Het huidige onderzoek naar een cyberinbraak bij GlobalSign leidt tot verhoogde waakzaamheid bij de Belgische overheid en zijn beveiligingsinstituut, CERT.be.

En daar zijn goede redenen voor, aangezien GlobalSign de exclusieve overheidspartner is in de hele architectuur van certificaatautoriteiten (CA's). In Nederland is DigiNotar slechts één van de zeven gemachtigde CA's van de Staat. Bovendien heeft elke Belgische burger een eID-pas met een GlobalSign-sleutel op een chip.

Eenvoudig en robuust

Toch zijn onze zuiderburen uitstekend voorbereid op een eventuele calamiteit bij GlobalSign, vertelt Christian Van Heurck, securitycoördinator bij CERT.be, aan Webwereld.

“We hebben uiteraard pertinente vragen gesteld aan GlobalSign en volgen de zaak nauw op", verzekert Van Heurck. Hij legt uit dat de architectuur van de certificaatketen in België veel eenvoudiger en robuuster is dan die in Nederland.

Bovendien zit er redundantie is het systeem, waardoor de huidige afhankelijkheid van de exclusieve partner GlobalSign niet fataal kan worden. Van Heurck verwacht dan ook dat de impact van het mogelijk wegvallen van de GlobalSign Root op de rest van de CA-structuur “gering" is.

Belgische CA structuur CA structuur van Belgische overheid. Zie groter plaatje.

Van Heurck geeft uitleg bij de afbeelding van de Belgische CA's. De twee Belgium Root CA's (BRCA's) zijn fysiek helemaal gescheiden, maar hebben hetzelfde sleutelpaar. BRCA SS kan in noodgeval worden losgekoppeld en doorgaan als zogenaamde self signing root.

Offline verder, eID niet in gevaar

Het probleem is wel dat deze niet door browsers wordt vertrouwd. Die BRCA SS kan dan ook alleen dienen voor overheidsinterne, offline authenticatie. Maar het eID-systeem kan hierdoor gewoon blijven functioneren, vertelt Van Heurck. De kritieke infrastructuur hiervan is helemaal in eigen beheer.

Paul van Brouwershaven, cto van Networking4all, is onder de indruk van de CA structuur van de Belgische overheid. “Ten eerste valt het me op dat dit allemaal publieke informatie is. Dat schept al vertrouwen."

Migreren naar nieuw trust anker

Van Brouwershaven ziet ook dat de Belgische staat “voor 100 procent afhankelijk" is van GlobalSign als trust anker. Toch kan de BRCA SS zonder anker self signed verder, en niet alleen dat. “Met de niet-gecompromitteerde private key van BRCA kan men dan een nieuwe public key genereren, die kan aanhaken op een nieuw trust anker van een andere, externe CA."

Dat is feitelijk de situatie zoals links van het paarse kader is geschetst met Cybertrust. Die tak is echter niet geïmplementeerd, vertelt Van Heurck, maar dat kan snel geregeld zijn.

Van Brouwershaven concludeert dat de Belgische CA-opzet “doordacht en solide" is, zeker in vergelijking met die van Nederland.

Nederlandse boot is lek

Een gepaste analogie hierbij is een boot met een anker. In Nederland is het anker van de Staat en wordt de boot beheerd door zeven gemachtigde partijen. Als één van die partijen, zoals nu DigiNotar, gekraakt is, is het anker weliswaar ongeschonden, maar de boot lek.

De Belgische boot is anders gebouwd. Mocht GlobalSign gekraakt zijn dan valt het anker weg en slaat de boot op drift, maar is wel intact. De kapitein kan later, met een nieuw anker, het schip opnieuw zekeren. Van Brouwershaven stipt wel aan dat als één van de Belgium Roots gecompromitteerd raakt het hele systeem wel implodeert.

eID volwaardig en veilig

Hij prijst vooral het Belgische eID-systeem, dat veel breder én veiliger is dan bijvoorbeeld DigiD. “Met eID kunnen burgers zich veilig identificeren én authenticeren. Het is een volwaardige digitale handtekening. Een ander voordeel is betere privacy. Geen fotokopieën van paspoorten die rondslingeren, een signature is voldoende."

Ook Oscar Koeroo, security en grid computing specialist bij Nikhef, prijst de “functionele decompositie" van de Belgium CA's. “Het is slim om de keypairs gelijk te houden, mits ze die goed in een kluis of HSM module hebben zitten, wat ik wel aanneem. Ook slim dat ze een exit strategie hebben. Dikke kudos", reageert Koeroo per mail.

Hij wijst er nog op dat de overheid in geval van nood, als het anker is weggevallen, de Belgium Root SS ook online actief zou kunnen maken door burgers de CA handmatig in de browser te laten installeren.

GlobalSign en Fox-IT spitten

GlobalSign en Fox-IT zijn nog druk aan het spitten in het netwerk en de infrastructuur om te achterhalen of de 'Comodohacker' inderdaad heeft ingebroken. De hacker - of hackers - publiceerde woensdagavond een nieuwe verklaring online, waarin hij claimt de systemen van GlobalSign grondig te hebben gekraakt.

“Puzzelstukje na stukje wordt ontrafeld. Momenteel worden al onze systemen wereldwijd onderzocht. We houden contact met alle operaties", meldt Ronald DeTemmerman, General Manager van GlobalSign België aan Webwereld. “Er zijn nog altijd geen duidelijke aanwijzingen van een comprommitering. Maar we kunnen nog niets uitsluiten. De zaak is nog in onderzoek."

Waarheid en vertrouwen

Van Heurck van CERT.be is blij dat er een onafhankelijk onderzoek wordt gedaan naar de mogelijke cyberkraak bij GlobalSign. “Want het enige juiste antwoord is een antwoord waar we op kunnen vertrouwen. De waarheid is het belangrijkste, wat die ook is. Een volledig en open rapport met correcte informatie is van het grootste belang, voor iedereen."

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.