Root CA: Dark Matter greift Menschenrechtsaktivisten an
Das aus den Vereinigten Arabischen Emiraten stammende Unternehmen Dark Matter betreibt eine TLS-Zertifizierungsstelle. Ein Reuters-Bericht zeigt auf, dass das Unternehmen im staatlichen Auftrag Menschenrechtsaktivisten durch Sicherheitslücken angreift. Dieser enthüllte Zertifikats-Skandal stellt die Ernennung von Millionen Root CA in Frage.
Eine Spionagefirma als Root CA
In einem Bericht der Nachrichtenagentur Reuters geht es um die Firma Dark Matter. Diese soll im Auftrag der arabischen Regierung Hackingoperationen durchführen, die zum Teil auf Menschenrechtsaktivisten abzielen. Weiter betreibt das Unternehmen eine Zertifizierungsstelle für TLS-Zertifikate.
Dark Matter stellt sich nach außen als Unternehmen dar, welches Sicherheitshardware verkauft. Zumindest teilweise könnte dies jedoch eine Tarnung für die tatsächlichen Tätigkeiten der Firma sein. Browser-Hersteller überlegen derzeit, wie sie damit umzugehen haben.
Laut dem Reuters-Bericht arbeitete eine Gruppe ehemaliger NSA-Angestellter viele Jahre für eine Operation mit dem Namen “Project Raven” für Dark Matter. Die Firma soll in der Lage gewesen sein, durch Zero-Day-Lücken iOS-Geräte anzugreifen und zu kontrollieren.
Auch Menschenrechtsaktivisten gelangten ins Visier von Project Raven. Viele der Aussagen aus dem Reuters-Bericht stammen von der ehemaligen NSA-Mitarbeiterin Lori Stroud, die heute als Whistleblowerin aktiv ist. Als sie mitbekam, dass Project Raven auch US-Bürger ausspionierte, wandte sie sich an die Presse.
Mozilla Community vs. Dark Matter
Vor geraumer Zeit hat Dark Matter die Aufnahme als Root CA in die Liste vertrauenswürdiger Zertifizierungsstellen bei Mozilla beantragt. Für jeden Browser existiert eine solche Liste mit Zertifikaten solcher Root-Zertifizierungsstellen. SSL-Zertifikate werden grundsätzlich daraufhin geprüft, ob sie von einer solchen CA signiert wurden.
Sind Zertifikate von einer CA dort eingetragen, kann die CA unberechtigt SSL-Zertifikate für Websites ausstellen. Wenngleich es in den vergangenen Jahren zahlreiche Bemühungen gab, solchen Zertifikatsmissbrauch einzudämmen, lassen sich bis heute Angriffe dieser Art nicht vollständig verhindern.
Die EFF (Electronic Frontier Foundation) hatte mitbekommen, was Dark Matter vorhat. In einem Blogpost rief sie Mozilla dazu auf, dem Unternehmen nicht zu vertrauen. Aus dem Blogpost geht hervor, dass Dark Matter bereits über ein gültiges Zwischenzertifikat verfügt. Heißt: Dark Matter kann bereits SSL-Zertifikate für Websites ausstellen.
Wayne Thayer ist bei Mozilla für die Liste der Root-Zertifikate zuständig. Er erläuterte in einer E-Mail die Situation und bat die Mozilla-Community um Feedback. Thayer deutete bereits an, dass es möglich wäre, den Antrag von Dark Matter abzulehnen und das Zwischenzertifikat im Firefox-Browser zu sperren.
Da durch das Zwischenzertifikat die von Dark Matter ausgestellten SSL-Zertifikate von anderen Browsern akzeptiert werden, wartet man nun auf Aussagen von Apple, Google und Microsoft.
Das Problem an der Sache: Erfüllt eine CA die technischen Anforderungen zur Aufnahme als Root CA, ist es schwierig, sie abzulehnen.
Seriennummer der Root CA nicht zufällig genug
Dark Matter erfüllte die technischen Anforderungen mit Bravour. Bis ein findiger Kopf ein Schlupfloch entdeckte: Das Zwischenzertifikat könnte den Spezifikationen eben doch nicht genügen.
Die Seriennummer des Zwischenzertifikats war ein 64-Bit-Integer. Jedoch hat man das erste Bit fürs Vorzeichen genutzt, sodass es nicht mehr zufällig war – eine dringende Voraussetzung. Die jetzt bleibenden 63 zufälligen Bits verletzten die CA/B Forum-Richtlinien, die nach 64 zufälligen Bits verlangen.
Jeder Sicherheitsexperte weiß, dass sich daraus kein wirkliches Sicherheitsproblem entwickeln kann. Um Angriffe zu verhindern, reichen auch 63 Bit aus. Darum ging es jedoch niemandem – sondern endlich hatte man ein Argument an der Hand, um die Anerkennung der Root CA Dark Matter zu verhindern.
Warum ein fehlendes Bit große Fragen aufwirft
Natürlich ging auch dies nicht ohne ein Aber: Die Open Source-Software EJBCA erzeugt solche IDs. Und die werden nicht nur von Dark Matter, sondern auch von Riesen-CAs von GoDaddy, Google oder Apple genutzt. Dementsprechend waren nicht mehr nur die Dark Matter-Zertifikate betroffen, sondern Millionen weitere, die nun eigentlich gesperrt und neu ausgestellt gehören. Das jedoch birgt nicht nur diverse Risiken, sondern kostet viel, viel Geld. Die CAs konkretisieren aktuell die Anzahl der betroffenen Zertifikate.
Situationen wie diese sind es, die uns, der PSW GROUP, Recht geben: In unserem Portfolio finden Sie SSL/TLS-Zertifikate ausschließlich von namhaften und langjährig etablierten Anbietern. Haben Sie Fragen zu Ihrer Zertifizierungsstelle oder Ihrem SSL-Zertifikat, können Sie sich vertrauensvoll an uns wenden – nehmen Sie einfach Kontakt auf.
Schreibe einen Kommentar