Deutscher Sicherheitsforscher trickst Symantec mit gefälschten Private Keys aus

Der deutsche Sicherheitsforscher und Journalist Hanno Böck hat Symantec mithilfe von gefälschten Private Keys dazu gebracht, zwei legitime Domains sowie die zugehörigen Sicherheitszertifikate zu sperren. Dem US-Sicherheitsanbieter, der schon früher wegen seines Umgangs mit Sicherheitszertifikaten kritisiert wurde, wirft er vor, die Sperrung ohne eine ausreichende Prüfung der vorgelegten Beweise vorgenommen zu haben.

Böck hatte nach eigenen Angaben zwei Domains registriert. Von Symantec und dem Registrar Comodo bezog er zudem zwei kostenlose TLS-Zertifikate für die Domains. Anschließend erstellte er für jede Domain einen Satz gefälschter Private Keys und lud diese auf Pastebin hoch. Seine gefälschten Schlüssel verbarg er in einer Liste mit echten und öffentlich verfügbaren Private Keys. Comodo und Symantec fordert er schließlich auf, die Zertifikate zu widerrufen, da seine geheimen Schlüssel öffentlich zugänglich seien.

Während Comodo nicht reagierte, teilte ihm Symantec mit, es habe sein Zertifikat für ungültig erklärt. „Es wurde niemandem geschadet, weil das Zertifikat nur für meine eigene Test-Domain ausgestellt wurde“, schreibt Böck in seinem Blog. „Aber ich hätte auch die Privaten Schlüssel für die Zertifikate anderer Leute fälschen können. Symantec hätte sie wahrscheinlich ebenfalls zurückgezogen und damit einen Ausfall dieser Seiten verursacht. Ich hätte sogar falsche Schlüssel für Symantecs eigenes Zertifikat erstellen können.“

„Symantec hat einen großen Fehler gemacht, weil es ein Zertifikat aufgrund vollständig gefälschter Beweise zurückgezogen hat“, ergänzte Böck. Mit seinem Test habe er herausfinden wollen, wie genau die Aussteller von Zertifikaten kompromittierte Schlüssel überprüfen. „Natürlich würde man erwarten, dass sie kryptografisch prüfen, ob ein veröffentlichter Schlüssel tatsächlich der private Schlüssel für ein bestimmtes Zertifikat ist.“ Genau das sei aber im Fall von Symantec nicht geschehen.

„Dafür gibt es kaum eine Entschuldigung und es zeigt, dass sie eine Certificate Authority ohne das benötigte kryptografische Wissen betreiben.“ Auch nachdem er Symantec mitgeteilt habe, dass die privaten Schlüssel gefälscht waren, habe das Unternehmen die Sperre seines Zertifikats nicht aufgehoben.

Google hatte Symantec bereits im März gravierende Fehler bei der Vergabe von Sicherheitszertifikaten vorgeworfen. Die Zertifikate wiederum bestätigen Nutzern eine per TLS/SSL verschlüsselte HTTP-Verbindung sowie die digitale Identität einer Website. Symantecs Vergabepraxis sowie mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen soll zur Ausstellung fehlerhafter Zertifikate beigetragen haben. Als Folge kündigte Google an, die Gültigkeit von Symantec-Zertifikaten schrittweise zu verringern.

Symantec kündigte daraufhin eine unabhängige Untersuchung und mehr Transparenz an. Anfang der Woche bat es zudem um eine Fristverlängerung für Zertifikate, die vor Juni 2016 erstellt wurden. Google und auch Mozilla sollen diesen Zertifikaten mit ihren Browsern Chrome und Firefox erst ab dem 1. Mai 2018 und nicht schon ab 31. August das Vertrauen entziehen. Zuletzt machen Gerüchte die Runde, wonach Symantec versucht, sein Zertifikatsgeschäft zu veräußern.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Chris Duckett, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago