What the hack happened to digi notar (28-10-2011)
•
0 gostou•417 visualizações
Presentation for risk managers about the impact of the DigiNotar hack, in layman terms, explaining the basics of Public Key Infrastructures (PKI) and why CA's are important to be able to be trusted.
Recomendados
Recomendados
Mais conteúdo relacionado
Destaque
Destaque (7)
Semelhante a What the hack happened to digi notar (28-10-2011)
Semelhante a What the hack happened to digi notar (28-10-2011) (10)
Mais de Jaap van Ekris
Mais de Jaap van Ekris (17)
What the hack happened to digi notar (28-10-2011)
- 1. Who the hack is DigiNotar, and why should I care? Hoe een vertrouwens-structuur een zeer groot risico werd
- 2. In den beginne... • De spartaanse oorlog (500 B.C.) • Een fysiek object dient als sleutel • Gebruikt voor communicatie tussen commandanten
- 3. Geavanceerdere manieren... • Julius Cesar gebruikt de Cesarian cipher (56 B.C.) • Een offset van 3 in het alfabet • Werkte vooral goed omdat de vijand überhaupt geen latijn kon lezen
- 4. En dus kwamen de hackers... • Al-Kindi (9 B.C.) • Structurele analyse van versleutelde teksten • Werkte ook op de Ceasar Encryptie
- 5. Geheimen... A cryptosystem should be secure even if everything about the system, except the key, is public knowledge. Auguste Kerckhoffs (1883) The enemy knows the system Claude Shannon (1948)
- 6. En wordt de sleutel het probleem...
- 7. ...en is hij dat gebleven
- 8. Het probleem wordt key management • Elke vertrouwde D partij erbij laat het E C aantal sleutels exponentieel stijgen • En hoe doe je zaken F B met een volledig A G onbekende partij (webwinkel?)
- 9. Asymetrische encryptie • Geheime (Private) Key: De sleutel die maar een persoon heeft voor decryptie of ondertekening • Publieke (Public) Key: De sleutel die je mag uitdelen om zaken voor jou te versleutelen of de ondertekening te controleren • Maar hoe weet je zeker dat de sleutel van een vertrouwde partij komt?
- 10. PKI: Ketens van vertrouwde public keys Root CA ‘ Sub CA 1 Sub CA 2 Sub CA 3 Sub CA 4 Sub CA 5 Sub CA 6 Alice Bob
- 11. Gemakzucht dient de mens... • Alle besturingssystemen en browsers kennen een lijst van vertrouwde root CA’s • CA’s die dus per definitie een “slotje” in de browser opleveren en de gebruiker het idee geven vertrouwd te communiceren • DigiNotar was zo’n CA
- 12. Wat er gebeurde... • 10 juli: onterecht Google-certificaat verstrekt • 19 juli: blijken 247 certificaten onterecht zijn uitgegeven • 28 augustus: Iraanse twitter-gebruiker ontdekt probleem
- 13. Impact...
- 14. Impact... • De hacker kon elke beveiligde verbinding ongemerkt omleiden, afluisteren en modificeren • Had toegang tot extreem geheim sleutelmateriaal door “onhandig” gedrag CA
- 15. Vertrouwen is erg vluchtig
- 16. Waarop was vertrouwen gebaseerd? • Kleine maar lang bestaande speler • Toezicht was vooral procedureel, niet technisch • Ondanks eisen vanuit standaard
- 17. Maar is groter wel beter? Market Share VerSign et. Al. Comodo Other
- 18. Conclusies • De mechanismes van certificaten en CA’s onvertrouwd verklaren werken goed • Mensen zijn onachtzaam met risico’s omgegaan • We gaan ongemerkt steeds meer afhankelijk worden van enkele partijen...
Notas do Editor
- Gaat natuurlijk niet alleen om commandanten die met elkaar communiceren, maar ook om mensen die met hun bank willen praten.
- Het begin van een eeuwigdurende wedstrijd tussen cryptografen en cryptanalisten
- DigiNotar was zo’n Root CA. Nu kan iedereen een Root CA zijn, maar DigiNotar was een bijzondere....