DigiNotar был голландским центром сертификации , принадлежавшим VASCO Data Security International, Inc. [1] [2]
3 сентября 2011 года, после того как стало ясно, что нарушение безопасности привело к мошеннической выдаче сертификатов , правительство Нидерландов взяло на себя оперативное управление системами DigiNotar. [3] В том же месяце компания была объявлена банкротом. [4] [5]
В ходе расследования взлома, проведенного консалтинговой компанией Fox-IT, назначенной правительством Нидерландов, в качестве основной цели взлома были определены 300 000 иранских пользователей Gmail (впоследствии подвергшихся атакам «человек посередине ») и возникли подозрения, что за взломом стоит иранское правительство. . [6] Хотя никому не было предъявлено обвинение во взломе и компрометации сертификатов (по состоянию на 2013 год [обновлять]), криптограф Брюс Шнайер говорит, что атака могла быть «либо работой АНБ , либо использована АНБ». [7] Однако это оспаривается, а другие утверждают, что АНБ обнаружило только иностранную разведку , использующую поддельные сертификаты. [8] Заявление о взломе также было заявлено так называемым Comodohacker, предположительно 21-летним иранским студентом, который также утверждал, что взломал четыре других центра сертификации, включая Comodo . F-Secure сочла это утверждение правдоподобным , хотя не объясняя до конца, как это привело к последующему «широкомасштабному перехвату иранских граждан». [9]
После того как было обнаружено более 500 поддельных сертификатов DigiNotar, крупные производители веб-браузеров отреагировали тем, что занесли в черный список все сертификаты DigiNotar. [10] Масштаб инцидента был использован некоторыми организациями, такими как ENISA и AccessNow.org , чтобы призвать к более глубокому реформированию HTTPS , чтобы устранить возможность самого слабого звена, при котором один скомпрометированный центр сертификации может повлиять на такое количество пользователей. [11] [12]
Основная деятельность DigiNotar заключалась в качестве центра сертификации , выдающего два типа сертификатов. Сначала они выдали сертификаты под своим именем (где корневым центром сертификации был «Root CA DigiNotar»). [13] Доверительные сертификаты не выдавались с июля 2010 года, но некоторые из них были действительны до июля 2013 года. [14] [15] Во-вторых, они выдавали сертификаты для программы правительства Нидерландов PKIoverheid («PKIgovernment»). Эта выдача осуществлялась через два промежуточных сертификата, каждый из которых был связан с одним из двух корневых центров сертификации «Staat der Nederlanden». Национальные и местные органы власти и организации Нидерландов, предлагающие услуги правительству и желающие использовать сертификаты для безопасной интернет-связи, могут запросить такой сертификат. Некоторые из наиболее часто используемых электронных услуг, предлагаемых правительством Нидерландов, используют сертификаты DigiNotar. Примерами могут служить инфраструктура аутентификации DigiD и центральная организация по регистрации автомобилей Нидерланды Vehicle Authority (RDW).
Корневые сертификаты DigiNotar были удалены из списков доверенных корней всех основных веб-браузеров и потребительских операционных систем примерно 29 августа 2011 г.; [16] [17] [18] корни «Staat der Nederlanden» изначально были сохранены, поскольку не считалось, что они были скомпрометированы. Однако с тех пор они были отменены.
DigiNotar был первоначально создан в 1998 году голландским нотариусом Диком Батенбургом из Бевервейка и Koninklijke Notariële Beropsorganisatie , национальным органом голландских нотариусов по гражданскому праву . КНБ предлагает нотариусам все виды централизованных услуг, а поскольку многие из услуг, предлагаемых нотариусами, представляют собой официальные юридические процедуры, безопасность связи имеет важное значение. КНБ предлагал своим членам консультативные услуги по внедрению электронных услуг в их бизнес; одним из таких видов деятельности было предложение безопасных сертификатов.
Дик Батенбург и КНБ сформировали группу TTP Notarissen (ТТП Нотариусы), где ТТП означает доверенную третью сторону . Нотариус может стать членом TTP Notarissen, если он соблюдает определенные правила. Если они соблюдают дополнительные правила обучения и рабочих процедур, они могут стать аккредитованным нотариусом ТТП. [19]
Хотя DigiNotar уже несколько лет был центром сертификации общего назначения, он по-прежнему был ориентирован на рынок нотариусов и других специалистов.
10 января 2011 года компания была продана VASCO Data Security International. [1] В пресс-релизе VASCO от 20 июня 2011 г., через день после того, как DigiNotar впервые обнаружила инцидент в своих системах [20], президент и главный операционный директор VASCO Ян Вальке заявил: «Мы считаем, что сертификаты DigiNotar являются одними из самых надежных в поле." [21]
20 сентября 2011 года Vasco объявила, что ее дочерняя компания DigiNotar была признана банкротом после подачи заявления о добровольном банкротстве в суд Харлема . Сразу же после этого суд назначил управляющего – назначенного судом доверительного управляющего, который берет на себя управление всеми делами DigiNotar на протяжении всего процесса банкротства и ликвидации . [4] [22]
Куратор (управляющий судом) не хотел, чтобы отчет ITSec был опубликован, так как это может привести к дополнительным искам к DigiNotar . [ нужна цитата ] В отчете освещались методы работы компании и подробности взлома в 2011 году, который привел к ее банкротству. [ нужна цитата ]
Отчет был подготовлен по запросу голландского надзорного агентства OPTA , которое изначально отказалось его публиковать. В ходе процедуры по обеспечению свободы информации ( Wet openbaarheid van bestuur ), начатой журналистом, получатель пытался убедить суд не разрешать публикацию этого отчета и подтвердить первоначальный отказ OPTA сделать это. [23]
Отчет было приказано опубликовать, и он был обнародован в октябре 2012 года. Он показывает практически полную компрометацию систем.
10 июля 2011 года злоумышленник, имеющий доступ к системам DigiNotar, выдал групповой сертификат для Google . Этот сертификат впоследствии был использован неизвестными лицами в Иране для проведения атаки «человек посередине» на сервисы Google. [24] [25] 28 августа 2011 г. проблемы с сертификатами были замечены у нескольких интернет-провайдеров в Иране. [26] Поддельный сертификат был опубликован на сайте Pastebin . [27] Согласно последующему пресс-релизу VASCO, DigiNotar обнаружила вторжение в инфраструктуру своего центра сертификации 19 июля 2011 года. [28] В то время DigiNotar публично не раскрыла нарушение безопасности.
После того, как этот сертификат был найден, DigiNotar с опозданием признал, что были созданы десятки поддельных сертификатов, включая сертификаты для доменов Yahoo! , Mozilla , WordPress и проект Tor . [29] DigiNotar не может гарантировать, что все такие сертификаты были отозваны . [30] Google занес в черный список 247 сертификатов Chromium , [31] но окончательно известное общее количество неправильно выданных сертификатов составляет не менее 531. [32] Расследование F-Secure также показало, что веб-сайт DigiNotar был взломан турецкими и иранскими хакерами в 2009 году. [33]
В ответ Mozilla отозвала доверие к корневому сертификату DigiNotar во всех поддерживаемых версиях своего браузера Firefox , а Microsoft удалила корневой сертификат DigiNotar из списка доверенных сертификатов своих браузеров во всех поддерживаемых версиях Microsoft Windows. [34] [35] Chromium / Google Chrome смог обнаружить поддельный *.google.com
сертификат благодаря функции безопасности « закрепление сертификата »; [36] однако эта защита была ограничена доменами Google, в результате чего Google удалил DigiNotar из своего списка доверенных эмитентов сертификатов. [24] Opera всегда проверяет список отозванных сертификатов эмитента сертификата, поэтому они изначально заявили, что им не требуется обновление безопасности. [37] [38] Однако позже они также удалили корень из своего хранилища доверенных сертификатов. [39] 9 сентября 2011 года Apple выпустила обновление безопасности 2011-005 для Mac OS X 10.6.8 и 10.7.1, которое удаляет DigiNotar из списка доверенных корневых сертификатов и центров сертификации EV. [40] Без этого обновления Safari и Mac OS X не обнаруживают отзыв сертификата, и пользователям приходится использовать утилиту Keychain , чтобы вручную удалить сертификат. [41] Apple не обновляла iOS до 13 октября 2011 года, с выпуском iOS 5. [42]
DigiNotar также контролировала промежуточный сертификат, который использовался для выдачи сертификатов в рамках программы инфраструктуры открытых ключей правительства Нидерландов «PKIoverheid», связанной с официальным сертификационным органом правительства Нидерландов ( Staat der Nederlanden ). [43] Как только этот промежуточный сертификат был отозван или помечен браузерами как ненадежный, цепочка доверия для их сертификатов была разорвана, и стало трудно получить доступ к таким сервисам, как платформа управления идентификацией DigiD и Налоговая и таможенная администрация . [44] GOVCERT.NL , голландская группа реагирования на компьютерные чрезвычайные ситуации , изначально не верила, что сертификаты PKIoverheid были скомпрометированы, [45] хотя специалисты по безопасности были в этом не уверены. [30] [46] Поскольку первоначально считалось, что эти сертификаты не были скомпрометированы в результате нарушения безопасности, по запросу голландских властей они были освобождены от лишения доверия [43] [47] – хотя это один из второй, активный корневой сертификат «Staat der Nederlanden - G2», был пропущен инженерами Mozilla и ему случайно не доверяли в сборке Firefox. [48] Однако эта оценка была отменена после проверки, проведенной правительством Нидерландов, а контролируемые DigiNotar посредники в иерархии «Staat der Nederlanden» также были занесены в черный список Mozilla в следующем обновлении безопасности, а также другими производителями браузеров. [49] Правительство Нидерландов объявило 3 сентября 2011 г., что они перейдут на другую фирму в качестве центра сертификации. [50]
После первоначального заявления о том, что сертификаты промежуточного сертификата, контролируемого DigiNotar в иерархии PKIoverheid , не были затронуты, дальнейшее расследование, проведенное внешней стороной, консалтинговой компанией Fox-IT, также выявило доказательства хакерской активности на этих машинах. В результате 3 сентября 2011 года правительство Нидерландов решило отозвать свое предыдущее заявление о том, что все в порядке. [51] (Следователи Fox-IT назвали инцидент «Операцией «Черный тюльпан»». [52] ) В отчете Fox-IT указано, что 300 000 иранских учетных записей Gmail стали основными жертвами взлома. [6]
DigiNotar был лишь одним из доступных центров сертификации в PKIoverheid, поэтому не все сертификаты, используемые правительством Нидерландов под их корнем, были затронуты. Когда правительство Нидерландов решило, что оно потеряло доверие к DigiNotar, оно вернуло себе контроль над промежуточным сертификатом компании, чтобы обеспечить упорядоченный переход, и заменило ненадежные сертификаты новыми от одного из других поставщиков. [51] Широко используемая платформа DigiD сейчас [ когда? ] использует сертификат, выданный Getronics PinkRoccade Nederland BV [53] По данным правительства Нидерландов, DigiNotar полностью сотрудничает с ними в этих процедурах.
После снятия доверия к DigiNotar теперь [ когда? ] четыре поставщика сертификационных услуг (CSP), которые могут выдавать сертификаты в рамках иерархии PKIoverheid : [54]
Все четыре компании открыли специальные службы поддержки и/или опубликовали на своих сайтах информацию о том, как организации, имеющие сертификат PKIoverheid от DigiNotar, могут запросить новый сертификат у одного из оставшихся четырех провайдеров. [55] [56] [57] [58]