Deutscher Sicherheitsforscher trickst Symantec mit gefälschten Private Keys aus

Der deutsche Sicherheitsforscher und Journalist Hanno Böck hat Symantec mithilfe von gefälschten Private Keys dazu gebracht, zwei legitime Domains sowie die zugehörigen Sicherheitszertifikate zu sperren. Dem US-Sicherheitsanbieter, der schon früher wegen seines Umgangs mit Sicherheitszertifikaten kritisiert wurde, wirft er vor, die Sperrung ohne eine ausreichende Prüfung der vorgelegten Beweise vorgenommen zu haben.

Böck hatte nach eigenen Angaben zwei Domains registriert. Von Symantec und dem Registrar Comodo bezog er zudem zwei kostenlose TLS-Zertifikate für die Domains. Anschließend erstellte er für jede Domain einen Satz gefälschter Private Keys und lud diese auf Pastebin hoch. Seine gefälschten Schlüssel verbarg er in einer Liste mit echten und öffentlich verfügbaren Private Keys. Comodo und Symantec fordert er schließlich auf, die Zertifikate zu widerrufen, da seine geheimen Schlüssel öffentlich zugänglich seien.

Während Comodo nicht reagierte, teilte ihm Symantec mit, es habe sein Zertifikat für ungültig erklärt. „Es wurde niemandem geschadet, weil das Zertifikat nur für meine eigene Test-Domain ausgestellt wurde“, schreibt Böck in seinem Blog. „Aber ich hätte auch die Privaten Schlüssel für die Zertifikate anderer Leute fälschen können. Symantec hätte sie wahrscheinlich ebenfalls zurückgezogen und damit einen Ausfall dieser Seiten verursacht. Ich hätte sogar falsche Schlüssel für Symantecs eigenes Zertifikat erstellen können.“

„Symantec hat einen großen Fehler gemacht, weil es ein Zertifikat aufgrund vollständig gefälschter Beweise zurückgezogen hat“, ergänzte Böck. Mit seinem Test habe er herausfinden wollen, wie genau die Aussteller von Zertifikaten kompromittierte Schlüssel überprüfen. „Natürlich würde man erwarten, dass sie kryptografisch prüfen, ob ein veröffentlichter Schlüssel tatsächlich der private Schlüssel für ein bestimmtes Zertifikat ist.“ Genau das sei aber im Fall von Symantec nicht geschehen.

„Dafür gibt es kaum eine Entschuldigung und es zeigt, dass sie eine Certificate Authority ohne das benötigte kryptografische Wissen betreiben.“ Auch nachdem er Symantec mitgeteilt habe, dass die privaten Schlüssel gefälscht waren, habe das Unternehmen die Sperre seines Zertifikats nicht aufgehoben.

Google hatte Symantec bereits im März gravierende Fehler bei der Vergabe von Sicherheitszertifikaten vorgeworfen. Die Zertifikate wiederum bestätigen Nutzern eine per TLS/SSL verschlüsselte HTTP-Verbindung sowie die digitale Identität einer Website. Symantecs Vergabepraxis sowie mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen soll zur Ausstellung fehlerhafter Zertifikate beigetragen haben. Als Folge kündigte Google an, die Gültigkeit von Symantec-Zertifikaten schrittweise zu verringern.

Symantec kündigte daraufhin eine unabhängige Untersuchung und mehr Transparenz an. Anfang der Woche bat es zudem um eine Fristverlängerung für Zertifikate, die vor Juni 2016 erstellt wurden. Google und auch Mozilla sollen diesen Zertifikaten mit ihren Browsern Chrome und Firefox erst ab dem 1. Mai 2018 und nicht schon ab 31. August das Vertrauen entziehen. Zuletzt machen Gerüchte die Runde, wonach Symantec versucht, sein Zertifikatsgeschäft zu veräußern.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

[mit Material von Chris Duckett, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Allianz für weiteres Wachstum: TIMETOACT GROUP erwirbt Transformationsexperten PKS

Führender Anbieter von IT-Dienstleistungen für Mittelständler, Konzerne und öffentliche Einrichtungen im DACH-Raum erwirbt Software-Transformationsexperten.

2 Stunden ago

CrowdStrike: Verbreitung von Linux-Malware nimmt zu

Das Plus liegt im Vergleich zu 2020 bei rund 35 Prozent. Am häufigsten kommen die…

18 Stunden ago

Auch moderne Smartphones von Sicherheitslücken in 2G-Netzwerken betroffen

Google bietet nun in Android 12 grundsätzlich die Option, 2G-Netze nicht zu nutzen. Die EFF…

18 Stunden ago

Microsoft: Gegen Ukraine eingesetzte Malware ist keine Ransomware

Sie ersetzt den Master Boot Record durch eine Lösegeldforderung. Die Malware besitzt jedoch keine Funktion,…

2 Tagen ago

ASM hilft Risiken priorisieren

Die Marktforscher von Forrester erklären das Thema Attack Surface Management (ASM) zum neuen Trend aus.…

2 Tagen ago

Schwachstellen in AWS Glue und AWS Cloud Formation entdeckt

Das Orca Security Research Team hat Sicherheitslücken im Amazon Web Services AWS Glue-Service sowie zur…

5 Tagen ago