DigiNotar

DigiNotar BV
Typ Dotterbolag till ett börsnoterat företag
Industri Internet säkerhet
Grundad 1998 ( 1998 )
Grundare Dick Batenburg
Nedlagd 20 september 2011 ( 2011-09-20 )
Öde förvärvades av VASCO Data Security International, Inc. 2010; försattes i konkurs 2011
Huvudkontor
Beverwijk
,
Nederländerna
Produkter Certifikat för offentliga nyckel
Tjänster Certifikatmyndighet
Ägare VASCO Data Security International
Hemsida www .diginotar .nl

DigiNotar var en holländsk certifikatmyndighet som ägs av VASCO Data Security International, Inc. Den 3 september 2011, efter att det hade blivit klart att ett säkerhetsbrott hade resulterat i bedräglig utfärdande av certifikat , tog den holländska regeringen över den operativa förvaltningen av DigiNotars system. Samma månad försattes företaget i konkurs.

En utredning av hackningen av den holländska regeringens utsedda Fox-IT-konsultföretaget identifierade 300 000 iranska Gmail- användare som huvudmålet för hacket (inriktat senare med man-i-mitten- attacker), och misstänkte att den iranska regeringen låg bakom hacket . Även om ingen har anklagats för inbrott och kompromiss med certifikaten (från och med 2013), säger kryptografen Bruce Schneier att attacken kan ha varit "antingen ett arbete av NSA eller utnyttjat av NSA." Detta har dock ifrågasatts, med andra som säger att NSA bara hade upptäckt en utländsk underrättelsetjänst som använde de falska certifikaten. Hacket har också hävdats av den så kallade Comodohackaren, påstås en 21-årig iransk student, som också påstod sig ha hackat fyra andra certifikatmyndigheter, inklusive Comodo, ett påstående som F-Secure funnit rimligt, även om det inte förklarar fullständigt . hur det ledde till den efterföljande "omfattande avlyssningen av iranska medborgare".

Efter att mer än 500 falska DigiNotar-certifikat hittades, reagerade stora webbläsartillverkare genom att svartlista alla DigiNotar-certifikat. Incidentens omfattning användes av vissa organisationer som ENISA och AccessNow.org för att kräva en djupare reform av HTTPS för att ta bort den svagaste länkmöjligheten att en enda komprometterad CA kan påverka så många användare.

Företag

DigiNotars huvudsakliga verksamhet var som certifikatutfärdare , utfärdande av två typer av certifikat. Först utfärdade de certifikat under sitt eget namn (där rot-CA var "DigiNotar Root CA"). Entrust- certifikat har inte utfärdats sedan juli 2010, men vissa var fortfarande giltiga fram till juli 2013. För det andra utfärdade de certifikat för den holländska regeringens PKIoverheid ("PKIgovernment")-program. Denna utfärdande skedde via två mellanliggande certifikat, som vart och ett var kopplat till en av de två "Staat der Nederlanden" rot-CA:erna. Nationella och lokala nederländska myndigheter och organisationer som erbjuder tjänster för regeringen som vill använda certifikat för säker internetkommunikation kan begära ett sådant certifikat. Några av de mest använda elektroniska tjänsterna som erbjuds av holländska regeringar använde certifikat från DigiNotar. Exempel var autentiseringsinfrastrukturen DigiD och den centrala bilregistreringsorganisationen Netherlands Vehicle Authority [ nl ] (RDW).

DigiNotars rotcertifikat togs bort från de betrodda rotlistorna för alla större webbläsare och konsumentoperativsystem på eller runt den 29 augusti 2011; "Staat der Nederlanden"-rötterna behölls till en början eftersom de inte ansågs äventyras. De har dock sedan dess återkallats.

Historia

DigiNotar inrättades ursprungligen 1998 av den holländska notarie Dick Batenburg från Beverwijk och Koninklijke Notariële Beroepsorganisatie [ nl ] , det nationella organet för nederländska civilrättsnotarier . KNB erbjuder alla typer av centrala tjänster till notarier, och eftersom många av de tjänster som notarier erbjuder är officiella juridiska förfaranden, är säkerheten i kommunikationen viktig. KNB erbjöd rådgivning till sina medlemmar om hur man implementerar elektroniska tjänster i sin verksamhet; en av dessa aktiviteter var att erbjuda säkra certifikat.

Dick Batenburg och KNB bildade gruppen TTP Notarissen (TTP Notaries), där TTP står för betrodd tredje part . En notarie kan bli medlem i TTP Notarissen om de följer vissa regler. Om de följer ytterligare regler om utbildning och arbetsrutiner kan de bli en ackrediterad TTP-notarie.

Även om DigiNotar hade varit en CA för allmänna ändamål i flera år, riktade de sig fortfarande mot marknaden för notarier och andra yrkesverksamma.

Den 10 januari 2011 såldes företaget till VASCO Data Security International. I ett pressmeddelande från VASCO daterat den 20 juni 2011, en dag efter att DigiNotar först upptäckte en incident på deras system , citeras VASCO:s VD och COO Jan Valcke som säger "Vi tror att DigiNotars certifikat är bland de mest tillförlitliga på området."

Konkurs

Den 20 september 2011 meddelade Vasco att dess dotterbolag DigiNotar försattes i konkurs efter att ha ansökt om frivillig konkurs vid domstolen i Haarlem . Med omedelbar verkan utsåg domstolen en konkursförvaltare , en av domstol utsedd förvaltare som tar över förvaltningen av DigiNotars alla angelägenheter när den går vidare genom konkursprocessen till likvidation .

Vägran att publicera rapporten

Kuratorn (domstolsutsedd konkursförvaltare) ville inte att rapporten från ITSec skulle publiceras, eftersom det kan leda till ytterligare anspråk gentemot DigiNotar . [ citat behövs ] Rapporten täckte hur företaget fungerade och detaljer om hacket 2011 som ledde till dess konkurs. [ citat behövs ]

Rapporten gjordes på begäran av den holländska tillsynsmyndigheten OPTA som vägrade att publicera rapporten från början. I ett för informationsfrihet ( Wet openbaarheid van bestuur [ nl ] ) som inletts av en journalist försökte mottagaren övertyga domstolen om att inte tillåta publicering av denna rapport och bekräfta OPTA:s ursprungliga vägran att göra det.

Rapporten beordrades att släppas och offentliggjordes i oktober 2012. Den visar en nästan total kompromiss av systemen.

Utfärdande av bedrägliga certifikat

Den 10 juli 2011 utfärdade en angripare med tillgång till DigiNotars system ett jokerteckencertifikat för Google . Detta certifikat användes senare av okända personer i Iran för att utföra en man-i-mitten-attack mot Googles tjänster. Den 28 augusti 2011 observerades certifikatproblem hos flera internetleverantörer i Iran. Bedrägliga intyget lades ut på Pastebin . Enligt ett efterföljande pressmeddelande från VASCO, hade DigiNotar upptäckt ett intrång i dess certifikatutfärdares infrastruktur den 19 juli 2011. DigiNotar avslöjade inte offentligt säkerhetsintrånget vid den tidpunkten.

Efter att detta certifikat hittades, erkände DigiNotar sent att dussintals bedrägliga certifikat hade skapats, inklusive certifikat för domänerna i Yahoo! , Mozilla , WordPress och The Tor Project . DigiNotar kunde inte garantera att alla sådana certifikat hade återkallats . Google svartlistade 247 certifikat i Chromium , men den slutliga kända summan av felaktigt utfärdade certifikat är minst 531. En undersökning av F-Secure avslöjade också att DigiNotars webbplats hade förstörts av turkiska och iranska hackare 2009.

Som en reaktion återkallade Mozilla förtroendet för DigiNotar-rotcertifikatet i alla versioner av sin Firefox -webbläsare som stöds och Microsoft tog bort DigiNotar-rotcertifikatet från sin lista över betrodda certifikat med sina webbläsare på alla versioner av Microsoft Windows som stöds. Chromium / Google Chrome kunde upptäcka det bedrägliga *.google.com -certifikatet, på grund av säkerhetsfunktionen " certifikatfäste" ; dock var detta skydd begränsat till Google-domäner, vilket resulterade i att Google tog bort DigiNotar från sin lista över betrodda certifikatutfärdare. Opera kontrollerar alltid certifikatets återkallelselista för certifikatets utfärdare och de sa först att de inte behövde en säkerhetsuppdatering. Men senare tog de också bort roten från sin trustbutik. Den 9 september 2011 Apple säkerhetsuppdatering 2011-005 för Mac OS X 10.6.8 och 10.7.1, som tar bort DigiNotar från listan över betrodda rotcertifikat och EV-certifikatutfärdare. Utan den här uppdateringen Safari och Mac OS X certifikatets återkallelse, och användare måste använda verktyget Nyckelring för att manuellt radera certifikatet. Apple korrigerade inte iOS förrän den 13 oktober 2011, med lanseringen av iOS 5.

DigiNotar kontrollerade också ett mellanliggande certifikat som användes för att utfärda certifikat som en del av den nederländska regeringens program för offentlig nyckelinfrastruktur "PKIoverheid", kopplat till den officiella holländska regeringens certifieringsmyndighet ( Staat der Nederlanden ). När detta mellancertifikat återkallades eller markerades som otillförlitligt av webbläsare bröts förtroendekedjan för deras certifikat och det var svårt att komma åt tjänster som identitetshanteringsplattformen DigiD och Skatteverket . GOVCERT.NL [ nl ] , det holländska räddningsteamet för datorer , trodde till en början inte att PKIoverheid-certifikaten hade äventyrats, även om säkerhetsspecialister var osäkra. Eftersom dessa certifikat från början ansågs inte äventyras av säkerhetsintrånget hölls de, på begäran av de nederländska myndigheterna, undantagna från borttagande av förtroende – även om en av de två, den aktiva "Staat der Nederlanden - G2"-roten certifikat, förbisågs av Mozilla-ingenjörerna och misstroddes av misstag i Firefox-bygget. Denna bedömning upphävdes dock efter en granskning av den holländska regeringen, och de DigiNotar-kontrollerade mellanprodukterna i "Staat der Nederlanden"-hierarkin svartlistades också av Mozilla i nästa säkerhetsuppdatering, och även av andra webbläsartillverkare. Den holländska regeringen meddelade den 3 september 2011 att de kommer att byta till ett annat företag som certifikatutfärdare.

Åtgärder vidtagna av den nederländska regeringen

Efter det första påståendet att certifikaten under det DigiNotar-kontrollerade mellancertifikatet i PKIoverheid -hierarkin inte påverkades, visade ytterligare undersökningar av en extern part, Fox-IT-konsultföretaget, bevis på hackeraktivitet även på dessa maskiner. Följaktligen beslutade den nederländska regeringen den 3 september 2011 att dra tillbaka sitt tidigare uttalande om att inget var fel. (Fox-IT-utredarna kallade händelsen "Operation Black Tulip".) Fox-IT-rapporten identifierade 300 000 iranska Gmail-konton som de främsta offren för hacket.

DigiNotar var bara en av de tillgängliga CA i PKIoverheid, så inte alla certifikat som användes av den holländska regeringen under deras rot påverkades. När den holländska regeringen beslutade att de hade förlorat förtroendet för DigiNotar tog de tillbaka kontrollen över företagets mellancertifikat för att klara en ordnad övergång och de ersatte de otillförlitliga certifikaten med nya från en av de andra leverantörerna. Den mycket använda DigiD-plattformen nu [ när? ] använder ett certifikat utfärdat av Getronics PinkRoccade Nederland BV Enligt den holländska regeringen gav DigiNotar dem sitt fulla samarbete med dessa procedurer.

Efter borttagandet av förtroendet för DigiNotar finns det nu fyra Certification Service Providers (CSP) som kan utfärda certifikat under PKIoverheid- hierarkin:

  • Digidentitet
  • ESG eller De Electronische Signatuur
  • QuoVadis
  • KPN Certificatiedienstverlening

Alla fyra företag har öppnat särskilda helpdesk och/eller publicerat information på sina webbplatser om hur organisationer som har ett PKIoverheid-certifikat från DigiNotar kan begära ett nytt certifikat från en av de återstående fyra leverantörerna.

Se även

Vidare läsning

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=DigiNotar&oldid=1121079203 "