Stjålne digitale sertifikater

Flere media, deriblant Computerworld, melder at stjålne digitale sertifikater fra DigiNotar har blitt brukt til å utgi seg som Googles epostløsning, Gmail. Derimot står det lite om hva slags type angrep dette er og hvordan man kan beskytte seg.

For en stund siden begynte Google med frivillig kryptering av Gmail. Dette ble gjort for å forhindre avlytting av epost, spesielt for brukere i utsatte områder og over trådløse nett. Denne krypteringen er aktiv når det står https i stedet for http foran Internett-adressen, og markeres også med en hengelås i nettleseren. Kommunikasjonen er da kryptert mellom nettleseren og Googles eposttjener.

I etterkant av at Google begynte med dette, har en rekke andre Internett-tjenester også begynt med kryptering, som Windows Live Mail og Facebook. Disse tjenestene har også blitt forfalsket med stjålne sertifikater fra DigiNotar.

Et digitalt sertifikat er en binding av en identitet og en nøkkel. Denne bindingen skjer kryptografisk ved hjelp av en signatur utført av en sertifikatutsteder (Certificate Authority (CA)). Sertifikatutstederens sertifikat er på samme måte signert av en overordnet sertifikattjener, som igjen kan være signert av en overordnet sertifikattjener, osv, helt opp til en rot-sertifikattjener (Root CA). En rot-sertifikattjener har signert sitt eget sertfikat og beviser således selv at han er den han sier han er. Tilliten til alle underliggende sertifikater forankres altså i rot-sertifikatet, og må forankres på andre måter enn at rot-sertifikatet selv sier at det er tilliten verdig.

Tilliten etableres blant annet ved at rot-sertifikatene blir sikkert distribuert til brukerne. I hovedsak skjer dette på to måter, enten gjennom operativsystemenes sertifikathåndteringsmekanismer eller gjennom applikasjonenes (i hovedsak nettlesernes) egne sertifikathåndteringsmekanismer. I begge tilfeller blir nye rot-sertifikater lastet inn ved oppdateringer uten at brukerne trenger å vite eller gjøre noe. Og for hvert nye rot-sertifikat som installeres, stoler operativsystemet, nettleseren og brukeren på alle sertifikater som er eller blir utstedt under dette. For at «uekte» rot-sertifikater ikke skal slippes løs, har operativ- og nettleserleverandørene strenge regler for hvilke rot-sertifikater de godkjenner og distribuerer.

For at et nettsted skal tilby kryptert kommunikasjon, må nettstedet få utstedt et sertifikat. Dette sertifikatet kan de lage selv, men da vil nettleseren gi advarsel om at dette sertifikatet ikke er tiltrodd (det kan ikke verifiseres mot et kjent rot-sertifikat), eller så kan det kjøpes av en kommersiell sertifikatutsteder. Denne kommersielle sertifikatutstederen har altså laget et rot-sertifikat og fått dette registrert hos ulike operativsystem- og nettleserleverandører. Når nettstedet så får utstedt et sertifikat under denne rot-sertifikattjeneren, er nettleseren fornøyd og viser at nettstedet er det det utgir seg for å være, og at kommunikasjonen er kryptert.

Det som har blitt utnyttet i dette, og tidligere angrep, har vært at en  sertifikattjener har blitt kompromittert og brukt til å utstede sertifikater til falske nettsteder. Det vil si at en man-in-the-middle-tjener får utstedt et ekte, godkjent sertifikat i forhold til hva operativsystemet eller nettleseren angår, men som ikke er utstedt til den ekte eieren av nettstedet. Så denne man-in-the-middle-tjeneren får utstedt sertifikat som viser at den er for eksempel mail.google.com. Angriperen må også få ofrene til å nå denne falske mail.google.com-tjeneren. Ved å kompromittere navneoppslagstjeneren (DNS) til å peke til den falske mail.google.com-tjeneren, kan angrepet begynne.

Når brukeren skriver inn adressen mail.google.com kommer brukeren til den falske tjeneren og får opp kryptert forbindelse. Tjeneren kobler seg så videre kryptert til den ekte mail.google.com, men kan avlytte i klartekst alt som hentes fra/skrives til eposttjeneren.

Det at sertifikattjenere blir ansvarlige for sikkerheten til operativsystem, applikasjoner, nettlesere og nettsted, har gjort at mange er negative til bruk av digitale sertifikater. Det er mye arbeid som foregår på dette området, blant annet har det kommet en plugin, Certificate Watch, til Firefox som overvåker hvilke sertifikater som faktisk har blitt brukt mot et nettsted. Slike løsninger kan hjelpe til med å gi økt sikkerhet om at de sertifikatene som benyttes faktisk er ekte og ikke stjålne.

For noen år siden ble Extended Validation (EV) sertifikater etablert. Dette skulle løse noen problemer med sertifikater ved å legge gi ekstra tillit til sertifikatene og presentere dem på en bedre måte i nettleseren. Disse sertifikatene skulle det være ekstra sikkerhet ved utstedelse av, slik at ingen falske nettsteder fikk tak i disse. Men, som DigiNotar-angrepet viser, kan også en sertifikattjener som utsteder EV-sertifikater bli kompromittert.

NSM mener at digitale sertifikater og PKI er en god måte å øke sikkerheten på Internett og i lokalnett. For all bruk av krypto er nøkkelutveksling nøkkelhåndtering det største problemet, og selv om også PKI har utfordringer med dette (sikker distribusjon av rot-sertifikatet), er det betydelig enklere å distribuere én nøkkel én gang, enn bruk av tradisjonelle metoder hvor man må distribuere nøkler for hver transmisjon.

Det første man bør gjøre for å redusere  sjansen for slike angrep er å velge hvilke rot-sertifikater man stoler på. NSM anbefaler å fjerne så mange sertifikater man kan fra operativsystemet, nettleseren og eventuelle andre applikasjoner. For eksempel har Microsoft publisert en liste over sertifikatene som operativsystemet selv trenger for å kjøre. Det betyr at man kan fjerne alle andre sertifikater enn disse. Det er interessant å merke seg at DigiNotars sertifikater ikke er på nevnte liste.

I tillegg må man velge bort automatisk nedlasting av nye rot-sertifikater, slik at nye sertifikater ikke blir installert uten viten og vilje. Men, det er viktig å merke seg at om man fjerne disse sertifikatene, kan endel applikasjoner og tjenester slutte å fungere, så dette må man teste før man setter i produksjon.

For krav til PKI har NSM publisert en veiledning, «Digital Certificates and PKI version 2.0», som er tilgjengelig herfra. I tillegg er NSMs krav til kryptoalgoritmer og nøkkellengder publisert i «NSM Cryptographic Requirements version 2.2», tilgjengelig samme sted.

2012-10-20 Endret «nøkkelutveksling» til «nøkkelhåndtering»

About Lars Olaussen

Lars Olaussen er senioringeniør i Nasjonal sikkerhetsmyndighet, avdeling for teknologi, seksjon for kryptoutvikling. Hans ansvarsområde er råd- og veiledning og krav- og tiltaksutvikling innen kryptoløsninger for beskyttelse av lavgradert og annen sensitiv, men ugradert informasjon.
This entry was posted in Internettsikkerhet, Kryptografi. Bookmark the permalink.

2 Responses to Stjålne digitale sertifikater

  1. Tipset om å fjerne alle rotsertifikater man ikke trenger, samt blokkere automatisk installasjon av nye rotsertifikater er et godt råd til alle overparanoide hjemmebrukere som er på stadig søken etter enda flere muligheter for å sikre seg. (Elektrisk skrivemaskin er forøvrig fristende å anbefale enkelte…)

    Det jeg ikke liker er at NSM bør skille på hvem de gir slike anbefalinger til. Satt på spissen: jeg/vi har rundt 150K maskiner spredt over flere hundretalls kunder. Disse kjører stort sett alt som finnes av operativsystem, antivirus, firewaller og ikke la oss engang forsøke å tippe antall applikasjoner og -versjoner.

    Å fjerne alle rotsertifikat man strengt tatt ikke trenger er en formidabel oppgave. Et prosjekt med mange deltakere over lengre tid. Jeg kan garantere en ting; det finnes ikke en kommersiell kunde som er villig til å betale EKSTRAKOSTNADEN et slikt prosjekt vil koste dem. Trekker vi inn den fornuftige risikovurderingen i tillegg, så antar jeg at det er bra mange tiltak som vil få høyere prioritet basert på kost/nyttegevinst.

    Oppsummert: Er det noen hensikt i å gi gode råd som ingen makter å teste, implementere eller vedlikeholde?

    • Lars Olaussen says:

      Det bør ikke være vanskelig å teste hvordan det er å fjerne sertifikater fra et operativsystem eller applikasjon. Dette er noe til og med en hjemmebruker kan gjøre med en virtuell operativsystem-installasjon. Ved å bruke snapshot-funksjonalitet kan man fjerne ett og ett sertifikat fra en installasjon og se hvorvidt systemet fortsatt fungerer. Når det ikke lenger fungerer kan man gå ett steg tilbake og begynne å teste med applikasjoner og tjenester.

      Vår erfaring er at mange levererandører av applikasjoner og tjenester ikke er klar over om eller hvordan de benytter kryptomekanismer og digitale sertfikater. Dersom applikasjonen eller tjenesten lar seg installere og kjøre på en vanlig installasjon, men ikke en installasjon med sertifikater fjernet, viser det en avhengighet av eksterne sertifikater. Dette er ikke uvanlig eller problematisk, men det er sjeldent dokumentert fra leverandør.

      Når dette er sagt, er NSMs krav i hovedsak rettet mot graderte informasjonssystem og deres eiere, og NSM har dialog med sistnevnte i forbindelse med kravstilling, implementasjon og vedlikehold. NSM ønsker ikke å stille krav som ikke er realiserbare, men det er ikke forventet at alle krav skal kunne realisere uten noen form for innsats.

Comments are closed.