In den letzten Monaten hat sich rund um
DarkMatter eine wahrhaft detektivische Geschichte
entwickelt , die
beantragt hat , ihre Zertifizierungsstelle in den vertrauenswürdigen
Stammzertifikatspeicher von Mozilla aufzunehmen. Tatsache ist, dass dies kein einfaches Unternehmen ist, sondern ein Entwickler von "Spyware" -Software aus den VAE. Sie wurde zuvor
gesehen, wie sie 0-Tage-Exploits kaufte . Im Prinzip ist dies kein Verbrechen an sich. Viele Unternehmen, einschließlich russischer, entwickeln Hacker-Tools mit 0day. Sie verkaufen diese Programme beispielsweise an Strafverfolgungsbehörden, um Telefone zu hacken (forensisches Fachwissen) oder versteckte Trojaner zu installieren (Betriebsüberwachung). Aber allgemein anerkannte Regeln sind so, dass Hackerfirmen nur mit demokratischen Regierungen zusammenarbeiten, das heißt, sie stehen "auf der Seite des Guten".
Die Leidenschaften eskalierten im Februar 2019, als eine
Reuters-Untersuchung ergab, dass DarkMatter Software an repressive Regime im Nahen Osten verkaufte.
Mozilla geriet sofort
unter Druck .
Mozillas vertrauenswürdiger Stammzertifikatsspeicher wird auch von einigen Linux-Distributionen verwendet. Viele befürchteten, dass DarkMatter im Mozilla Root Store TLS-Zertifikate ausstellen würde, mit denen der Internetverkehr der Benutzer abgefangen werden kann. Solche Fälle gab es bereits in Ländern mit repressiven Regimen, obwohl DarkMatter behauptet, nie an solchen Operationen teilgenommen zu haben. Das Problem könnte zwar jetzt nur bestimmte Linux-Systeme betreffen, aber es ist Linux, das auf den Servern von Cloud-Anbietern läuft und in Rechenzentren bereitgestellt wird. Bei der
Erörterung der Situation in Google Groups versicherten Vertreter von DarkMatter, dass sie so etwas niemals tun würden.
Gleichzeitig wurden DarkMatter-Zertifikate geprüft. Und eine Seltsamkeit wurde schnell entdeckt: Für sequentielle Zertifikatsnummern wurden Zufallszahlen aus dem 63-Bit-Bereich anstelle von 64-Bit verwendet, wie es der Spezifikation entsprechen sollte. Dies verstößt gegen die Mindestanforderungen an die Entropie im CA / B-Forum (64 Bit). Daher hatte Mozilla formelle Gründe, die Aufnahme von „Spionen“ in den vertrauenswürdigen Zertifikatspeicher abzulehnen.
Es stellte sich jedoch heraus, dass ein solcher Verstoß nicht nur von DarkMatter begangen wurde, sondern auch von einem Dutzend Zertifizierungszentren, darunter GoDaddy, Apple und Google. Der Grund dafür ist, dass alle betroffenen Zertifizierungsstellen die beliebte Open-Source-EJBCA-PKI-Lösung mit den falschen Einstellungen verwendeten.
Der Massenrückruf von führenden Zentren hat begonnen. Der Vorgang dauerte aufgrund der großen Anzahl von Zertifikaten lange (bis zu 30 Tage). Sie mussten gegen RFC5280 verstoßen, der verpflichtet, ungültige Zertifikate innerhalb von fünf Tagen zu widerrufen. Infolgedessen wurden Schätzungen zufolge mehrere Millionen Stück zurückgerufen.
So hat das Spionageunternehmen DarkMatter gute Arbeit geleistet: Es hat dazu beigetragen, eine schwerwiegende kryptografische Sicherheitslücke zu erkennen. Aber sie selbst war verletzt. Tatsächlich haben die Vorwürfe einer Reuters-Untersuchung keine ernsthafte Grundlage: Vielleicht ist dies nur die Spekulation eines Journalisten. Ihr Antrag auf Aufnahme in den vertrauenswürdigen Stammspeicher von Mozilla wurde jedoch bereits abgelehnt, weshalb die Unternehmensvertreter
aufrichtig empört sind . Und einige stimmen ihnen zu.
„Eine seltsame Situation. Einerseits wird eine Ablehnung des Antrags von DarkMatter auf der Grundlage dieser Artikel in der Presse einen Präzedenzfall dafür schaffen, die offensichtliche Gewissenhaftigkeit eines Mitglieds der Branche nur aufgrund von Gerüchten und ohne Beweise abzulehnen, schreibt ein bekannter Sicherheitsspezialist, Nadim Kobeissi. "Auf der anderen Seite riskieren wir durch die Entscheidung, in gutem Glauben, transparent und anhand von Fakten zu handeln, langfristig das Risiko, das Vertrauen der Öffentlichkeit in den Prozess der Einbeziehung von Zertifizierungsstellen zu untergraben."
Es scheint mir wirklich, dass beide Entscheidungen nachteilig sein werden. Im ersten Fall wird dies diskriminierend (und sogar ein bisschen fremdenfeindlich) aussehen ... und im zweiten Fall wird es eine ernsthafte Wolke von Unsicherheit über die Sicherheit des Stammverzeichnisses der gesamten Zertifizierungsstelle geben. Und ich weiß nicht einmal, wie jemand es zumindest eines Tages zerstreuen kann.
Als externer Beobachter weiß ich im Moment aufrichtig nicht, was ich mit Mozilla machen soll ...
Tatsächlich möchte ich, dass ernsthafte Beweise gegen die Dunkle Materie veröffentlicht werden (falls vorhanden). Sie würden Mozilla helfen, eine starke Verteidigungsposition einzunehmen. "
Experten aus der SSL / PKI-Branche zufolge zeigt der plötzliche Widerruf von Zertifikaten auch die wichtige Rolle der Automatisierung bei der Verwaltung von Unternehmenszertifikaten. Schließlich können Sie aufgrund eines solchen kritischen Ereignisses jederzeit ein Zertifikat widerrufen.
Nun, wenn dies ein Zertifikat auf einem Server ist, das Problem jedoch ernst wird, wenn Sie Hunderte von Zertifikaten auf IoT-Geräten sofort widerrufen haben. Und wenn es Tausende von Geräten sind, Zehntausende? Um dieses Problem zu lösen, hat GlobalSign eine Technologiepartnerschaftsvereinbarung mit
Xage Security geschlossen . Es wird das automatische Zertifikatverwaltungssystem der
IoT Identity Platform implementieren, mit dem 3000 Zertifikate pro Sekunde ausgestellt werden können.
Schließen Sie sich heute Entwicklern und Innovatoren im Bereich des Internet der Dinge an und verwalten Sie verschiedene
PKI-basierte IoT-Geräte mit GlobalSign-Lösungen .
Benötigen Sie weitere Informationen? Wir beraten Sie gerne telefonisch unter +7 499-678-2210.