Een slide uit een NSA-presentatie waarin DigiNotar wordt genoemd zou volgens Schneier duiden op een mogelijke betrokkenheid van de inlichtingendienst bij de hack van Diginotar. Een andere optie is dat NSA vervalste SSL-certificaten van het Nederlandse bedrijf bij de hacker zelf heeft gestolen. Het betreffende NSA-document is in handen van een Braziliaans tv-programma en is afkomstig van klokkenluider Edward Snowden.

"Een screenshot impliceert dat de DigiNotar-hack of het werk was van de NSA of door de NSA gebruikt werd", stelt Schneier. NRC Handelsblad schrijft dat Schneier er 'zeker van is' dat er 'sprake is van een link tussen NSA en DigiNotar'. Schneier werkte mee aan de analyse van de documenten.

Twijfels

Andere beveiligingsexperts betwijfelen of de vermelding van Diginotar door de NSA duidt op een vorm van betrokkenheid. "Ik denk dat het als voorbeeld van een MITM-aanval is genoemd", aldus Ronald Prins van beveiligingsbedrijf FOX-It, dat eerder onderzoek deed naar de DigiNotar-hack.

De tekst in de Powerpoint-slide meldt dat een programma rond SSL-certificaten van de Britse geheime dienst GCHQ genaamd 'Flying Pig' werd gebruikt om een 'buitenlandse inlichtingendienst' die de gestolen Diginotar-certificaten gebruikte te identificeren. "Het is erg onwaarschijnlijk dat de hier genoemde inlichtingendienst verwijst naar de NSA, omdat de GCHQ en NSA nauw samenwerken", stelt softwareontwikkelaar Koen Rouwhorst die een screenshot uit de Braziliaanse documentaire publiceerde.

Het tv-programma meldde dat de NSA zogeheten man-in-the-middle-aanvallen (MITM) inzet waarbij met een vals SSL-certificaat specifiek webverkeer van bijvoorbeeld Gmail of Hotmail wordt omgeleid. Zo is de onversleutelde inhoud van berichten af te tappen. De NSA gebruikte de methode om onder meer Google zelf, het banksysteem SWIFT en de Braziliaanse oliemaatschappij Petrobras te bespioneren.

Iran

Een Iraanse hacker zou destijds de DigiNotar-hack hebben geclaimd. Uit een onderzoek door Fox-IT bleek dat de valse SSL-certificaten tegen 300.000 internetters zijn ingezet. "Zij bevonden zich nagenoeg exclusief in de Islamitische Republiek Iran."

De DigiNotar-hack werd ontdekt toen een Iraanse Gmail-gebruiker een vreemde melding kreeg in Chrome. Google heeft zijn browser voorzien van aanvullende certificaatcontrole, wat het valse certificaat blootlegde. De hack leidde tot de ondergang van DigiNotar.