Das aus den Vereinigten Arabischen Emiraten stammende Unternehmen Dark Matter betreibt eine TLS-Zertifizierungsstelle. Ein Reuters-Bericht zeigt auf, dass das Unternehmen im staatlichen Auftrag Menschenrechtsaktivisten durch Sicherheitsl\u00fccken angreift. Dieser enth\u00fcllte Zertifikats-Skandal stellt die Ernennung von Millionen Root CA in Frage.<\/p>\n
In einem Bericht der Nachrichtenagentur Reuters geht es um die Firma Dark Matter. Diese soll im Auftrag der arabischen Regierung Hackingoperationen durchf\u00fchren, die zum Teil auf Menschenrechtsaktivisten abzielen. Weiter betreibt das Unternehmen eine Zertifizierungsstelle f\u00fcr TLS-Zertifikate.<\/p>\n
Dark Matter stellt sich nach au\u00dfen als Unternehmen dar, welches Sicherheitshardware verkauft. Zumindest teilweise k\u00f6nnte dies jedoch eine Tarnung f\u00fcr die tats\u00e4chlichen T\u00e4tigkeiten der Firma sein. Browser-Hersteller \u00fcberlegen derzeit, wie sie damit umzugehen haben.<\/p>\n
Laut dem Reuters-Bericht arbeitete eine Gruppe ehemaliger NSA-Angestellter viele Jahre f\u00fcr eine Operation mit dem Namen \u201cProject Raven\u201d f\u00fcr Dark Matter. Die Firma soll in der Lage gewesen sein<\/a>, durch Zero-Day-L\u00fccken iOS-Ger\u00e4te anzugreifen und zu kontrollieren.<\/p>\n Auch Menschenrechtsaktivisten gelangten ins Visier von Project Raven. Viele der Aussagen aus dem Reuters-Bericht stammen von der ehemaligen NSA-Mitarbeiterin Lori Stroud, die heute als Whistleblowerin aktiv ist. Als sie mitbekam, dass Project Raven auch US-B\u00fcrger ausspionierte, wandte sie sich an die Presse.<\/p>\n Vor geraumer Zeit hat Dark Matter die Aufnahme als Root CA in die Liste vertrauensw\u00fcrdiger Zertifizierungsstellen bei Mozilla beantragt<\/a>. F\u00fcr jeden Browser existiert eine solche Liste mit Zertifikaten solcher Root-Zertifizierungsstellen. SSL-Zertifikate werden grunds\u00e4tzlich daraufhin gepr\u00fcft, ob sie von einer solchen CA signiert wurden.<\/p>\n Sind Zertifikate von einer CA dort eingetragen, kann die CA unberechtigt SSL-Zertifikate f\u00fcr Websites ausstellen. Wenngleich es in den vergangenen Jahren zahlreiche Bem\u00fchungen gab, solchen Zertifikatsmissbrauch einzud\u00e4mmen, lassen sich bis heute Angriffe dieser Art nicht vollst\u00e4ndig verhindern.<\/p>\n Die EFF (Electronic Frontier Foundation) hatte mitbekommen, was Dark Matter vorhat. In einem Blogpost<\/a> rief sie Mozilla dazu auf, dem Unternehmen nicht zu vertrauen. Aus dem Blogpost geht hervor, dass Dark Matter bereits \u00fcber ein g\u00fcltiges Zwischenzertifikat verf\u00fcgt. Hei\u00dft: Dark Matter kann bereits SSL-Zertifikate f\u00fcr Websites ausstellen.<\/p>\n Wayne Thayer ist bei Mozilla f\u00fcr die Liste der Root-Zertifikate zust\u00e4ndig. Er erl\u00e4uterte in einer E-Mail die Situation<\/a> und bat die Mozilla-Community um Feedback. Thayer deutete bereits an, dass es m\u00f6glich w\u00e4re, den Antrag von Dark Matter abzulehnen und das Zwischenzertifikat im Firefox-Browser zu sperren.<\/p>\n Da durch das Zwischenzertifikat die von Dark Matter ausgestellten SSL-Zertifikate von anderen Browsern akzeptiert werden, wartet man nun auf Aussagen von Apple, Google und Microsoft.<\/p>\n Das Problem an der Sache: Erf\u00fcllt eine CA die technischen Anforderungen zur Aufnahme als Root CA, ist es schwierig, sie abzulehnen.<\/p>\n Dark Matter erf\u00fcllte die technischen Anforderungen mit Bravour. Bis ein findiger Kopf ein Schlupfloch entdeckte: Das Zwischenzertifikat k\u00f6nnte den Spezifikationen eben doch nicht gen\u00fcgen.<\/p>\n Die Seriennummer des Zwischenzertifikats war ein 64-Bit-Integer. Jedoch hat man das erste Bit f\u00fcrs Vorzeichen genutzt, sodass es nicht mehr zuf\u00e4llig war – eine dringende Voraussetzung. Die jetzt bleibenden 63 zuf\u00e4lligen Bits verletzten die CA\/B Forum-Richtlinien, die nach 64 zuf\u00e4lligen Bits verlangen.<\/p>\n Jeder Sicherheitsexperte wei\u00df, dass sich daraus kein wirkliches Sicherheitsproblem entwickeln kann. Um Angriffe zu verhindern, reichen auch 63 Bit aus. Darum ging es jedoch niemandem – sondern endlich hatte man ein Argument an der Hand, um die Anerkennung der Root CA Dark Matter zu verhindern.<\/p>\n Nat\u00fcrlich ging auch dies nicht ohne ein Aber: Die Open Source-Software EJBCA erzeugt solche IDs<\/a>. Und die werden nicht nur von Dark Matter, sondern auch von Riesen-CAs von GoDaddy, Google oder Apple genutzt. Dementsprechend waren nicht mehr nur die Dark Matter-Zertifikate betroffen, sondern Millionen weitere, die nun eigentlich gesperrt und neu ausgestellt geh\u00f6ren. Das jedoch birgt nicht nur diverse Risiken, sondern kostet viel, viel Geld. Die CAs konkretisieren aktuell die Anzahl der betroffenen Zertifikate.<\/p>\n Situationen wie diese sind es, die uns, der PSW GROUP, Recht geben: In unserem Portfolio finden Sie SSL\/TLS-Zertifikate<\/a> ausschlie\u00dflich von namhaften und langj\u00e4hrig etablierten Anbietern. Haben Sie Fragen zu Ihrer Zertifizierungsstelle oder Ihrem SSL-Zertifikat, k\u00f6nnen Sie sich vertrauensvoll an uns wenden – nehmen Sie einfach Kontakt<\/a> auf.<\/p>\nMozilla Community vs. Dark Matter<\/h2>\n
Seriennummer der Root CA nicht zuf\u00e4llig genug<\/h3>\n
Warum ein fehlendes Bit gro\u00dfe Fragen aufwirft<\/h2>\n