Der CA-Supergau

Ups, da geht gerade mal der letzte Funke Vertrauenswürdigkeit der kommerziellen IT-Gesellschaft verloren und die breite Masse bekommts noch nicht mal mit :-D…. Wie gibts den sowas?

Ich glaube hier muss man erstmal kurz die Grundlagen klären. Nachdem das WWW erfunden war, ging es in der nächsten Stufe gleich darum, wie kann man sowas fürs Business benutzen? Für Banken bot sich das WWW fürs Online-Banking an, und als Plattform für Online-Shops ist das WWW natürlich auch verlockend. Um zumindest einen gewissen Grad von Sicherheit zu gewährleisten erfand die Firma Netscape damals die erste Version von SSL. SSL wird zum Beispiel bei HTTPS verwendet – wir erinnern uns das war die Geschichte mit diesem kleinen Schloss wenn man im Web-Browser Online-Banking macht.

Der IT-Experte hatte bei dem netten Schlösschen ja schon immer ein ziehen in der Magengegend, seit kurzem kann man dieses Schlösschen aber getrost in die Tonne kippen!

Wir machen am besten mal ein Beispiel und gehen auf die Webseite https://www.bund.de/DE/Home/homepage_node.html. Jeder Web-Browser bietet irgendwo die Möglichkeit sich das Zertifikat für diese Webseite anzusehen. Für www.bund.de sieht das etwa so aus (Text verkürzt):

Certificate Data:
  Version: 3 (0x2)
  Serial Number:
      e9:44:00:01:00:02:e8:5b:37:3c:fb:81:1c:3e
  Signature Algorithm: sha1WithRSAEncryption
  Issuer: C=DE, O=TC TrustCenter GmbH, 
          OU=TC TrustCenter Class 2 L1 CA, 
          CN=TC TrustCenter Class 2 L1 CA XI
  Validity
      Not Before: Mar 24 08:30:02 2011 GMT
      Not After : Jun 22 07:29:44 2014 GMT
  Subject: C=DE, ST=NRW, L=Koeln, O=Bundesverwaltungsamt, 
           OU=BIT B 5, CN=www.bund.de
  Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
          Public-Key: (2048 bit)
  X509v3 extensions:
    X509v3 Authority Key Identifier: 
      keyid:66:B3:C6:91:F9:B6:CD:B2:5F:9A:
            37:56:46:0C:E2:6B:D5:B1:7C:B4
    X509v3 Subject Key Identifier: 
      24:9E:C0:C7:F8:17:EE:47:B3:51:B5:1B:0B:58:8A:54:B7:DC:85:4D
    X509v3 Extended Key Usage: 
        TLS Web Server Authentication, TLS Web Client Authentication
    Netscape Cert Type: 
        SSL Client, SSL Server
    X509v3 Subject Alternative Name: 
        email:it-sicherheit@bva.bund.de, DNS:www.bund.de, 
        DNS:editor.bund.de, DNS:m.bund.de, DNS:bund.de

Wichtig ist für wenn das Zertifikat ausgestellt wurde (Subject) und wer es ausgestellt hat (Issuer). In meinem Beispiel wurde das Zertifikat von der Firma TrustCenter GmbH für das Bundesverwaltungsamt ausgestellt. Den Issuer nennt man auch CA – (Certificate Authority / Zertifizierungsstelle). D.h. die Zertifizierungsstelle ist im Prinzip die Wurzel für die gesamte Vertrauenswürdigkeit dieses Systems. Hihihi, und jetzt kommt die Preisfrage – Was passiert wenn jemand mal eben Vollzugriff auf so eine Zertifizierungsstelle erlangt und beliebige Zertifikate ausstellen kann?

Tja und seit Fukushima sprechen wir ja nur noch von Supergau wenn es gleich an mehreren Stellen knallt und so ist es hier auch:

Das is halt wieder so ein Hacker-Thema? nene, leider nicht! Zumindest in den Niederlanden bebt gerade gewaltig die Erde. Und zwar so heftig (heise.de): Niederländische Regierung übernimmt Kontrolle über DigiNotar.

Tja und weils so schön ist, bei dem Thema ist eben mit Internet-Sicherheit alleine noch lange nicht Schluss. Genau die gleichen Zertifikate, Firmen und Technologien werden zum Beispiel bei folgenden Vorzeigeprojekten ebenfalls eingesetzt:

Ich hatte in einem der letzten Posts geschrieben das vieles in der modernen IT auf Sand gebaut ist. In diesem Fall muss ich mich korrigieren, es ist wohl eher Treibsand!