Deutscher Sicherheitsforscher trickst Symantec mit gefälschten Private Keys aus

Der deutsche Sicherheitsforscher und Journalist Hanno Böck hat Symantec mithilfe von gefälschten Private Keys dazu gebracht, zwei legitime Domains sowie die zugehörigen Sicherheitszertifikate zu sperren. Dem US-Sicherheitsanbieter, der schon früher wegen seines Umgangs mit Sicherheitszertifikaten kritisiert wurde, wirft er vor, die Sperrung ohne eine ausreichende Prüfung der vorgelegten Beweise vorgenommen zu haben.

Böck hatte nach eigenen Angaben zwei Domains registriert. Von Symantec und dem Registrar Comodo bezog er zudem zwei kostenlose TLS-Zertifikate für die Domains. Anschließend erstellte er für jede Domain einen Satz gefälschter Private Keys und lud diese auf Pastebin hoch. Seine gefälschten Schlüssel verbarg er in einer Liste mit echten und öffentlich verfügbaren Private Keys. Comodo und Symantec fordert er schließlich auf, die Zertifikate zu widerrufen, da seine geheimen Schlüssel öffentlich zugänglich seien.

Während Comodo nicht reagierte, teilte ihm Symantec mit, es habe sein Zertifikat für ungültig erklärt. „Es wurde niemandem geschadet, weil das Zertifikat nur für meine eigene Test-Domain ausgestellt wurde“, schreibt Böck in seinem Blog. „Aber ich hätte auch die Privaten Schlüssel für die Zertifikate anderer Leute fälschen können. Symantec hätte sie wahrscheinlich ebenfalls zurückgezogen und damit einen Ausfall dieser Seiten verursacht. Ich hätte sogar falsche Schlüssel für Symantecs eigenes Zertifikat erstellen können.“

„Symantec hat einen großen Fehler gemacht, weil es ein Zertifikat aufgrund vollständig gefälschter Beweise zurückgezogen hat“, ergänzte Böck. Mit seinem Test habe er herausfinden wollen, wie genau die Aussteller von Zertifikaten kompromittierte Schlüssel überprüfen. „Natürlich würde man erwarten, dass sie kryptografisch prüfen, ob ein veröffentlichter Schlüssel tatsächlich der private Schlüssel für ein bestimmtes Zertifikat ist.“ Genau das sei aber im Fall von Symantec nicht geschehen.

„Dafür gibt es kaum eine Entschuldigung und es zeigt, dass sie eine Certificate Authority ohne das benötigte kryptografische Wissen betreiben.“ Auch nachdem er Symantec mitgeteilt habe, dass die privaten Schlüssel gefälscht waren, habe das Unternehmen die Sperre seines Zertifikats nicht aufgehoben.

Google hatte Symantec bereits im März gravierende Fehler bei der Vergabe von Sicherheitszertifikaten vorgeworfen. Die Zertifikate wiederum bestätigen Nutzern eine per TLS/SSL verschlüsselte HTTP-Verbindung sowie die digitale Identität einer Website. Symantecs Vergabepraxis sowie mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen soll zur Ausstellung fehlerhafter Zertifikate beigetragen haben. Als Folge kündigte Google an, die Gültigkeit von Symantec-Zertifikaten schrittweise zu verringern.

Symantec kündigte daraufhin eine unabhängige Untersuchung und mehr Transparenz an. Anfang der Woche bat es zudem um eine Fristverlängerung für Zertifikate, die vor Juni 2016 erstellt wurden. Google und auch Mozilla sollen diesen Zertifikaten mit ihren Browsern Chrome und Firefox erst ab dem 1. Mai 2018 und nicht schon ab 31. August das Vertrauen entziehen. Zuletzt machen Gerüchte die Runde, wonach Symantec versucht, sein Zertifikatsgeschäft zu veräußern.

[mit Material von Chris Duckett, ZDNet.com]