03.02 // Известие о взломе VeriSign спустя полгода после происшествия
После серии компрометаций удостоверяющих центров X.509 стало известно, что подобная участь не миновала и гигант VeriSign.
Представители VeriSign (которая — ну так, чтоб просто представлять размеры возможного бедствия — до сих пор держит два из 13 корневых DNS-серверов и является основным регистратором для доменов com, net, name, cc, tv) поспешили заявить, что считают, что атакующие не добрались до систем, поддерживающих DNS. Представитель же Symantec, владельца УЦ VeriSign, поспешил заявить, что нет оснований считать, что эта атака как-то затронула системы, занимающиеся сертификатами. Хочется в это верить — иначе история будет значительно веселее, чем в случае c голландским CA.
Любопытно, что администраторы не информировали руковоство компании аж до сентября 2011 года, а сама информация о взломе всплыла после публикации ежеквартального отчета федеральной комиссии по ценным бумагам и биржевым операциям (U.S. Securities and Exchange Commission), которая ужесточила требования по информированию инвесторов о подобных взломах.
Источник: http://bugtraq.ru/rsn/archive/2012/02/04.html
комментариев: 9796 документов: 488 редакций: 5664
OMG, какой же интересный список (скомпрометированных) сервисов может при этом быть опубликован, если всплывут сертификаты с левыми подписями. И да, PKI RIP! Нужно доверие по отпечатку самоподписанного сертификата (на основе первого контакта) с последующим заверением GPG-подписями.
Пора бы такую систему разработать на уровне стандарта и ввести в браузеры как альтернативную, хотя бы на уровне плагинов: чтобы по-крайней мере ограниченный круг
параноиковжелающих мог ею пользоваться "для себя". Затем и банки и др. крупные организации подтянутся.комментариев: 1060 документов: 16 редакций: 32
Тут по хорошему нужен будет ещё некий онлайн-сервис, хранящий подписи на сертификатах, в общих чертах идентичный серверам ключей.
Оказывается разработчикам MITM решений совершенно официально выдают сертификаты вторичного CA. И у кого после этого осталась хоть капля доверия системе PKI? Имхо ее пора закапывать и внедрять в браузеры решения основанные на проверке посредством защищенных каналов связи, запоминании отпечатка сертификата и ручном управлении доверием. А PKI пусть остается как дополнительный уровень проверки при первом доступе к сайту.
комментариев: 11558 документов: 1036 редакций: 4118
А также крупным корпорациям, которым дешевле заплатить за сертификат промежуточного УЦ, чем оплачивать и организовывать получение клиентских сертификатов по каждому чиху.
комментариев: 9796 документов: 488 редакций: 5664
Один из проектов по этой теме предлагаю обсудить в отдельной теме: MonkeySphere – openPGP заверение/проверка сертификатов сервисов
комментариев: 11558 документов: 1036 редакций: 4118
Mozilla потрясает кулачком. Все УЦ, чьи корневые сертификаты входят в хранилище Mozilla, должны в срок до 27 апреля ануллировать промежуточные сертификаты, выданные третьим лицам, уничтожить аппаратные модули, содержащие ключи подписи этих сертификатов, и передать их серийные номера и отпечатки в Mozilla. В противном случае грозят исключить из перечня доверенных УЦ.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
1 – Политика абсолютной нетерпимости к любым случаям применения MITM. Любой CA способствовавший атакам должен быть строго наказан вплоть до отлучения от кормушки.
2 – Система обнаружения инцидентов в виде публичной базы данных всех сертификатов когда-либо встретившихся приложениям использующим SSL. Браузеры, почтовые клиенты, IM клиенты и прочие должны отсылать все сертификаты выданные общепризнанными CA в глобальную базу (если отсылка блокируется – считать сертификат недействительным). В этой базе можно искать аномалии и оповещать владельцев сайтов о них, далее если вдалелец сайта видит сертификат которого он не получал – он пишет заявление, по заявлению инициируется разбитательство, виновных (или просто крайних) находят и наказывают.
В этой системе плохие УЦ будут жить ровно до первого-второго инцидента, и правильно, ибо им оказано огромное доверие и в этом бизнесе есть место лишь для достойнейших. Если УЦ взломали и добрались до выдачи сертификатов – досвидания, таким нечего делать в этом бизнесе. Если государственные законы позволяют принудить УЦ к сотрудничеству со спецслужбами – этот бизнес невозможен в такой стране, пусть переезжают или закрываются. Не должно быть никаких оправданий инцидентам: не оправдал доверия – досвидания. Чем меньше останется УЦ – тем лучше, останутся лишь достойные с высокой ответственностью и непогрешимой репутацией которым действительно можно верить.
комментариев: 9796 документов: 488 редакций: 5664
А судьи кто? Создатели браузеров (Mozilla), которые живут на
подачкиспонсорство от крупных бизнес-компаний, будут рушить крупные бизнес-проекты, да ещё и на уровне некоего международного права? Cоздатели операционок? MS и Apple? Google, который представляет собой нечто среднее (и создатель браузера, и операционки, и корпорация, и веб-гигант)? Так они сделают как выгодно им, а не будут всерьёз заморачиваться созданием независимой организации по проверке сертификатов.Учредителей УЦ должны выбирать такую страну, законодательство и правоприменительная практика которой не будут мешать поддержанию безупречной реуптацией, которая должна быть непременным условием существования этого бизнеса.
До первого инцидента – ничего. После – исключать их доверенных на общих основаниях. Главное иметь надежный механизм обнаружения инцидентов.
Разрабочики браузеров, ОС и прочего софта который имеет свой список УЦ. Надо как-то их объединять и мотивировать на правильную политику. Еще пара-тройка громких инцидентов – и кто-нибудь начнет это делать первым (логично будет пустить под этим соусом агрессивную рекламу безопасности своего софта и обосрать конкурентов), остальным придется подтягиваться если не хотят стать аутсайдерами.
PS
"Никогда не ставьте свою безопасность в зависимость от чьей-то порядочности" ©