Menü

Co-thority statt Authority: Viele-Augen-Prinzip für Zertifikate

Gefälschte Zertifikate, nicht beachtete Zertifikatskonflikte – ist das Zertifikatswesen und damit die Vertraulichkeit und Echtheit von per TLS übertragenen Daten, zu retten? Die IETF gibt noch nicht auf.

vorlesen Drucken Kommentare lesen 16 Beiträge
Co-thority statt Authority: Viele-Augen-Prinzip für Zertifikate

(Bild: c't)

Die Überprüfbarkeit der von Zertifikatsprovidern ausgestellten virtuellen Identitätspapiere soll bald für mehr Sicherheit im Internet sorgen. Noch während die Arbeitsgruppe bei der Internet Engineering Task Force (IETF) die Zertifikatstransparenz in einen Standard gießt, wird verschiedener zusätzlicher Schutz vorgeschlagen. Denn wer weiß schon sicher, ob die neu eingeführten Logs nicht auch wieder angreifbar sind. Auf der 94. IETF-Konferenz in Yokohama schlugen Wissenschaftler des Swiss Institute of Technology (EPFL) ein Verfahren für die Kosignierung vor.

Bis Ende des Jahres will die IETF-Arbeitsgruppe TRANS (Transparency of Public Notaries) ihre Spezifikation für das Logging der Einträge von Zertifikatsanbietern (CA) abschließen. Die Idee öffentlich nachprüfbarer Zertifikatslisten war nach zahlreichen Attacken gegen Zertifikatsanbieter und auch unter dem Eindruck der Enthüllungen von Edward Snowden entstanden. Der Einsatz der Zertifikate für die Transportverschlüsselung macht diese zu einem wichtigen Stück Infrastruktur, das die Entwickler wegen vieler Kritik am Zertifikatswesen weiter absichern wollen.

Seit Februar 2014 wird an dem Transparency-Verfahren gearbeitet, nach dem die CAs die per Hash-Baum gesicherten Logs anbieten sollen. Sowohl die CAs selbst als auch Zertifikatskunden sollen neue Signaturen hinzufügen können. Für Einträge, die nicht vom Aussteller kommen, muss sich der Betreffende seinerseits mittels Rootzertifikat ausweisen. Damit Neueinträge einfach hinzufügt werden können, wird jeweils nur der Teil der Baumstruktur neu gehasht, dem ein neues Blatt hinzugefügt wird.

Allein mit den Logs ist es aber keineswegs getan, denn diese könnten selbst wiederum Ziel von Attacken werden, wandte in Yokohama Bryant Ford ein, Professor am EPFL in Lausanne. Ein mächtiger Angreifer könnte sich den privaten Schlüssel der CA und des Logservers verschaffen, womit einer Man-in-the-Middle-Attacke Tür und Tor geöffnet wäre.

Deshalb sollen mehrere unabhängige Organisationen die Richtigkeit der Logs bezeugen, schlägt Ford vor. Dazu werden die von einem Auditor oder von der CA selbst veröffentlichten Zertifikatslisten von weiteren neutralen Parteien unterschrieben.

Das gemeinsame Signieren sorgt dafür, dass nicht verabredete und gemeinsam signierte Änderungen von Zertifikaten auffallen. Manipulation bleibt zwar grundsätzlich möglich, aber sie ist nicht mehr geheim zu halten, erklärt Ford und vergleicht den Effekt mit einem Split bei Bitcoin. Das Kosignieren entspricht vom Prinzip her dem Gegenzeichnen von PGP-Schlüsseln.

Gossiping soll Ungereimtheiten in Certificate Transparency Logs ent- und so Zertifikatsmissbrauch aufdecken. Dazu senden die Zertifikatserzeuger Merkmale an Auditoren, geben dabei aber unter Umständen sensible Daten preis.

(Bild: IETF )

Bryant Ford sieht das Kosignieren, dessen Rechenaufwand er bei einer Testimplementation mit Google gemessen und als akzeptabel beurteilt hat, als brauchbare Alternative zu dem schon länger ins Auge gefassten Gossiping. Dabei senden Clients den Auditoren Signed Certificate Timestamps oder Signed Tree Heads, um manipulierte Versionen zu entdecken. Allerdings gibt es Datenschutzbedenken, weil Clients durch das Tratschen möglicherweise mehr preisgeben, als ihnen lieb ist.

Keine der Lösungen sorgt am Ende für vollständige Sicherheit. Ein Problem, das der geplante Standard zur Transparenz ausspart, ist der schlampige Umgang mit dem Widerruf von Zertifikaten, meint Ford. Ein aktueller Aufsatz einer US-Forschergruppe zieht eine haarsträubende Bilanz: Obwohl fast 10 Prozent aller kursierenden Zertifikate zurückgezogen seien, versagten viele Browser bei der Widerrufsprüfung, darunter angeblich alle auf Mobilgeräten. Manche Browser hätten den Widerrufstatus erst gar nicht getestet, andere hätten ungültige Zertifikate akzeptiert, wenn sie die zugehörige CRL nicht herunterladen konnten.

Hätten die Entwickler die Chance, ganz von vorn anzufangen, dann könnte die Authentifizierung durch die Kombination verschiedener Techniken sauberer gelöst werden, meint Ford. Doch das würde nicht nur mehrere Jahre dauern. Mindestens der Gegenwind der Zertifikatsprovider wäre dem Unterfangen gewiß. Auch Google gehört zu den Mitautoren des Patches für das herrschende Zertifikatssystem.

Ob die Zertifikatsanbieter am Ende auch bereit sind, die notwendigen Anpassungen zu machen? Ford glaubt, dass es ein paar Anreize dafür gibt: bessere Zertifikatsqualität als Wettbewerbsargument, die Sorge, dass Google vielleicht künftig aus Chrome jene aussperrt, die sich das sparen wollen, und schließlich die Aussicht darauf, vielleicht doch die Behörden abzuschrecken.

Wenn durch Auditoren wie die Electronic Frontier Foundation oder den Chaos Computer Club mitsigniert werden muss, nutze es Behörden am Ende nicht mehr, einem Provider einen privaten Schlüssel abzupressen. Denn ohne Gegenzeichnung der Auditoren würden Manipulationen schnell auffallen, erwartet Ford. (ea)