelijk zijn dat het
veel werk is om zoiets op te zetten. Minder makkelijk dan in
eerste instantie lijkt.
Als PKIoverheid nou eens werk maakt van hun mooie verhalen
van 2 jaar terug... zou al een mooi begin zijn. (die slome
overheid ook altijd)
Bij een 'veilige' SSL verbinding wordt toch het certificaat van de Site door
mijn browser gechecked bij een van de CA's die in IE staan ? (tools-options-
content-certtificates-laatste tabblad). Dat is toch PKI, dat doen we toch
allemaal al (wel eens).
Verisign is toch zo'n beheerder van zo'n directory ?
Als mensen hun eigen certificaten uit gaan geven dan moet ik toch ook hun
CA's cert. hebben in IE ? Anders krijg ik toch een waarschuwing dat de Site
niet klopt ?
"teveel werk om alles goed te controleren" --> bedoel je dat bij de uitgifte de
identiteit van de aanvrager niet goed gecontrolleerd wordt of bedoel je meer
een soort technische DDOS ?
BTW: ik ben wel voorstanden van 'PKI-overheid' : beter dan Verisign (lees
het nieuws van vorige week, de sukkels). Ben ook voorstanden van
Clientside-certificaten van de overheid die je bijv. op het stadhuis zou
kunnen krijgen. Meteen ook een officieel e-mail adres van de overheid, dan
kunnen we daar ook eindelijk eens een 'telefoon'-boek van maken.
Ja, heel lastig allemaal.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
