最近几个月,围绕
DarkMatter展开了一个真正的侦探故事,该事件
已申请将其证书颁发机构包括在Mozilla的受信任的根证书存储中。 事实是,这不是一家简单的公司,而是阿联酋“间谍软件”软件的开发商。 以前曾
见过她
购买0day漏洞 。 原则上,这本身不是犯罪。 许多公司,包括俄罗斯的公司,都在使用0day来开发黑客工具。 他们将这些程序出售给执法机构,例如用于窃取电话(法医专业知识)或隐藏安装的特洛伊木马程序(运行监视)。 但是,普遍接受的规则是,黑客公司只能与民主政府合作,也就是说,它们“站在善方”。
在
路透社调查显示DarkMatter正在向中东的压制政权出售软件时,热情在2019年2月升级。
Mozilla立即
受到压力 。
一些Linux发行版也使用Mozilla的受信任的根证书存储。 许多人担心,一旦进入Mozilla根存储,DarkMatter将开始发行TLS证书,该证书可用于拦截用户的Internet流量。 尽管DarkMatter声称从未参与过此类行动,但此类案件已经存在于实行压制的国家。 尽管现在该问题可能仅影响某些Linux系统,但是运行在云提供商的服务器上并部署在数据中心中的是Linux。 在
讨论Google网上论坛的情况时 ,DarkMatter代表保证说他们永远不会做类似的事情。
同时,对DarkMatter证书进行了审查。 很快就发现了一个奇怪的地方:对于连续的证书编号,使用63位空间中的随机数代替了64位,这是根据规范的要求。 这违反了CA / B Forum的最低熵要求(64位)。 因此,Mozilla有正式的理由拒绝“间谍”包含在受信任的证书存储中。
但是,事实证明,这种违反不仅是由DarkMatter造成的,而且是由GoDaddy,Apple和Google等十几个认证中心实施的。 原因是所有受影响的CA均使用了错误设置的流行开源EJBCA PKI解决方案。
领先中心的
大规模召回行动已经开始。 由于证书数量巨大,该过程花费了很长时间(最多30天)。 他们必须违反RFC5280,后者有义务在五天内撤销无效证书。 结果,据一些估计,召回了几百万件。
这就是DarkMatter间谍公司的出色表现:它帮助检测到严重的加密漏洞。 但是她自己很受伤。 实际上,路透社调查的指控没有充分的依据:也许这仅仅是新闻记者的推测。 但是,她要求将其包含在Mozilla受信任的根存储中的申请已被拒绝,这就是为什么公司代表对此表示
由衷的愤怒 。 有些人同意。
“一个奇怪的情况。 一方面,根据新闻界对这些文章的拒绝,DarkMatter的应用将为拒绝仅凭谣言而没有证据的行业成员的明显尽职调查开创先例。 -另一方面,我们决定以真诚,透明和事实依据的方式行事,但实际上,我们冒着长期损害公众对纳入CA的信心的风险。
在我看来,这两个决定都是有害的。 在第一种情况下,这看起来具有歧视性(甚至有点排外)……在第二种情况下,整个CA的根目录的安全性将存在严重的不确定性。 而且我什至不知道任何人至少有一天能消除它。
作为外部观察者,我真心地不知道该怎么办Mozilla ...
实际上,我希望发布有关DarkMatter的严肃证据(如果存在)。 他们将帮助Mozilla采取强有力的防御立场。”
SSL / PKI行业的专家认为,证书的突然撤销还证明了自动化在管理公司证书中的重要作用。 毕竟,实际上,由于此类严重事件,您可能随时被吊销证书。
如果在一台服务器上使用证书是很好的,但是如果您立即撤销了IoT设备上的数百个证书,问题将变得很严重。 如果是成千上万的设备,那么数以万计? 为了解决这个问题,GlobalSign与
Xage Security签订了技术合作协议。 它将实施
IoT Identity Platform自动证书管理系统,该系统能够每秒发布3000个证书。
立即加入,
物联网领域的开发人员,创新者,并
使用GlobalSign解决方案管理各种
基于PKI的IoT设备 。
需要更多信息吗? 我们很乐意通过电话+7 499-678-2210为您提供建议。