Dipl.-Inform. Carsten Eilers

... das nicht bewiesen wurde. Das ist eigentlich ein Grundsatz von ertappten Kriminellen und Politikern, mitunter aber auch von IT-Unternehmen. Wir erinnern uns an den Angriff auf RSA vor einigen Monaten: Erst hieß es nach dem gezielten Angriff, bei dem nicht näher benannte Daten kopiert wurden, es bestehe kein Grund zur Aufregung, die SecurID-Token zur Zwei-Faktor-Authentifizierung seien sicher. Dann wurde angekündigt, in sensitiven Bereichen die Token auszutauschen - nachdem bereits Nutzer der Token das Opfer von Angriffen wurden. Bloss nichts zugeben, das nicht bewiesen wurde. Und immer schön die Aktionäre beruhigen: Alles in Ordnung, das hat keine Auswirkungen aufs Geschäft oder die Gewinne. Der "Shareholder Value" ist alles, die Kunden sollen sehen, wo sie bleiben.

Genau diese Taktik verfolgt auch DigiNotar: In einer Presseerklärung werden die Auswirkungen herunter gespielt und die Kunden und Aktionäre beruhigt: Es gibt keine Auswirkungen auf andere Server, insbesondere nicht auf die für die niederländische Regierung betriebenen Zertifizierungsdienste:

"DigiNotar stresses the fact that the vast majority of its business, including his Dutch government business (PKIOverheid) was completely unaffected by the attack."

Und Auswirkungen aufs Geschäft hat das auch nicht:

"VASCO expects the impact of the breach of DigiNotar’s SSL and EVSSL business to be minimal. Through the first six months of 2011, revenue from the SSL and EVSSL business was less than Euro 100,000.
VASCO does not expect that the DigiNotar security incident will have a significant impact on the company’s future revenue or business plans."

Auch hielt man es nicht für nötig, die Betreiber der Domains, für die gefälschte Zertifikate ausgestellt wurden, zu informieren. Wie gehabt: Bloss nichts zugeben, dass nicht bewiesen wurde. Zu ärgerlich, dass das Ganze durch die MitM-Angriffe auf Google Mail ans Licht kam wurde. Ach ja: Ob die gefälschten Zertifikate wirklich wie behauptet zurückgerufen wurden, ist auch zweifelhaft

Iranische Quelle informiert die niederländische Regierung

Die Verschleierungstaktik ging nur zum Teil auf. Man hielt es nicht für nötig, die niederländische Regierung zu informieren, obwohl man einen Teil deren IT-Infrastruktur absichert (aber es bestand ja auch keinerlei Gefahr, s.o.). Eine nicht näher beschriebene iranische Quelle dagegen hielt es für nötig, die niederländische Regierung zu informieren. Worauf die den Stecker zog und die Aufgaben an ein anderes Unternehmen übertrug:

"The minister [Innenminister Piet Hein Donner] has announced measures to hand over control of internet security to a different firm, which may take a few days, according to the minister."

Betroffen sind wahrscheinlich auch die "Lawful Interception"-Schnittstellen, über die die Behörden auf die Infrastruktur von Telefonunternehmen etc. zugreifen können. Dann ist natürlich Eile geboten, es wäre doch zu peinlich, wenn der iranische Geheimdienst über die offiziellen niederländischen Regierungs-Schnüffelanschlüsse auf Datensuche geht.

DigiNotar bzw. dessen Mutterunternehmen VASCO Data Security International hat in einer zweiten Pressemitteilung der niederländischen Regierung ein Angebot gemacht, dass die eigentlich nur ablehnen kann:

"VASCO Data Security International, Inc. (Nasdaq: VDSI; www.vasco.com) today announced that it has invited the Dutch government to jointly solve the DigiNotar incident. As part of its proposal, VASCO invites the Dutch Government to send staff to work together to jointly assess and remedy the problem.
“It is our firm belief that cooperating with VASCO is the right decision for the Dutch Government. We are convinced that together we will solve this issue,” said Ken Hunt, VASCO’s Chairman & CEO."

Die Wortwahl löst bei mir ein zwiespältiges Gefühl aus, die erinnert mich doch irgendwie an mehr oder weniger schlechte Mafia-Filme. Ich schätze mal, da sieht jemand gerade sein Geschäftsmodell den Bach runter gehen. Wie vertrauenswürdig ist eigentlich die Mutter eines nicht vertrauenswürdigen Unternehmens? Vor allem, wenn die im gleichen Bereich aktiv ist, die möglichen Folgen der Vorfälle also erkennen muss? Womit wir beim eigentlichen Thema sind: Der Frage nach dem Vertrauen, nicht nur, in die verschiedenen CAs.

Vertrauen, wem die Browser-Hersteller vertrauen?

Die Browser- und Systemhersteller liefern eine mehr oder weniger umfangreiche Liste aus ihrer Sicht vertrauenswürdiger Root-Zertifikate mit. Denen vertrauen die Browser und Systeme automatisch, sofern man nicht manuell Änderungen daran vornimmt. So vertraue ich seit dem Frühjahr Comodo nicht mehr und habe dementsprechend dem entsprechenden Root-Zertifikat das Vertrauen entzogen. Übrigens ohne größere Auswirkungen, denn die meisten "wichtigen" Websites haben sowieso Zertifikate von den "großen" CAs wie z.B. VeriSign.

Die Wahrscheinlichkeit dafür, dass ich mit einem Zertifikat von einer der vielen kleinen oder eher "lokalen" CAs in Berührung komme, ist minimal. Die Gefahr, dass ich auf ein von diesen CAs erschlichenes oder "erbeutetes" Zertifikat treffe, dürfte zwar zumindest hier in Deutschland auch nicht viel größer sein, in anderen Staaten sieht das aber ganz anders aus, wie das Beispiel Iran ganz deutlich zeigt. Wären Comodo und DigiNotar nicht schon "ab Werk" als vertrauenswürdige CAs installiert, hätten die Angriffe kaum Folgen (und wären deshalb wahrscheinlich auch nie passiert, denn warum sollten sich die iranischen Behörden gefälschte Zertifikate von einer CA verschaffen, denen die Browser sowieso nicht vertrauen?).

Aber das eigentliche Problem sitzt anderswo: Die Browser vertrauen diesen CAs, weil deren Hersteller es so wollen. Aber warum vertrauen die Hersteller diesen CAs, und warum sollte ich es tun, nur weil die Browser-Hersteller es tun? Wie reden hier immerhin über die Infrastruktur, die z.B. unser Onlinebanking und große Teile unserer Kommunikation, geschäftlich ebenso wie privat, sichert!

Irgend jemand hat irgend wann mal entschieden, dass eine CA vertrauenswürdig ist und daher deren Root-Zertifikat zusammen mit dem Browser ausgeliefert wird. Im Fall von DigiNotar hat man nun entschieden, dass dieses Vertrauen nicht mehr gerechtfertigt ist und das Zertifikat entfernt, dass von Comodo ist aber nach wie vor dabei. Wieso ist Comodo nach dem Angriff vertrauenswürdiger als DigiNotar? Die haben damals auch nicht alles Karten auf den Tisch gelegt! Und dann mal so ganz nebenbei: Wie vertrauenswürdig ist eigentlich die "Staat der Nederlanden Root CA" noch, nachdem der niederländische Innenminister seinem zuständigen Dienstleister nicht mehr vertraut? Eigentlich darf man dann dieser CA auch nicht mehr vertrauen, oder?

Wir haben es also mit zwei Problemen zu tun: Zum einen gelten zu viele CAs global als vertrauenswürdig, obwohl sie zum größten Teil höchstens lokal eine Bedeutung haben. Wie gross ist z.B. die Wahrscheinlichkeit, dass man außerhalb von Taiwan auf ein Zertifikat der Taiwanesischen Regierungs-CA stösst? Und zum anderen weiß wohl niemand so genau, welche CA wieso, weshalb und warum als vertrauenswürdig eingestuft wurde und ob dieses Vertrauen wirklich noch gerechtfertigt ist.

Nun ist es verständlich, dass die Hersteller keine angepassten Listen ausliefern wollen, aus Sicherheitssicht optimal ist es aber nicht. Die Frage ist, wie man dieses Problem löst. Es gibt alternative Ansätze (dazu am Donnerstag mehr), aber würde das grundlegenden Problem "Es gibt zu viele per Default von den Browsern als vertrauenswürdig eingestufte CAs" gelöst, wären die gar nicht nötig. Denn SSL funktioniert, und gäbe es nur eine übersichtliche Anzahl CAs, die ihre Arbeit anständig machen, gäbe es die aktuellen Probleme gar nicht. Das bestehende System, dass zu einem ganzen Wald von von den Herstellern als vertrauenswürdig eingestuften CAs geführt hat, müsste ausgelichtet werden. Die Frage ist nur: Wie, ohne zu viel Schaden anzurichten? Eine allgemeine Antwort weiß ich leider auch nicht. Ich habe jedenfalls bei mir ausgemistet und z.B. den CAs das Vertrauen entzogen, die aus meiner Sicht nur eine lokale Bedeutung haben. Sollte ich dann irgendwann doch auf ein Zertifikat stoßen, dass z.B. von einer türkischen CA ausgestellt wurde, kann ich mir immer noch überlegen, ob ich diesem Zertifikat vertrauen will oder nicht.

Carsten Eilers