Une histoire vraiment détective s'est déroulée ces derniers mois autour de
DarkMatter , qui
a demandé à inclure son autorité de certification dans le magasin de certificats racine de confiance de Mozilla. Le fait est que ce n'est pas une simple entreprise, mais un développeur de logiciels "espions" des EAU. Elle avait déjà été
vue en train d'acheter des exploits 0day . En principe, ce n'est pas un crime en soi. De nombreuses entreprises, y compris russes, développent des outils de piratage à l'aide de 0day. Ils vendent ces programmes, par exemple, aux services répressifs pour le piratage de téléphones (expertise médico-légale) ou l'installation cachée de chevaux de Troie (surveillance opérationnelle). Mais les règles généralement acceptées sont telles que les entreprises de hackers ne coopèrent qu'avec des gouvernements démocratiques, c'est-à-dire qu'elles sont «du côté du bien».
Les passions se sont intensifiées en février 2019 lorsqu'une
enquête Reuters a révélé que DarkMatter vendait des logiciels à des régimes répressifs au Moyen-Orient.
Mozilla est instantanément
sous pression .
Le magasin de certificats racine de confiance de Mozilla est également utilisé par certaines distributions Linux. Beaucoup craignaient qu'une fois dans le magasin racine de Mozilla, DarkMatter commence à émettre des certificats TLS, qui peuvent être utilisés pour intercepter le trafic Internet des utilisateurs. De tels cas se sont déjà produits dans des pays à régimes répressifs, bien que DarkMatter affirme n'avoir jamais participé à de telles opérations. Bien que maintenant, le problème ne puisse affecter que certains systèmes Linux, mais c'est Linux qui s'exécute sur les serveurs des fournisseurs de cloud et est déployé dans les centres de données. En
discutant de la situation sur Google Groupes , les représentants de DarkMatter ont assuré qu'ils n'allaient jamais faire quelque chose comme ça.
Dans le même temps, les certificats DarkMatter ont été examinés. Et une étrangeté a été rapidement découverte: pour les numéros de certificats séquentiels, des nombres aléatoires provenant d'un espace de 63 bits ont été utilisés au lieu de 64 bits, comme il se doit selon la spécification. Cela viole les exigences d'entropie minimales du forum CA / B (64 bits). Ainsi, Mozilla avait des raisons formelles de refuser que des «espions» soient inclus dans le magasin de certificats de confiance.
Cependant, il s'est avéré qu'une telle violation a été commise non seulement par DarkMatter, mais avec une douzaine de centres de certification, dont GoDaddy, Apple et Google. La raison en est que toutes les autorités de certification concernées ont utilisé la populaire solution open source EJBCA PKI avec les mauvais paramètres.
Le rappel de
masse des principaux centres a commencé. La procédure a pris beaucoup de temps (jusqu'à 30 jours) en raison du grand nombre de certificats. Ils ont dû violer la RFC5280, qui oblige à révoquer les certificats invalides dans les cinq jours. En conséquence, selon certaines estimations, plusieurs millions de pièces ont été rappelées.
C'est ainsi que la société d'espionnage DarkMatter a fait du bon travail: elle a aidé à détecter une grave vulnérabilité cryptographique. Mais elle-même a été blessée. En fait, les allégations d'une enquête Reuters n'ont aucun fondement sérieux: ce n'est peut-être que la spéculation d'un journaliste. Cependant, sa demande d'inclusion dans le stockage racine de confiance de Mozilla a déjà été rejetée, c'est pourquoi les représentants de l'entreprise sont
sincèrement scandalisés . Et certains sont d'accord avec eux.
«Une situation étrange. D'une part, un refus de la candidature de DarkMatter sur la base de ces articles dans la presse créera un précédent pour refuser la conscience évidente d'un membre de l'industrie basée uniquement sur des rumeurs et sans preuves », écrit Nadim Kobeissi, un spécialiste de la sécurité bien connu. «D'un autre côté, en décidant d'agir de bonne foi, de manière transparente et sur la base d'éléments factuels, nous risquons en réalité à long terme de saper la confiance du public dans le processus d'incorporation des autorités de certification.»
Il me semble vraiment que les deux décisions seront préjudiciables. Dans le premier cas, cela semblera discriminatoire (et même un peu xénophobe) ... et dans le second, il y aura un sérieux nuage d'incertitude sur la sécurité du répertoire racine de l'AC dans son ensemble. Et je ne sais même pas comment quelqu'un peut au moins un jour le dissiper.
En tant qu'observateur extérieur, je ne sais sincèrement pas quoi faire de Mozilla pour le moment ...
En fait, j'aimerais que des preuves sérieuses contre le DarkMatter soient publiées (si elles existent). Ils aideraient Mozilla à prendre une position défensive forte. "
Selon
des experts de l'industrie SSL / PKI, la révocation soudaine de certificats démontre également le rôle important de l'automatisation dans la gestion des certificats d'entreprise. Après tout, en fait, vous pouvez être révoqué à tout moment en raison d'un événement critique.
C'est bien s'il s'agit d'un certificat sur un serveur, mais le problème devient grave si vous avez des centaines de certificats sur les appareils IoT révoqués instantanément. Et si c'est des milliers d'appareils, des dizaines de milliers? Pour résoudre ce problème, GlobalSign a conclu un accord de partenariat technologique avec
Xage Security . Il implémentera le système de gestion automatique des certificats
IoT Identity Platform , capable d'émettre 3000 certificats par seconde.
Rejoignez aujourd'hui des développeurs, des innovateurs dans le domaine de l'Internet des objets et gérez divers
appareils IoT basés sur PKI avec les solutions GlobalSign .
Besoin de plus d'informations? Nous sommes toujours heureux de vous conseiller par téléphone au +7 499-678-2210.