Start Empfohlen Windows schützt Apps und Benutzer besser vor betrügerischen DigiNotar-Zertifikaten

Windows schützt Apps und Benutzer besser vor betrügerischen DigiNotar-Zertifikaten

30
0


Es ist allgemein in der Softwareentwicklung verbreitet, dass Sie keinen eigenen Code schreiben, wenn eine perfekte Implementierung zur Verfügung steht. Es ist die alte Säge, das Rad neu zu erfinden. Dies gilt jedoch insbesondere für kryptografischen Code. Windows-Programme, die die Standard-Kryptofunktionen des Betriebssystems nutzten, wurden schnell und automatisch vor den betrügerischen Zertifikaten geschützt, die während des DigiNotar-Skandals verbreitet wurden.

In den letzten Wochen, als die Berichte über das Hacken der Zertifizierungsstelle DigiNotar zunahmen, zogen verschiedene Unternehmen ihr Vertrauen zurück und die niederländische Regierung schritt ein. Da der Kriminelle, der den Hacking durchgeführt hat, die Tatsache bekannt gegeben hat, war es möglicherweise zu spät für jemanden, um ihn zu schützen selbst, aber dennoch ist die Zeit in solchen Angelegenheiten von entscheidender Bedeutung.

Mozilla hat Updates für die unterstützten Versionen seiner Produkte herausgegeben, um DigiNotar von den Vertrauenslisten zu entfernen. So auch Adobe und schließlich Apple, allerdings nur für OS X und noch nicht (Stand Sonntagabend) für iOS, so dass iPhones und iPads vertrauensvoll bleiben – und das bedeutet einige Schurkenzertifikate; mehr als 500 wurden ausgestellt.

Aber Microsoft bewegte sich am schnellsten, und der Umfang seiner Fehlerbehebung war viel größer, als allgemein angenommen wird. „Am 29. August 2011, hat Microsoft die Vertrauenswürdigkeit von einem DigiNotar-Stammzertifikat entfernt, indem es die Microsoft CTL aktualisiert hat.“ Die Microsoft CTL oder Certificate Trust List ist eine Liste von vertrauenswürdigen und nicht vertrauenswürdigen Zertifikaten, die von Microsoft online verwaltet werden Windows-Zertifikat-Applet.

Alle Windows-Apps unter Vista, Windows 7, Windows Server 2008 und 2008 R2, die standardmäßige Windows-APIs für die Kryptografie verwenden, erhalten kostenlos Prüfungen gegen die CTL. Die Liste wird unter einer Reihe von Umständen dynamisch abgerufen, meistens, wenn bei der Überprüfung eines Serverzertifikats ein neues Root-Zertifikat gefunden wird, aber auch standardmäßig einmal pro Woche. Dies bedeutet, dass die Windows-Krypto-Apps der Benutzer auf diesen Systemen geschützt waren, sobald Microsoft diese Änderung auf ihrer Liste vornahm. Automatisch. Microsoft hat später ein aktuelles Update für Windows-Systeme herausgegeben, um die DigiNotar-Zertifikate als nicht vertrauenswürdig zu kennzeichnen, um Windows XP- und Windows Server 2003-Benutzer und spätere Windows-Versionen abzudecken, nur als eine weitere tiefgreifende Maßnahme.

Die CTL-Änderung schützte Internet Explorer-Benutzer, aber auch viele Apps von Drittanbietern. Google Chrome und Apple Safari unter Windows wurden beide früher unter Windows (Vista/7) geschützt als auf jeder anderen Plattform.

Ich fragte Alun Jones nach Texas Imperial Software, das sichere Windows-Software, hauptsächlich sicheres FTP, über Kryptoprogrammierung für Windows erstellt und verkauft. Jones wählte SKanal (COM-Schnittstellen für TLS/SSL) für WFTPD Pro statt OpenSSL aus ein paar Gründen:

* Er muss seinen Benutzern nicht ständig aktualisierte Bibliotheken zur Verfügung stellen (wenn sie mit Windows auf dem neuesten Stand bleiben, sind sie mit SChannel auf dem neuesten Stand).

* Der Zertifikatsspeicher wird durch Gruppenrichtlinien gesteuert und gilt global für den Computer und nicht spezifisch für seine Anwendung.

* Die CryptoAPI und SChannel waren (damals) etwas besser dokumentiert als OpenSSL. Jetzt ist ihre Dokumentation natürlich viel besser als die von OpenSSL.

Ich muss sagen, dass ich das eine Mal, als ich versuchte, etwas nicht-triviales mit OpenSSL zu machen, von der Dokumentation bestürzt war. Ich vermute, dass die meisten Entwickler Fragen zu Mailinglisten und dergleichen stellen müssen, um komplexe Dinge zu tun. Aber lesen Sie dieses Lob von Windows Crypto nicht als Verurteilung von OpenSSL. Es handelt sich um hochwertige Software, auf die viele angesehene Unternehmen vertrauen; tatsächlich, zumindest indirekt, verlässt sich fast jeder im Internet auf OpenSSL.

Und die Verwendung von Standardbibliotheken ist keine Garantie für fehlerfreien Kryptocode; Sie können immer noch Ihre eigenen SSL-bezogenen Fehler machen. Laut Jones „ein relativ neues Beispiel sind die Neuverhandlungsangriffe gegen Webserver (einschließlich IIS), bei denen der Webserver einige Informationen, die vor der SSL-Neuverhandlung gesendet wurden, so behandelt, als ob sie durch SSL authentifiziert wären.“

Wenn große Webserver diese Fehler machen, dann machen es sicherlich weniger erfahrene Entwickler die ganze Zeit. Aber sicherlich wird Ihr Code mit Standard-Kryptobibliotheken sicherer, insbesondere unter Windows.

Bildnachweis: Andrea Danti/Shutterstock

Larry Seltzer ist freiberuflicher Autor und Berater und beschäftigt sich hauptsächlich mit Sicherheitsfragen. Er hat kürzlich für Infoworld, eWEEK, Dr. Dobb’s Journal geschrieben und ist Mitherausgeber beim PC Magazine und Autor des Security Watch-Blogs. Er hat auch für Symantec Authentication (ehemals VeriSign) und die Intelligent Whitelisting-Site von Lumension geschrieben.



Vorheriger ArtikelWir brauchen eine internationale Polizei, um Cyberkriminalität zu bekämpfen
Nächster ArtikelMozilla erweckt Todesurteil gegen unsichere CAs

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein