Noch ein Sargnagel

Wie CAs das Vertrauen in die SSL-Technik weiter untergraben

Trends & News | News

Manche Zertifizierungsstellen für SSL-Schlüssel bieten einen zweifelhaften Komfort: Sie erzeugen auch die Schlüssel selbst und senden sie dann den Kunden zu. Damit ist der private Key alles andere als „privat“.

Wer einen öffentlichen Server betreibt, der vertrauliche Daten liefern soll, verschlüsselt die Übertragung per SSL (Secure Socket Layer). Die beiden dafür erforderlichen Schlüssel, einen öffentlichen und einen privaten, erzeugt normalerweise der Serverbetreiber selbst. Nur mit dem privaten Schlüssel lassen sich Daten lesen, die ein Absender mit dem Gegenstück, dem öffentlichen Schlüssel chiffriert hat. Deshalb hält er den privaten Schlüssel geheim, weil andernfalls jeder, der in den Besitz dieses Schlüssels käme, den Verkehr entschlüsseln könnte.

Damit Clients selbstständig überprüfen können, ob sie genau mit dem beabsichtigten Server kommunizieren, kauft man bei einer Zertifizierungsstelle für den öffentlichen Schlüssel eine digitale Signatur (Zertifikat), die dessen Authentizität bescheinigt. Dafür gibt es verschiedene Verfahren. Wichtig: Bei keinem muss der private Schlüssel verschickt werden.

Dennoch gibt es Zertifizierungsstellen (Certification Authority, CA), die nicht nur Zertifikate für öffentliche Schlüssel ausstellen, sondern ohne den Kunden zu warnen, in einem Abwasch auch gleich die Schlüssel selbst erzeugen und diese dann den Kunden zuschicken. Darauf machte uns ein Kunde der CA GlobalSign aufmerksam.

GlobalSign nennt sein Verfahren AutoCSR, was auf ein gängiges Verfahren anspielt: Die Schlüssel und den Antrag zur Zertifizierung, den Certificate Signing Request (CSR), erzeugt man auf dem eigenen Rechner, zum Beispiel per OpenSSL. Den CSR sendet man der Zertifizierungsstelle seiner Wahl und erhält von ihr den signierten öffentlichen Schlüssel.

SSL-Zertifikate lassen sich auch über Webformulare von CAs anfordern, etwa für die Mail-Verschlüsselung gemäß der S/MIME-Technik. Darüber gibt man Daten an, die die CA in das Zertifikat einträgt. Anschließend stößt die CA über das Webformular die Schlüsselerzeugung auf dem Rechner der Kunden aus der Ferne an. Dafür bringen moderne Desktop-Browser Kryptografieverfahren mit – am Ende kann man das Zertifikat für den öffentlichen Schlüssel über eine verschlüsselte Verbindung abrufen. Auch bei diesem Verfahren bleibt der erzeugte private Schlüssel auf dem Rechner des Kunden.

Bärendienst

Warum eine CA die Schlüssel trotz solcher etablierter Verfahren selbst generiert und damit das Public/Private-Prinzip untergräbt, bleibt unverständlich. Wir haben bei einigen hierzulande relevanten Zertifizierungsstellen nachgehakt, nämlich bei den großen Anbietern D-Trust, Telesec und PSW sowie den kleineren, aber beliebten Anbietern GoGetSSL und GlobeSSL und auch bei GlobalSign.

Zu unserem Erstaunen mussten wir feststellen, dass GlobalSign kein Einzelfall ist: GlobeSSL und GoGetSSL erzeugen ebenfalls SSL-Schlüssel für den Kunden. Beide setzen sogar noch eins drauf, indem sie das Zertifikat samt privatem Schlüssel in einer unverschlüsselten Mail versenden. Wer diese Mail in die Finger bekommt, kann nicht nur die vertraulichen Daten entschlüsseln, sondern sich als denjenigen ausgeben, für den das Zertifikat gedacht war.

Auf Nachfrage, weshalb die CAs dieses Verfahren verwenden, erhielten wir Antworten, die ein sehr laxes Verhältnis zur Sicherheit nahe legen. GetGoSSL verteidigte das Vorgehen damit, dass die CSR-Generierung für unbedarfte Nutzer ein sehr komplizierter Prozess sei. „Ja, diese Lösung ist nicht sehr sicher – aber die Leute verstehen das Risiko“, erklärte Dennis Axel, Chef des GoGetSSL-Verkaufsteams. „Ein Kunde hinterlegt seinen privaten Schlüssel zudem auf seinem Server, was meist ein Shared-Hosting-System oder eine virtuelle Maschine ist. Will ein Hosting-Provider an diese Schlüssel kommen, braucht er sich nur am Kunden-Server anzumelden – das Abfangen der Mail mit dem Schlüssel ist dafür unnötig.“ Aber so gefährdet GoGetSSL ohne Not auch Kunden, die Server an eigenen Anschlüssen betreiben.

GlobalSign stellt seine „Certificate Authority Secure Key Generation“ sogar als Vorteil dar: „Das Erzeugen privater SSL-Schlüssel bei GlobalSign ist eine direkte Folge der Geschichte schlechter SSL-Schlüssel, die von Kunden oder fehlerhafter Software erzeugt wurden. GlobalSign nutzt kryptografische Hardware und sichert Schlüssel beim Transport mit Passwörtern. Auf den Servern angelegte Schlüssel werden nach dem Export sicher gelöscht – also mit Nullen überschrieben“, versichert das Unternehmen. Das lässt sich natürlich kaum nachprüfen und kann im Prinzip auch stillschweigend zugunsten staatlicher Ermittler geändert werden.

Bei der zur T-Systems gehörenden Zertifizierungsstelle Telesec kennt man zwar auch die Probleme mit ungenügenden SSL-Schlüsseln. Das Erzeugen der Schlüssel in den eigenen Räumen lehnt das Unternehmen aber entschieden ab: „Da ein Trust Center als der vertrauenswürdige Dritte angesehen wird, haben wir die Erzeugung von Schlüsseln in diesem Kontext stets abgelehnt, da wir dann den geheimen Schlüssel des Kunden kennen würden und damit ein Ziel von Angreifern werden könnten.“

Das sieht die Bundesdruckerei-Tochter und akkreditierte Trust-Center D-Trust ähnlich: „Falls eine CA auch private Schlüssel ihrer Kunden verwaltet, müsste sie ungleich mehr Aufwand bei der Sicherung ihrer Daten betreiben, da sie damit deutlich attraktiver für Angreifer wird.“ Mit deutlichen Worten wendet sich D-Trust gegen den ungeschützten Versand der Schlüssel: „Das Versenden privater Schlüssel durch eine CA im Klartext ist unsicher.“

PSW vertritt ebenfalls die Ansicht, dass der private Schlüssel aus Sicherheitsgründen immer auf dem Server erstellt wird, auf welchem er später eingesetzt wird. Braucht ein Kunde beim Generieren von Schlüssel und CSR Hilfe, unterstützt ihn PSW per Remote-Desktop. „Somit ist immer sichergestellt, dass der private Schlüssel auf dem Server des Kunden bleibt“, erklärt das Unternehmen.

CA als Angriffsziel

Eigentlich erwartet man die kritische Einstellung und die Seriosität von Telesec, D-Trust und PSW von allen CAs. Doch GlobalSign, GetGoSSL und GlobeSSL scheint die Erleichterung ihrer eigenen Geschäftsvorgänge wichtiger als die Sicherheit der Kundendaten zu sein.

Auch bringen sie sich mit dieser Praxis selbst in den Fokus von Angreifern, denn damit sind sie nicht wie jede andere CA deswegen interessant, weil sie beliebige Zertifikate für alle Server dieser Welt ausstellen können, sondern auch, weil sich dort Keys abgreifen lassen.

Ein Trost bleibt: Wenigstens für amtliche Zertifizierungsstellen gibt es eindeutige Richtlinien, sodass sicherheitsbewusste Nutzer einen großen Bogen um die zweifelhaften Dienstleister machen können. (dz)

Artikel kostenlos herunterladen

weiterführende Links

Kommentare

Infos zum Artikel

Kapitel
  1. Bärendienst
  2. CA als Angriffsziel
1Kommentare
Kommentare lesen (1 Beitrag)
  1. Avatar
Anzeige
weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (2)

Anzeige