De beveiliging van alle digitale certificaten van de Nederlandse overheid en zijn zeven toegelaten uitgevers is onder de maat. Geen van de roots van de Staat of intermediaire roots van gemachtigden zoals DigiNotar en Getronics kent een beperking van de keten- of padlengte. Dit ontdekte Oscar Koeroo, ICT-expert bij Nikhef, gespecialiseerd in security en grid computing.

PKI geen padlengte

Extra risico

Door het niet beperken van de padlengte ondermijnt de overheid de controle op de eigen certificaatketen, en zijn er extra risico's op escalatie in het geval van een hack zoals bij DigiNotar, bevestigen verschillende experts uit de branche.

Bovendien voldoet de Nederlandse Staat niet aan de best practices in de markt: alle bekende commerciële certificaatverkopers hebben de padlengte van hun (sub-)roots wel beperkt.

Zonder het beperken van de padlengte, de Path Length Constraint, kunnen uitgevers, of hackers die toegangsrechten hebben tot de 'signing engines' van deze bedrijven, onbeperkt nieuwe Certification Authorities (CA's) aanmaken, die op hun beurt weer certificaten kunnen ondertekenen. De beheerder van het stamcertificaat kan hier niets tegen doen, behalve de stekker uit gehele keten trekken.

Oneindige CA's onder PKIOverheid

Net als de rest van de markt heeft ook DigiNotar de padlengte van zijn commerciële sub-CA's beperkt. Maar de PKIOverheid root van DigiNotar heeft géén beperking van ketenlengte. Stel dat de hackers ook toegang hebben gekregen tot deze root, dan konden ze onbeperkt zelf frauduleuze sub-CA's genereren, constateert Koeroo.

“Het is tot nog toe niet uit te sluiten dat de aanvallers ook hier certificaten van gegeneerd hebben en in het ergste geval een nieuw subordinate CA onder de "C=NL, O=DigiNotar B.V., CN=DigiNotar PKIoverheid CA Overheid en Bedrijven". Omdat er geen beperking is aangegeven met de Path Length Constraint waarde in 1 van de drie CA lagen van de certificaat keten kan een aanvaller een nieuwe CA beginnen, waardoor hij ongelimiteerd en offline geldige certificaten kan genereren."

PKI geen padlengte

Browsermakers gezwicht

Dat de browsermakers niet alle DigiNotar CA's, inclusief DigiNotar PKIoverheid CA in de ban hebben gedaan, is volgens Koeroo dan ook een kwalijke zaak.

Koeroo: “Dit is een lek in de beveiliging, omdat er nog niet is uitgesloten dat de aanvaller geen eigen sub-CA heeft aangemaakt in deze CA keten. Met een eigen sub-CA zou de aanvaller nog een sub-CA kunnen maken. Dit is immers iets dat ook oneindig door kan gaan. Met een extra tussenstap kan de aanvaller een sub-CA aanmaken die voldoet aan de naam die Firefox oogluikend toelaat. Het gevolg: groene of blauwe balken in uw browser en geen foutmelding te bespeuren op een gehackte site met "geldig" SSL certificaat."

Paul van Brouwershaven, cto van Networking4all, een Nederlands hostingbedrijf en SSL-certificaatverkoper, bevestigt na eigen onderzoek de bevindingen van Koeroo. Hij is verbaasd dat kritieke infrastructuur van de overheid niet voldoet aan de best practices die al jaren in de markt gelden. Een logische verklaring voor het ontbreken van de padlengte heeft Van Brouwershaven niet.

Foute boel

“Het rootcertificaat heeft nooit een Path Length Constraint. Maar de intermediaire CA's die daaronder hangen meestal wel. Ik kan me nog voorstellen dat de actieve root van de Staat ook geen beperkte padlengte heeft. Maar het zou wel een absolute eis moeten zijn aan de trusted third parties die op hun eigen infrastructuur PKIOverheids CA's draaien. Dit is foute boel."

Logius, de Rijksdienst verantwoordelijk voor het beheer van de rootcertificaten van de Staat der Nederlanden en de uitgifte ervan door derde partijen zoals DigiNotar, is donderdagmiddag op de hoogte gesteld van de bevindingen. Webwereld heeft meermaals verzocht om een inhoudelijke reactie, maar die heeft de organisatie tot dusver niet gegeven.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.