Deutscher Sicherheitsforscher trickst Symantec mit gefälschten Private Keys aus

Der deutsche Sicherheitsforscher und Journalist Hanno Böck hat Symantec mithilfe von gefälschten Private Keys dazu gebracht, zwei legitime Domains sowie die zugehörigen Sicherheitszertifikate zu sperren. Dem US-Sicherheitsanbieter, der schon früher wegen seines Umgangs mit Sicherheitszertifikaten kritisiert wurde, wirft er vor, die Sperrung ohne eine ausreichende Prüfung der vorgelegten Beweise vorgenommen zu haben.

Böck hatte nach eigenen Angaben zwei Domains registriert. Von Symantec und dem Registrar Comodo bezog er zudem zwei kostenlose TLS-Zertifikate für die Domains. Anschließend erstellte er für jede Domain einen Satz gefälschter Private Keys und lud diese auf Pastebin hoch. Seine gefälschten Schlüssel verbarg er in einer Liste mit echten und öffentlich verfügbaren Private Keys. Comodo und Symantec fordert er schließlich auf, die Zertifikate zu widerrufen, da seine geheimen Schlüssel öffentlich zugänglich seien.

Während Comodo nicht reagierte, teilte ihm Symantec mit, es habe sein Zertifikat für ungültig erklärt. „Es wurde niemandem geschadet, weil das Zertifikat nur für meine eigene Test-Domain ausgestellt wurde“, schreibt Böck in seinem Blog. „Aber ich hätte auch die Privaten Schlüssel für die Zertifikate anderer Leute fälschen können. Symantec hätte sie wahrscheinlich ebenfalls zurückgezogen und damit einen Ausfall dieser Seiten verursacht. Ich hätte sogar falsche Schlüssel für Symantecs eigenes Zertifikat erstellen können.“

„Symantec hat einen großen Fehler gemacht, weil es ein Zertifikat aufgrund vollständig gefälschter Beweise zurückgezogen hat“, ergänzte Böck. Mit seinem Test habe er herausfinden wollen, wie genau die Aussteller von Zertifikaten kompromittierte Schlüssel überprüfen. „Natürlich würde man erwarten, dass sie kryptografisch prüfen, ob ein veröffentlichter Schlüssel tatsächlich der private Schlüssel für ein bestimmtes Zertifikat ist.“ Genau das sei aber im Fall von Symantec nicht geschehen.

„Dafür gibt es kaum eine Entschuldigung und es zeigt, dass sie eine Certificate Authority ohne das benötigte kryptografische Wissen betreiben.“ Auch nachdem er Symantec mitgeteilt habe, dass die privaten Schlüssel gefälscht waren, habe das Unternehmen die Sperre seines Zertifikats nicht aufgehoben.

Google hatte Symantec bereits im März gravierende Fehler bei der Vergabe von Sicherheitszertifikaten vorgeworfen. Die Zertifikate wiederum bestätigen Nutzern eine per TLS/SSL verschlüsselte HTTP-Verbindung sowie die digitale Identität einer Website. Symantecs Vergabepraxis sowie mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen soll zur Ausstellung fehlerhafter Zertifikate beigetragen haben. Als Folge kündigte Google an, die Gültigkeit von Symantec-Zertifikaten schrittweise zu verringern.

Symantec kündigte daraufhin eine unabhängige Untersuchung und mehr Transparenz an. Anfang der Woche bat es zudem um eine Fristverlängerung für Zertifikate, die vor Juni 2016 erstellt wurden. Google und auch Mozilla sollen diesen Zertifikaten mit ihren Browsern Chrome und Firefox erst ab dem 1. Mai 2018 und nicht schon ab 31. August das Vertrauen entziehen. Zuletzt machen Gerüchte die Runde, wonach Symantec versucht, sein Zertifikatsgeschäft zu veräußern.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Chris Duckett, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

5 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

9 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

10 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago