15299

ASR-Stories:
Vertrouwt u certificaten? Dat zou je waarschijnlijk niet moeten doen.

Voor het Annual Security Report hebben we de public key infrastructure (PKI) onderzocht waarop de dagelijkse internetactiviteiten zijn gebaseerd: e-commerce, internetbankieren, instant messaging en vertrouwelijke e-mail. In onwetendheid aanvaarden we dat het gewoon werkt. Maar werkt het ook echt?

De PKI en het digitale vertrouwen

We hebben de fundamentele bouwstenen van PKI geanalyseerd om te begrijpen wie we eigenlijk vertrouwen als we gebruik maken van versleutelde datatransmissie, zoals bijvoorbeeld het beveiligde hypertekstoverdrachtprotocol of afgekort HTTPS.

Wat we vonden is alarmerend: digitaal vertrouwen is niet alleen geografisch zeer ongelijk verdeeld (het ligt grotendeels vast in de VS), maar u vertrouwt ook landen waar u zich waarschijnlijk zorgen over zou moeten maken.

Blijkbaar is de basis van veilige online communicatie ons vertrouwen in, grotendeels ongecontroleerde, intransparante particuliere organisaties. En niemand denkt daar ooit over na.

Certificaten

De mogelijkheid voor partijen om elkaar te identificeren met digitale certificaten is de basis voor betrouwbare communicatie, waarbij vertrouwelijkheid door het gebruik van encryptie, gegevensintegriteit en een redelijke basis voor afwijzing wordt geboden.

Bij het vertrouwen van digitale certificaten rekenen we op onafhankelijke CA’s die ze distribueren. We vertrouwen erop dat ze aan bepaalde principes en criteria voldoen om CA te worden. Wij (eindgebruikers) spelen geen rol bij de selectie van CA’s en vertrouwen op digitale certificaatabonnee (eigenaar) om een geschikte CA te kiezen wanneer we hun product of dienst voor onze communicatie gebruiken. De apparaten die we gebruiken en de software die we kiezen worden vooraf geladen met CA’s die klaar staan om namens ons vertrouwen op te bouwen door een hangslot te tonen om betrouwbare, veilige communicatie aan te geven.

Dus, wie vertrouwt u onvoorwaardelijk? En wat betekent dit voor een veilige bedrijfscommunicatie?

De implicaties van het opleggen van vertrouwen

Een PKI bestaat uit alle rollen, beleid en procedures die nodig zijn om digitale certificaten te beheren (creëren, distribueren, opslaan en intrekken). De implementatie hiervan wordt meestal geregeld door een gebied of regio, waarbij vaak de principes ervan worden verbroken.

Vertrouwen vereist echter betrouwbaarheid, consistentie en transparantie: het tegendeel van de zich ontwikkelende PKI-implementatie. Dit conflict, het echte probleem, is eerder een conceptueel dilemma dan een technische fout in de PKI, waardoor het moeilijker wordt om het probleem om te lossen.

CA’s zijn de basis voor dit probleem. Certificaten zijn de ID-kaarten van het internet. Maar stel je voor wat er zou gebeuren als de ID-kaarten niet uitsluitend door betrouwbare overheidsorganisaties zouden worden uitgegeven, maar door een niet-transparante set van particuliere instellingen elk volgens hun eigen regels en agenda?

Sommigen van hen bestaan misschien niet eens meer als afzonderlijke juridische entiteiten, maar hun identiteitskaarten worden nog steeds veel gebruikt. Wat zou de impact zijn op de betrouwbaarheid van ID-kaarten? Zou het verstandig zijn om een boodschapper met bedrijfskritische informatie te vertrouwen, wie vertrouwt er zo’n ID?

Toch werkt de PKI vandaag de dag zo’n beetje op deze manier.

Om te onderzoeken in wie we eigenlijk vertrouwen hebben en de volledige certificaatketen van elke site op “The List” (top ~ 1 miljoen van Amazon’s Alexa Traffic Ranking) te downloaden met behulp van een eigen tool.

Vertrouw trust store

Welke automatisch vertrouwde CA’s zijn daadwerkelijk in gebruik? We hebben het percentage van elke trust store genoemd in The List geanalyseerd. In de onderstaande grafiek geeft groen aan welke trust store er is waargenomen in The List. Om het gebruik van de trust store te bepalen, hebben we twee waarde vergeleken:

  • Een lijst van vertrouwde CA’s en stam CA’s beschikbaar in de trust store van de leverancier.
  • De CA’s en stam CA’s die we als ‘gebruikt’ hebben geanalyseerd uit ‘The List’.

“Verweesde” CA’s die in het systeem blijven hangen

We vonden grote hoeveelheden van de vertrouwde CA’s eigenlijk ongebruikt zijn. Elke extra CA is een potentiele bron van risico, dus dit is enigzins verontrustend. Microsoft, bijvoorbeeld heeft nog geen 72% van zijn trust store gebruikt.

Daarentegen, de leverancier wiens trust store het hoogste gebruikspercentage van ‘The List’ is Android met nog maar 37% ongebruikt. Dit is nog steeds een significant hoog percentage.

Distributie van trust store certificaten door geolokalisatie

Bovenstaande kaart is gemaakt door te kijken naar de trust store voor alle bronnen en de certificaten te groeperen op basis van een landcode (attribuut C) die in het certificaat zelf gedefinieerd is. Elk land is in kaart gebracht op een coördinaat en op de kaart getekend met een cirkelgrootte die verhoudingsgewijs het aantal certificaten weergeeft in elke groep.

Wie zit er achter de CA’s?

Zoals eerder genoemd, zijn de stamcertificaten die de CA’s identificeren privé eigendom. Blijkbaar is er geen regelgevende instantie die beslist welke CA’s te vertrouwen zijn. Terwijl de certificaten zelf zijn onderworpen aan een gedefinieerde standard (X.509 [6.1]), is de manier waarop een publieke CA zijn gebruikers authentificeert. Deze middelen kunnen aanzienlijk variëren [6.2]. Twee veel voorkomende vormen van verificatie zijn basisdomeinvalidatie, waarbij alleen het domeineigendom wordt  geverifieerd. Uitgebreide validatie zou betrouwbaarder zijn en zou dieper in gaan op hetgeen wat de organisatie aanbiedt op een website of dienst via HTTPS, maar het wordt zelden gebruikt. Het enige geval dat daadwerkelijk controle biedt over deze praktijken en de betrouwbaarheid van CA’s zijn de vier grote browsers: Google/Chrome, Mozilla/Firefox, Apple/Safari en Microsoft/Edge.

Naast de ontbrekende transparantie is het een feit dat CA’s hun bevoegdheid om certificaten uit te kunnen (en doen) geven aan ondergeschikte CA’s (die dit op hun beurt kunnen doorgeven aan dochterondernemingen). Dit resulteert in een certificatenketen, welke teruggeleid kan worden naar de roots. Dit maakt het echter niet gemakkelijker om na te gaan of de afgegeven certificaten daadwerkelijk zijn geverifieerd, in een mate die het vertrouwen dat wij erin stellen, rechtvaardigt. Als particuliere organisatie zou het verreweg het interessantst zijn om te weten wie de eigenaar is van de certificaten.

Om te illustreren met welke mate van verduistering we daarbij te maken hebben, hebben we geprobeerd te onderzoeken welk bedrijf er eigenlijk achter AddTrust zit, de stam CA achter elk derde certificaat dat we in The List tegenkwamen (zie het resultaat in het volledige rapport).

Conclusie

Het is duidelijk dat er iets mis is met de infrastructuur die we onze dataverbindingen toevertrouwen. Het is vooral duidelijk dat het moeilijk is om te bepalen wie en wat je eigenlijk vertrouwt, zelfs als je er naar zou kijken. U vertrouwt impliciet CA’s van geolocaties die u misschien niet vertrouwt, als u het had geweten.

CA’s zelf zijn organisaties die al dan niet betrouwbaar kunnen verifiëren aan wie ze certificaten afgeven, maar er is geen gemeenschappelijke controleautoriteit naast de grote browsers; en ze gebruiken gewoon de kracht van hun marktdominantie om de ondersteuning voor dubieuze CA’s te laten vallen. Is dit voldoende, gezien de cruciale rol die certificaten spelen in veilige communicatie?

De kern van het probleem is dat het zeer ondoorzichtig is voor eindgebruikers die ze eigenlijk volledig vertrouwen.

Wanneer we bijvoorbeeld vertrouwen hebben in AddTrust, een van de meest voorkomende CA’s, vertrouwen we op een autoriteit die als organisatie niet eens meer bestaat. Deze stam certificaten zijn gekocht door Comodo, nu Sectigo. Dit illustreert perfect de intransparantie van de PKI.

Dit is waarschijnlijk slechts het topje van de ijsberg.

Dit is slechts een van de onderwerpen die u kunt vinden in het Annual Security Report. Er valt nog veel meer te ontdekken: aanvalspatronen voor verschillende verticals, crucialiteit, pentest- en CSIRT-stories, artikelen over databreuken in de gezondheidszorg & elders, voorspellingen van bedreigingen en nog veel meer! U kunt het rapport hieronder gratis downloaden.

More ASR:

Download the report

See the big picture, feel the heartbeat of cybersecurity in Europe. Your free download is waiting for you:

Download