Encryptiesleutels via Google te oogsten - update
Gepubliceerd: Maandag 2 mei 2011
Auteur: Brenno de Winter
Diverse bedrijven en ondernemingen blijken de waarde van hun encryptie te ondermijnen door de geheime sleutel op internet te zetten. Google indexeert alle sleutels.
Via een simpele zoekactie is meteen duidelijk wie de geheime sleutel leesbaar op zijn webserver heeft staan. Het gaat om sleutels voor de software van PGP (Pretty Good Privacy) of de open source-variant GnuPG. Dit door organisaties zelf lekken van hun encryptiesleutels is ontdekt door Ilias el Matani, die Webwereld via Twitter informeerde.
Geloofwaardige vervalsing
De gelekte sleutels zijn niet alleen geschikt om berichten te ontcijferen, maar maakt het ook mogelijk om namens een organisatie een handtekening te zetten. Berichten kunnen dan dus geheel geloofwaardig vervalst worden.
Het type versleuteling van PGP is public key infrastructure (pki) waarbij gewerkt wordt met een sleutelpaar. Zo is er een 'public key', die voor iedereen toegankelijk moet zijn. Daarmee kunnen namelijk berichten op authenticiteit worden gecontroleerd en is het mogelijk om een bericht aan iemand te sturen. Het tweede gedeelte, de 'private key', mag niet openlijk toegankelijk zijn, zeker niet op internet. Alleen de eigenaar, die versleutelde berichten verstuurt, moet daar toegang toe hebben.
Via Google vinden
Het probleem is dat in een aantal gevallen juist die 'private key' of geheime sleutel wel op internet te vinden is. Daarmee kan een aanvaller misbruik maken en namens de eigenaar optreden.
In zo'n 100 gevallen zijn de sleutels via Google te vinden. Daarbij zijn er daadwerkelijk valide encryptiesleutels te vinden van bedrijven en organisaties. Daaronder niet alleen kleintjes, maar ook standaardenorganisatie W3C (verantwoordelijk voor de standaarden op internet) en het Nederlandse hostingbedrijf Leaseweb. In een aantal gevallen zou het volgens de via Google gevonden gegevens gaan om slechts een test-server.
Wel kraken
Overigens betekent het openbaar worden van de sleutel niet dat een aanvaller meteen de identiteit van de PGP-gebruikende partij heeft gestolen. Normaliter zijn de sleutels beveiligd met een wachtwoord. Dat valt met een aanval echter wel te kraken. Het zal dus van de sterkte van het wachtwoord afhangen of de betrokken partijen gedupeerd zijn.
Het is gebruikelijk dat na het verlies van een geheime sleutel de sleutel ongeldig wordt verklaard via een zogeheten revocation certificaat. Het is niet bekend hoe lang de uitgelekte sleutels al op deze manier toegankelijk zijn. Het is dus ook onbekend hoe lang kwaadwillenden al toegang tot de privésleutels hebben, of hoe lang ze al de tijd hebben voor een aanval op eventueel gebruikte wachtwoorden voor die sleutels.
Update:Hostingbedrijf Leaseweb laat aan Webwereld weten dat de via Google te vinden encryptiesleutel geen zelf gebruikte sleutel is. Het gaat om een testsleutel van besturingssysteem NetBSD, vertelt security officer Alex de Joode. "Hij staat op mirror.leaseweb en dit heeft dus niets met Leaseweb te maken."
