DigiNotar - DigiNotar

DigiNotar BV
Тип Дочерняя компания публичной компании
Промышленность Интернет-безопасность
Основан 1998 г. ( 1998 )
Основатель Дик Батенбург
Несуществующий 20 сентября 2011 г. ( 2011-09-20 )
Судьба приобретена VASCO Data Security International, Inc. в 2010 году; объявлен банкротом в 2011 г.
Штаб-квартира
Beverwijk
,
Нидерланды
Продукты Сертификаты открытого ключа
Услуги Центр сертификации
Владелец VASCO Data Security International
Веб-сайт www .diginotar .nl

DigiNotar был голландским центром сертификации, принадлежащим VASCO Data Security International, Inc. 3 сентября 2011 года, когда стало ясно, что нарушение безопасности привело к мошеннической выдаче сертификатов , правительство Нидерландов взяло на себя оперативное управление системами DigiNotar. В том же месяце компания была объявлена ​​банкротом.

Расследование взлома, проведенное консалтинговой компанией Fox-IT, назначенной голландским правительством, определило 300000 иранских пользователей Gmail в качестве основной цели взлома (впоследствии нацеленного на использование атак типа «злоумышленник в середине» ) и подозревало, что за взломом стояло иранское правительство. . Хотя никому не было предъявлено обвинение во взломе и компрометации сертификатов (по состоянию на 2013 год), криптограф Брюс Шнайер говорит, что атака могла быть «либо работой АНБ , либо использованной АНБ». Однако это оспаривается, поскольку другие утверждают, что АНБ обнаружило службу внешней разведки только с помощью поддельных сертификатов. О взломе также заявил так называемый Comodohacker, якобы 21-летний иранский студент, который также утверждал, что взломал четыре других центра сертификации, включая Comodo , утверждение, которое F-Secure сочла правдоподобным , хотя и не полностью объясняет. как это привело к последующему «широкомасштабному перехвату иранских граждан».

После того, как было обнаружено более 500 поддельных сертификатов DigiNotar, основные производители веб-браузеров отреагировали на это, занесли в черный список все сертификаты DigiNotar. Масштаб инцидента использовался некоторыми организациями, такими как ENISA и AccessNow.org, чтобы призвать к более глубокой реформе HTTPS , чтобы исключить возможность самого слабого звена, что один скомпрометированный центр сертификации может повлиять на такое количество пользователей.

Компания

Основным видом деятельности DigiNotar был центр сертификации , выдающий два типа сертификатов. Во-первых, они выпустили сертификаты под своим именем (где корневой ЦС был «Корневой ЦС DigiNotar»). Сертификаты доверительного управления не выдавались с июля 2010 года, но некоторые из них были действительны до июля 2013 года. Во-вторых, они выдавали сертификаты для программы PKIoverheid («PKIgovernment») правительства Нидерландов . Эта выдача осуществлялась через два промежуточных сертификата, каждый из которых был привязан к одному из двух корневых центров сертификации "Staat der Nederlanden". Национальные и местные органы власти и организации Нидерландов, предлагающие услуги правительству, желающему использовать сертификаты для безопасного Интернет-соединения, могут запросить такой сертификат. Некоторые из наиболее часто используемых электронных услуг, предлагаемых правительством Нидерландов, используют сертификаты DigiNotar. Примерами были инфраструктура аутентификации DigiD и центральная организация по регистрации автомобилей Netherlands Vehicle Authority  [ nl ] (RDW).

Корневые сертификаты DigiNotar были удалены из списков доверенных корневых серверов всех основных веб-браузеров и потребительских операционных систем примерно 29 августа 2011 года; корни "Staat der Nederlanden" изначально были сохранены, потому что не считались уязвимыми. Однако с тех пор они были отозваны.

История

DigiNotar была основана в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Koninklijke Notariële Beroepsorganisatie  [ nl ] , национальным органом голландских нотариусов по гражданскому праву . KNB предлагает нотариусам все виды центральных услуг, и поскольку многие из услуг, которые предлагают нотариусы, являются официальными юридическими процедурами, безопасность связи важна. KNB предлагал своим членам консультационные услуги по внедрению электронных услуг в их бизнес; одно из этих мероприятий предлагало безопасные сертификаты.

Дик Батенбург и KNB сформировали группу TTP Notarissen (TTP Notaries), где TTP означает надежную третью сторону . Нотариус может стать членом TTP Notarissen при соблюдении определенных правил. Если они соблюдают дополнительные правила обучения и рабочих процедур, они могут стать аккредитованным нотариусом ТТП.

Хотя DigiNotar в течение нескольких лет был центром сертификации общего назначения, они по-прежнему были ориентированы на нотариусов и других профессионалов.

10 января 2011 года компания была продана VASCO Data Security International. В пресс-релизе VASCO от 20 июня 2011 года, через день после того, как DigiNotar впервые обнаружила инцидент в своих системах, президент VASCO и главный операционный директор Ян Валке заявил: «Мы считаем, что сертификаты DigiNotar являются одними из самых надежных в этой области».

Банкротство

20 сентября 2011 года компания Vasco объявила, что ее дочерняя компания DigiNotar была объявлена ​​банкротом после подачи заявления о добровольном банкротстве в суде Харлема . Сразу после этого суд назначил управляющего , назначенного судом попечителя, который берет на себя управление всеми делами DigiNotar в процессе ее банкротства до ликвидации .

Отказ опубликовать отчет

Куратор (назначенный суд приемник) не хотел, чтобы отчет ITSEC будет опубликован, так как это может привести к дополнительным требованиям по отношению к DigiNotar. В отчете описывались методы работы компании и подробности взлома 2011 года, приведшего к ее банкротству.

Отчет был составлен по запросу голландского надзорного агентства OPTA, которое в первую очередь отказалось опубликовать отчет. В рамках процедуры свободы информации ( Wet openbaarheid van bestuur  [ nl ] ), начатой ​​журналистом, получатель пытался убедить суд не разрешать публикацию этого отчета и подтвердить первоначальный отказ OPTA сделать это.

Отчет был обнародован в октябре 2012 года. Он показывает почти полную компрометацию систем.

Выдача поддельных сертификатов

10 июля 2011 г. злоумышленник, имеющий доступ к системам DigiNotar, выпустил подстановочный сертификат для Google . Этот сертификат впоследствии был использован неизвестными лицами в Иране для проведения атаки типа « злоумышленник в середине» на сервисы Google. 28 августа 2011 г. проблемы с сертификатами наблюдались у нескольких интернет-провайдеров в Иране. Фальшивый сертификат был размещен на pastebin . Согласно последующему выпуску новостей VASCO, DigiNotar обнаружил вторжение в инфраструктуру своего центра сертификации 19 июля 2011 года. DigiNotar в то время публично не раскрыл нарушение безопасности.

После того, как этот сертификат был найден, DigiNotar с опозданием признала, что были созданы десятки поддельных сертификатов, включая сертификаты для доменов Yahoo! , Mozilla , WordPress и проект Tor . DigiNotar не может гарантировать, что все такие сертификаты были отозваны . Google внес в черный список 247 сертификатов в Chromium , но окончательное известное общее количество неправильно выданных сертификатов составляет не менее 531. Расследование F-Secure также показало, что веб-сайт DigiNotar был поврежден турецкими и иранскими хакерами в 2009 году.

В ответ Mozilla отозвала доверие к корневому сертификату DigiNotar во всех поддерживаемых версиях своего браузера Firefox, а Microsoft удалила корневой сертификат DigiNotar из своего списка доверенных сертификатов своих браузеров во всех поддерживаемых выпусках Microsoft Windows. Chromium / Google Chrome смог обнаружить поддельный *.google.comсертификат благодаря функции безопасности « закрепления сертификата »; однако эта защита была ограничена доменами Google, в результате чего Google удалил DigiNotar из своего списка надежных издателей сертификатов. Opera всегда проверяет список отзыва сертификатов издателя сертификата, поэтому изначально они заявили, что не нуждаются в обновлении безопасности. Однако позже они также удалили корень из своего хранилища доверенных сертификатов. 9 сентября 2011 г. Apple выпустила Обновление безопасности 2011-005 для Mac OS X 10.6.8 и 10.7.1, которое удаляет DigiNotar из списка доверенных корневых сертификатов и центров сертификации EV. Без этого обновления Safari и Mac OS X не обнаруживают отзыв сертификата, и пользователи должны использовать служебную программу « Связка ключей», чтобы вручную удалить сертификат. Apple не обновляла iOS до 13 октября 2011 года, выпустив iOS 5.

DigiNotar также контролировал промежуточный сертификат , который был использован для выдачи сертификатов в рамках голландского правительства «s инфраструктуры открытого ключа программы„PKIoverheid“, цепочки до официального голландского правительства сертификации ( Staat дер Nederlanden ). После того, как этот промежуточный сертификат был отозван или помечен браузерами как ненадежный, цепочка доверия для их сертификатов была нарушена, и стало трудно получить доступ к таким службам, как платформа управления идентификационной информацией DigiD и Налоговая и таможенная администрация . GOVCERT.NL  [ nl ] , голландская группа реагирования на компьютерные чрезвычайные ситуации , изначально не считала, что сертификаты PKIoverheid были скомпрометированы, хотя специалисты по безопасности были не уверены. Поскольку изначально предполагалось, что эти сертификаты не будут скомпрометированы из-за нарушения безопасности, они, по запросу голландских властей, были освобождены от удаления доверия, хотя один из двух, активный корень "Staat der Nederlanden - G2" сертификат, не был замечен инженерами Mozilla и случайно не доверял сборке Firefox. Однако эта оценка была отменена после аудита, проведенного голландским правительством, и контролируемые DigiNotar промежуточные звенья в иерархии «Staat der Nederlanden» также были занесены в черный список Mozilla в следующем обновлении безопасности, а также другими производителями браузеров. Правительство Нидерландов объявило 3 сентября 2011 г., что они перейдут к другой фирме в качестве центра сертификации.

Шаги, предпринятые правительством Нидерландов

После первоначального заявления о том, что сертификаты промежуточного сертификата, управляемого DigiNotar в иерархии PKIoverheid, не пострадали, дальнейшее расследование, проведенное внешней стороной, консультантом Fox-IT, также показало доказательства хакерской активности на этих машинах. Следовательно, правительство Нидерландов 3 сентября 2011 г. приняло решение отозвать свое предыдущее заявление о том, что все в порядке. (Исследователи Fox-IT окрестили инцидент «Операцией« Черный тюльпан »».) В отчете Fox-IT было указано, что основными жертвами взлома стали 300 000 иранских учетных записей Gmail.

DigiNotar был только одним из доступных центров сертификации в PKIoverheid, поэтому не все сертификаты, используемые голландским правительством в корневом каталоге, были затронуты. Когда правительство Нидерландов решило, что они потеряли доверие к DigiNotar, они вернули контроль над промежуточным сертификатом компании, чтобы управлять упорядоченным переходом, и заменили ненадежные сертификаты новыми сертификатами одного из других поставщиков. В широко используемой платформе DigiD теперь используется сертификат, выданный Getronics PinkRoccade Nederland BV. По заявлению правительства Нидерландов, DigiNotar полностью согласился с этими процедурами.

После удаления доверия в DigiNotar теперь есть четыре поставщика услуг сертификации (CSP), которые могут выдавать сертификаты в иерархии PKIoverheid :

  • Digidentity
  • ESG или De Electronische Signatuur
  • QuoVadis
  • KPN Certificatiedienstverlening

Все четыре компании открыли специальные службы поддержки и / или опубликовали на своих веб-сайтах информацию о том, как организации, имеющие сертификат PKIoverheid от DigiNotar, могут запросить новый сертификат у одного из оставшихся четырех поставщиков.

Смотрите также

использованная литература

дальнейшее чтение

внешние ссылки