DigiNotar - DigiNotar

DigiNotar BV
Halka açık bir şirketin yan kuruluşu
Sanayiİnternet güvenliği
KaderEdinilen VASCO Veri Güvenliği International, Inc. 2010 yılında; 2011'de iflas ilan etti
Kurulmuş1998 (1998)
KurucuDick Batenburg
Feshedilmiş20 Eylül 2011 (2011-09-20)
Merkez
Beverwijk
,
Hollanda
Ürün:% sGenel anahtar sertifikaları
HizmetlerSertifika yetkilisi
SahipVASCO Veri Güvenliği Uluslararası
İnternet sitesiwww.diginotar.nl

DigiNotar bir Flemenkçe Sertifika yetkilisi tarafından sahip olunan VASCO Veri Güvenliği International, Inc.[1] 3 Eylül 2011'de, bir güvenlik ihlalinin sonuçlandığı anlaşıldıktan sonra, dolandırıcı verilmesi sertifikalar, Hollanda hükümeti DigiNotar sistemlerinin operasyonel yönetimini devraldı.[2] Aynı ay şirket iflas ilan edildi.[3]

Hollanda hükümeti tarafından atanan Fox-IT danışmanlığı tarafından yapılan hackleme soruşturmasında 300.000 kişi tespit edildi İran Gmail saldırının ana hedefi olarak kullanıcılar (daha sonra ortadaki adam saldırılar) ve saldırının arkasında İran hükümetinin olduğundan şüphelenildi.[4] Kimse sertifikalara zorla girme ve uzlaşma ile suçlanmadı (2013 itibariyle), kriptograf Bruce Schneier saldırının "ya NSA veya NSA tarafından istismar. "[5] Ancak, diğerleri NSA'nın yalnızca bir yabancı istihbarat teşkilatı sahte sertifikalar kullanmak.[6] Saldırı, 21 yaşındaki İranlı bir öğrenci olduğu iddia edilen sözde Comodohacker tarafından da iddia edildi ve aynı zamanda diğer dört sertifika yetkilisini de hacklediğini iddia etti. Comodo tarafından makul bulunan bir iddia F-Secure, her ne kadar bunun müteakip "İran vatandaşlarının geniş çaplı müdahalesine" nasıl yol açtığını tam olarak açıklamasa da.[7]

500'den fazla sahte DigiNotar sertifikası bulunduktan sonra, büyük web tarayıcısı üreticileri, tüm DigiNotar sertifikalarını kara listeye alarak tepki gösterdi.[8] Olayın ölçeği gibi bazı kuruluşlar tarafından kullanıldı.ENISA ve AccessNow.org daha derin bir reform çağrısı yapmak HTTPS Güvenliği ihlal edilmiş tek bir CA'nın bu birçok kullanıcıyı etkileyebileceği en zayıf bağlantı olasılığını ortadan kaldırmak için.[9][10]

şirket

DigiNotar'ın ana faaliyeti bir Sertifika yetkilisi, iki tür sertifika veren. İlk olarak, sertifikaları kendi adlarıyla yayınladılar (kök CA, "DigiNotar Kök CA" dır).[11] Emanet Sertifikalar Temmuz 2010'dan beri verilmemiştir, ancak bazıları Temmuz 2013'e kadar hala geçerlidir.[12][13] İkinci olarak, Hollanda hükümeti için sertifikalar verdiler. PKIoverheid ("PKIgovernment") programı. Bu ihraç, her biri iki "Staat der Nederlanden" kök CA'sından birine bağlı olan iki ara sertifika aracılığıyla gerçekleştirildi. Güvenli internet iletişimi için sertifika kullanmak isteyen hükümete hizmet sunan ulusal ve yerel Hollandalı yetkililer ve kuruluşlar böyle bir sertifika talep edebilir. Hollanda hükümetleri tarafından sunulan en çok kullanılan elektronik hizmetlerden bazıları DigiNotar sertifikalarını kullandı. Örnekler kimlik doğrulama altyapısıdır DigiD ve merkezi araç tescil kuruluşu RDW (Dienst Wegverkeer) [nl ].

DigiNotar'ın kök sertifikaları, tüm büyük web tarayıcılarının ve tüketici işletim sistemlerinin güvenilir kök listelerinden 29 Ağustos 2011'de veya civarında kaldırıldı;[14][15][16] "Staat der Nederlanden" kökleri başlangıçta korundu çünkü uzlaşıldıklarına inanılıyordu. Ancak, o zamandan beri iptal edildi.

Tarih

DigiNotar aslen 1998 yılında Hollandalılar tarafından kuruldu noter Dick Batenburg dan Beverwijk ve Koninklijke Notariële Beroepsorganisatie [nl ]Hollanda ulusal organı medeni hukuk noterleri. KNB, noterlere her türlü merkezi hizmeti sunmaktadır ve noterlerin sunduğu hizmetlerin çoğu resmi yasal prosedürler olduğundan, iletişimde güvenlik önemlidir. KNB, üyelerine işlerinde elektronik hizmetlerin nasıl uygulanacağı konusunda danışmanlık hizmetleri sundu; bu faaliyetlerden biri güvenli sertifikalar sunmaktı.

Dick Batenburg ve KNB, TTP'nin kısaltması olan TTP Notarissen (TTP Noterler) grubunu oluşturdu. güvenilir üçüncü şahıs. Bir noter, belirli kurallara uyması halinde TTP Notarissen'e üye olabilir. Eğitim ve çalışma prosedürlerine ilişkin ek kurallara uymaları halinde, akredite bir TTP Noteri olabilirler.[17]

DigiNotar birkaç yıldır genel amaçlı bir CA olmasına rağmen, yine de noterler ve diğer profesyoneller için pazarı hedefliyordu.

10 Ocak 2011'de şirket, VASCO Data Security International'a satıldı.[1] 20 Haziran 2011 tarihli bir VASCO basın açıklamasında, DigiNotar'ın sistemlerinde bir olay tespit etmesinden bir gün sonra[18] VASCO başkanı ve COO Jan Valcke, "DigiNotar'ın sertifikalarının bu alandaki en güvenilirler arasında olduğuna inanıyoruz."[19]

İflas

20 Eylül 2011'de Vasco, bağlı kuruluşu DigiNotar'ın başvuruda bulunduktan sonra iflas ettiğini açıkladı. gönüllü iflas -de Haarlem mahkeme. Derhal etkili olan mahkeme, alıcı, iflas sürecinden geçerken tüm DigiNotar'ın işlerinin yönetimini devralan mahkeme tarafından atanan bir kayyum tasfiye.[3][20]

Rapor yayınlamayı reddetme

küratör (mahkeme tarafından atanan makam) raporu istemedi ITSec DigiNotar'a yönelik ek iddialara yol açabileceğinden, yayınlanacak.[kaynak belirtilmeli ] Rapor, şirketin işleyiş şeklini ve iflasına yol açan 2011 saldırısının ayrıntılarını içeriyordu.[kaynak belirtilmeli ]

Rapor, Hollanda denetleme kurumunun talebi üzerine yapıldı OPTA ilk etapta raporu yayınlamayı reddedenler. İçinde bilgi Özgürlüğü (Islak openbaarheid van bestuur [nl ]) bir gazeteci tarafından başlatılan prosedür, alıcı mahkemeyi bu raporun yayınlanmasına izin vermemeye ikna etmeye ve OPTA'nın bunu yapmayı ilk reddettiğini teyit etmeye çalıştı.[21]

Raporun yayımlanması emredildi ve Ekim 2012'de kamuoyuna açıklandı. Sistemlerin neredeyse tamamen tehlikeye girdiğini gösteriyor.

Sahte sertifikaların verilmesi

10 Temmuz 2011'de, DigiNotar'ın sistemlerine erişimi olan bir saldırgan bir joker karakter sertifika için Google. Bu sertifika daha sonra bilinmeyen kişiler tarafından İran yapmak için ortadaki adam saldırısı Google hizmetlerine karşı.[22][23] 28 Ağustos 2011'de, birden çok bilgisayarda sertifika sorunları gözlemlendi. internet servis sağlayıcıları İran'da.[24] Dolandırıcılık sertifikası şurada yayınlandı: pastebin.[25] VASCO tarafından yapılan müteakip bir habere göre, DigiNotar, 19 Temmuz 2011'de sertifika yetkilisi altyapısına bir saldırı tespit etti.[26] DigiNotar o sırada güvenlik ihlalini kamuya açıklamadı.

Bu sertifika bulunduktan sonra, DigiNotar, geçtiğimiz günlerde, alan adları için sertifikalar da dahil olmak üzere düzinelerce sahte sertifikanın oluşturulduğunu kabul etti. Yahoo!, Mozilla, WordPress ve Tor Projesi.[27] DigiNotar, bu tür sertifikaların tamamının iptal edildi.[28] Google kara listeye alınmış 247 sertifika Krom,[29] ancak yanlış düzenlenen sertifikaların bilinen nihai toplamı en az 531'dir.[30] Tarafından soruşturma F-Secure Ayrıca, DigiNotar'ın web sitesinin 2009 yılında Türk ve İranlı hackerlar tarafından tahrif edildiğini ortaya çıkardı.[31]

Buna karşılık, Mozilla, DigiNotar kök sertifikasına olan güveni, tüm desteklenen sürümlerinde iptal etti. Firefox tarayıcı ve Microsoft DigiNotar kök sertifikasını, Microsoft Windows'un tüm desteklenen sürümlerinde tarayıcılarıyla birlikte güvenilir sertifikalar listesinden kaldırdı.[32][33] Krom / Google Chrome dolandırıcılığı tespit edebildi * .google.com sertifika, "sertifika sabitleme "güvenlik özelliği;[34] ancak bu koruma Google etki alanlarıyla sınırlıydı ve bu da Google'ın DigiNotar'ı güvenilir sertifika verenler listesinden çıkarmasıyla sonuçlandı.[22] Opera her zaman sertifikayı veren kuruluşun sertifika iptal listesini kontrol eder ve böylece başlangıçta bir güvenlik güncellemesine ihtiyaç duymadıklarını belirtirler.[35][36] Ancak, daha sonra kökü güven depolarından da kaldırmışlardır.[37] 9 Eylül 2011'de, elma 2011-005 Güvenlik Güncellemesi yayınlandı Mac OS X 10.6.8 ve 10.7.1, DigiNotar'ı güvenilir kök sertifikalar ve EV sertifika yetkilileri listesinden kaldırır.[38] Bu güncelleme olmadan, Safari ve Mac OS X, sertifikanın iptalini algılamaz ve kullanıcılar, Anahtarlık sertifikayı manuel olarak silmek için yardımcı program.[39] Apple, iOS 5'in piyasaya sürülmesiyle 13 Ekim 2011'e kadar iOS'a yama yapmadı.[40]

DigiNotar ayrıca, sertifikaların verilmesi için kullanılan bir ara sertifikayı da kontrol etti. Hollanda hükümeti ’S Açık Anahtar Altyapısı "PKIoverheid" programı, resmi Hollanda hükümeti sertifika yetkilisine (Staat der Nederlanden).[41] Bu ara sertifika iptal edildiğinde veya tarayıcılar tarafından güvenilmez olarak işaretlendiğinde, güven zinciri çünkü sertifikaları kırıldı ve servislere erişim zordu. kimlik yönetimi platform DigiD ve Vergi ve Gümrük İdaresi.[42] GOVCERT.NL [nl ], Hollandalı bilgisayar acil müdahale ekibi, başlangıçta PKIoverheid sertifikalarının güvenliğinin ihlal edildiğine inanmadıysa,[43] güvenlik uzmanları belirsiz olsa da.[28][44] Bu sertifikalar başlangıçta güvenlik ihlali nedeniyle tehlikeye atılmadığı düşünüldüğünden, Hollanda makamlarının talebi üzerine güvenin kaldırılmasından muaf tutuldular.[41][45] - ikisinden biri olmasına rağmen, aktif "Staat der Nederlanden - G2" kök sertifikası Mozilla mühendisleri tarafından gözden kaçırıldı ve yanlışlıkla Firefox yapısına güvenilmedi.[46] Ancak, bu değerlendirme Hollanda hükümeti tarafından yapılan bir denetimin ardından iptal edildi ve "Staat der Nederlanden" hiyerarşisindeki DigiNotar kontrollü ara ürünler de bir sonraki güvenlik güncellemesinde Mozilla ve ayrıca diğer tarayıcı üreticileri tarafından kara listeye alındı.[47] Hollanda hükümeti 3 Eylül 2011'de sertifika yetkilisi olarak farklı bir firmaya geçeceklerini duyurdu.[48]

Hollanda hükümeti tarafından atılan adımlar

DigiNotar kontrollü ara sertifika kapsamındaki sertifikaların, PKIoverheid hiyerarşi etkilenmedi, Fox-IT danışmanlığı adlı harici bir tarafın daha fazla araştırması, bu makinelerde hacker faaliyetinin kanıtlarını da gösterdi. Sonuç olarak, Hollanda hükümeti 3 Eylül 2011'de, hiçbir şeyin yanlış olmadığına dair önceki açıklamasını geri çekmeye karar verdi.[49] (Fox-IT müfettişleri olaya "Kara Lale Operasyonu" adını verdiler.[50]Fox-IT raporu, saldırının ana kurbanları olarak 300.000 İran Gmail hesabını tanımladı.[4]

DigiNotar, PKIoverheid'deki mevcut CA'lardan yalnızca biriydi, bu nedenle Hollanda hükümeti tarafından kökleri altında kullanılan tüm sertifikalar etkilenmedi. Hollanda hükümeti DigiNotar'a olan güvenini kaybettiğine karar verdiğinde, düzenli bir geçişi yönetmek için şirketin ara sertifikasının kontrolünü geri aldı ve güvenilmeyen sertifikaları diğer sağlayıcılardan birinin yenileriyle değiştirdiler.[49] Artık çok kullanılan DigiD platformu[ne zaman? ] tarafından verilen bir sertifikayı kullanır Getronics PinkRoccade Nederland B.V.[51] Hollanda hükümetine göre, DigiNotar onlara bu prosedürlerle tam işbirliği yaptı.

DigiNotar'daki güvenin kaldırılmasından sonra, artık dört Sertifikasyon Hizmet Sağlayıcıları (CSP) altında sertifika verebilen PKIoverheid hiyerarşi:[52]

Dört şirketin tamamı özel yardım masaları açtı ve / veya DigiNotar'dan bir PKIoverheid sertifikasına sahip kuruluşların kalan dört sağlayıcıdan birinden yeni bir sertifika talep edebileceklerine dair web sitelerinde bilgi yayınladılar.[53][54][55][56]

Ayrıca bakınız

Referanslar

  1. ^ a b "VASCO Data Security International, Inc., Hollanda'da İnternet güven hizmetlerinde pazar lideri olan DigiNotar B.V.'yi satın aldığını duyurdu" (Basın bülteni). VASCO. 10 Ocak 2011. Arşivlenen orijinal 17 Eylül 2011. Alındı 31 Ağustos 2011.
  2. ^ Web Sitesi Govcert Bilgi formu keşif sahte sertifikaları. Erişim tarihi: Eylül 6, 2011.
  3. ^ a b "VASCO, DigiNotar B.V.'nin İflas Dosyasını Duyurdu" (Basın bülteni). VASCO Veri Güvenliği Uluslararası. 20 Eylül 2011. Arşivlenen orijinal 23 Eylül 2011. Alındı 20 Eylül 2011.
  4. ^ a b Gregg Keizer (6 Eylül 2011). "Bilgisayar korsanları, sahte Google sertifikası kullanarak 300.000 İranlıyı izledi". Bilgisayar Dünyası. Alındı 24 Ocak 2014.
  5. ^ "Yeni NSA Sızıntısı Başlıca İnternet Hizmetlerine Karşı Ortadaki Adam Saldırılarını Gösteriyor". 13 Eylül 2013. Alındı 14 Eylül 2013.
  6. ^ Rouwhorst, Koen (14 Eylül 2013). "Hayır, NSA, DigiNotar saldırısının arkasında değildi". Alındı 19 Kasım 2013.
  7. ^ "Comodo hacker'ı DigiNotar saldırısı için hak iddia ediyor". PC World Avustralya. 6 Eylül 2011. Alındı 24 Ocak 2014.
  8. ^ Bright, Peter (6 Eylül 2011). "Comodo hacker: DigiNotar'ı da hackledim; diğer CA'lar ihlal edildi". Ars Technica.
  9. ^ https://www.enisa.europa.eu/media/news-items/operation-black-tulip
  10. ^ "Zincirdeki en zayıf halka: SSL sertifika yetkilisi sistemindeki güvenlik açıkları ve bunlar hakkında ne yapılmalı. Sivil Toplum ve Ticari İşletme için DigiNotar ihlalinin Sonuçlarına İlişkin Erişim Politikası Özeti" (PDF).
  11. ^ "Overzicht actuele rootcertificaten" [Mevcut kök sertifikalara ilişkin anket] (Hollandaca). DigiNotar. Arşivlenen orijinal 31 Ağustos 2011. Alındı 12 Eylül 2011.
  12. ^ "Diginotar ile ilgili emanet". Ssl.entrust.net. 14 Eylül 2011. Arşivlenen orijinal 2 Nisan 2012. Alındı 1 Şubat, 2012.
  13. ^ Emanet zinciri altında bir Diginotar sertifikasının baskı ekranı
  14. ^ "Microsoft Güvenlik Danışma Belgesi 2607712". technet.microsoft.com. Alındı 16 Haziran 2016.
  15. ^ "Ortadaki adam saldırılarına yönelik bir güncelleme". Google Çevrimiçi Güvenlik Blogu. Alındı 16 Haziran 2016.
  16. ^ "Sahte * .google.com Sertifikası". Mozilla Güvenlik Blogu. Alındı 16 Haziran 2016.
  17. ^ Diginotar web sitesi TTP Noterissen Arşivlendi 31 Ağustos 2011, Wayback Makinesi.
  18. ^ FOX-IT Ara Raporu, v1.0 (ancak herhangi bir sertifika yanlış yayınlanmadan önce), Zaman Çizelgesi, sayfa 13. Erişim tarihi: 5 Eylül 2011.
  19. ^ "VASCO Global SSL-Sertifika Pazarıyla Mücadele Ediyor". MarketWatch. 20 Haziran 2011.
  20. ^ Haarlem Basın Bülteni DigiNotar, 20 Eylül 2011. Erişim tarihi: 27 Eylül 2011.
  21. ^ Haber sitesi nu.nl: Alıcı daha fazla iddiadan korkuyor (Hollandaca), 22 Haziran 2012. Ziyaret: 25 Haziran 2012.
  22. ^ a b Heather Adkins (29 Ağustos 2011). "Ortadaki adam saldırılarına yönelik bir güncelleme". Google. Alındı 30 Ağustos 2011.
  23. ^ Elinor Mills. "Sahte Google sertifikası İnternet saldırısına işaret ediyor". CNET, 8/29/2011.
  24. ^ Charles Arthur (30 Ağustos 2011). "Sahte web sertifikası İran muhaliflerine saldırmak için kullanılabilirdi". Gardiyan. Alındı 30 Ağustos 2011.
  25. ^ "Sahte sertifika, yazılım şirketlerinin engellenmesini tetikliyor". Heise Media UK Ltd. 30 Ağustos 2011. Arşivlenen orijinal 28 Nisan 2012.
  26. ^ "DigiNotar güvenlik olayını bildiriyor". VASCO Veri Güvenliği Uluslararası. 30 Ağustos 2011. Arşivlenen orijinal 31 Ağustos 2011. Alındı 1 Eylül, 2011.
  27. ^ "Mogelijk nepsoftware verspreid naast aftappen Gmail". Sanoma Media Hollanda sopası. 31 Ağustos 2011.
  28. ^ a b "DigiNotar: omloop'ta sertifikalı mogelijk nog valse". IDG Nederland. 31 Ağustos 2011.
  29. ^ Keizer, Gregg (31 Ağustos 2011). "Bilgisayar korsanları 200'den fazla SSL sertifikası çalmış olabilir". F-Secure.
  30. ^ Markham, Gervase (4 Eylül 2011). "Güncellenmiş DigiNotar CN Listesi".
  31. ^ Hypponen, Mikko (30 Ağustos 2011). "DigiNotar Black.Spook ve İranlı Hackerlar Tarafından Hacklendi".
  32. ^ "Sahte Dijital Sertifikalar Adres Sahteciliğine İzin Verebilir". Microsoft Güvenlik Danışma Belgesi (2607712). Microsoft. 29 Ağustos 2011. Alındı 30 Ağustos 2011.
  33. ^ Johnathan Nightingale (29 Ağustos 2011). "Sahte * .google.com Sertifikası". Mozilla Güvenlik Blogu. Mozilla. Alındı 30 Ağustos 2011.
  34. ^ "DigiNotar Güvenlik İhlalinin Qt Kullanıcıları İçin Anlamı". MeeGo Uzmanlar. 10 Eylül 2011. Arşivlenen orijinal 24 Mart 2012. Alındı 13 Eylül 2011.
  35. ^ "Opera 11.51 yayınlandı". Opera Yazılımı. 30 Ağustos 2011.
  36. ^ Vik, Sigbjørn (30 Ağustos 2011). "Sertifika Yetkilileri Saldırıya Uğradığında". Opera Yazılımı.
  37. ^ "DigiNotar İkinci Adım: Kökü Kara Listeye Alma". Opera Yazılımı. 8 Eylül 2011.
  38. ^ "Güvenlik Güncellemesi 2011-005 Hakkında". Elma. 9 Eylül 2011. Alındı 9 Eylül 2011.
  39. ^ "Safari kullanıcıları, sahte DigiNotar sertifikaları kullanan saldırılara hâlâ duyarlıdır". Ars Technica. 1 Eylül 2011. Alındı 1 Eylül, 2011.
  40. ^ "İOS 5 Yazılım Güncellemesinin güvenlik içeriği hakkında". Elma. 13 Ekim 2011. Alındı 13 Ekim 2014.
  41. ^ a b Johnathan Nightingale (2 Eylül 2011). "DigiNotar Kaldırma Takibi". Mozilla Güvenlik Blogu. Alındı 4 Eylül 2011.
  42. ^ Schellevis, Joost (30 Ağustos 2011). "Firefox vertrouwt certificaat DigiD niet meer". Tweakers.net (flemenkçede).
  43. ^ "Frauduleus uitgegeven beveiligingscertificaat". 30 Ağustos 2011.
  44. ^ Schellevis, Joost (31 Ağustos 2011). "Overheid vertrouwt blunderende ssl-autoriteit". Tweakers.net (flemenkçede).
  45. ^ Schellevis, Joost (31 Ağustos 2011). "Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid". Tweakers.net (flemenkçede).
  46. ^ "Bugzilla @ Mozilla - Bug 683449 - Staat der Nederlanden kökü için muafiyetleri kaldırın". Alındı 5 Eylül 2011.
  47. ^ Gervase Markham (3 Eylül 2011). "DigiNotar Uzlaşması". Alındı 3 Eylül 2011.
  48. ^ "Hollanda hükümeti web sitelerinin güvenliği tehlikede". Radyo Hollanda Dünya Çapında. 3 Eylül 2011. Arşivlenen orijinal 27 Eylül 2011. Alındı 3 Eylül 2011.
  49. ^ a b Haber bülteni Hollanda Hükümeti: Diginotar op de certificaten van Overheid zegt vertrouwen Arşivlendi 17 Ekim 2011, Wayback Makinesi, 3 Eylül 2011. Erişim tarihi: 5 Eylül 2011.
  50. ^ Charette, Robert (9 Eylül 2011). "DigiNotar Sertifika Yetkilisi İhlali Hollanda'da e-Devleti Çöküyor - IEEE Spectrum". Spectrum.ieee.org. Alındı 24 Ocak 2014.
  51. ^ Sertifikayı gör DigiD hesabı talep edin[kalıcı ölü bağlantı ]. Erişim tarihi: Eylül 5, 2011.
  52. ^ Web sitesi Logius:Sertifikaların Değiştirilmesi. Erişim tarihi: Eylül 5, 2011.
  53. ^ a b "PKIoverheid SSL". Arşivlenen orijinal 12 Temmuz 2012.
  54. ^ a b PKIOverheids sertifikaları Arşivlendi 10 Ekim 2011, Wayback Makinesi. Erişim tarihi: Eylül 5, 2011.
  55. ^ a b Quovadis'in web sitesi Hollanda ofisi PKIOverheid. Erişim tarihi: Eylül 5, 2011.
  56. ^ Getronics Web Sitesi PKIOverheid sertifikası talep ediliyor Arşivlendi 10 Ekim 2011, Archive.today. Erişim tarihi: Eylül 5, 2011.

daha fazla okuma

Dış bağlantılar