Your SlideShare is downloading. ×
0
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
What the hack happened to digi notar (28-10-2011)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

What the hack happened to digi notar (28-10-2011)

509

Published on

Presentation for risk managers about the impact of the DigiNotar hack, in layman terms, explaining the basics of Public Key Infrastructures (PKI) and why CA's are important to be able to be trusted.

Presentation for risk managers about the impact of the DigiNotar hack, in layman terms, explaining the basics of Public Key Infrastructures (PKI) and why CA's are important to be able to be trusted.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
509
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Gaat natuurlijk niet alleen om commandanten die met elkaar communiceren, maar ook om mensen die met hun bank willen praten.
  • Het begin van een eeuwigdurende wedstrijd tussen cryptografen en cryptanalisten
  • DigiNotar was zo’n Root CA. Nu kan iedereen een Root CA zijn, maar DigiNotar was een bijzondere....
  • Transcript

    • 1. Who the hack is DigiNotar, and why should I care?Hoe een vertrouwens-structuur een zeer groot risico werd
    • 2. In den beginne...• De spartaanse oorlog (500 B.C.)• Een fysiek object dient als sleutel• Gebruikt voor communicatie tussen commandanten
    • 3. Geavanceerdere manieren...• Julius Cesar gebruikt de Cesarian cipher (56 B.C.)• Een offset van 3 in het alfabet• Werkte vooral goed omdat de vijand überhaupt geen latijn kon lezen
    • 4. En dus kwamen de hackers...• Al-Kindi (9 B.C.)• Structurele analyse van versleutelde teksten• Werkte ook op de Ceasar Encryptie
    • 5. Geheimen...A cryptosystem should be secure even ifeverything about the system, except thekey, is public knowledge. Auguste Kerckhoffs (1883)The enemy knows the system Claude Shannon (1948)
    • 6. En wordt de sleutel het probleem...
    • 7. ...en is hij dat gebleven
    • 8. Het probleem wordt key management• Elke vertrouwde D partij erbij laat het E C aantal sleutels exponentieel stijgen• En hoe doe je zaken F B met een volledig A G onbekende partij (webwinkel?)
    • 9. Asymetrische encryptie• Geheime (Private) Key: De sleutel die maar een persoon heeft voor decryptie of ondertekening• Publieke (Public) Key: De sleutel die je mag uitdelen om zaken voor jou te versleutelen of de ondertekening te controleren• Maar hoe weet je zeker dat de sleutel van een vertrouwde partij komt?
    • 10. PKI: Ketens van vertrouwde public keys Root CA ‘  Sub CA 1  Sub CA 2 Sub CA 3  Sub CA 4  Sub CA 5  Sub CA 6 Alice  Bob
    • 11. Gemakzucht dient de mens...• Alle besturingssystemen en browsers kennen een lijst van vertrouwde root CA’s• CA’s die dus per definitie een “slotje” in de browser opleveren en de gebruiker het idee geven vertrouwd te communiceren• DigiNotar was zo’n CA
    • 12. Wat er gebeurde...• 10 juli: onterecht Google-certificaat verstrekt• 19 juli: blijken 247 certificaten onterecht zijn uitgegeven• 28 augustus: Iraanse twitter-gebruiker ontdekt probleem
    • 13. Impact...
    • 14. Impact...• De hacker kon elke beveiligde verbinding ongemerkt omleiden, afluisteren en modificeren• Had toegang tot extreem geheim sleutelmateriaal door “onhandig” gedrag CA
    • 15. Vertrouwen is erg vluchtig
    • 16. Waarop was vertrouwen gebaseerd?• Kleine maar lang bestaande speler• Toezicht was vooral procedureel, niet technisch• Ondanks eisen vanuit standaard
    • 17. Maar is groter wel beter? Market Share VerSign et. Al. Comodo Other
    • 18. Conclusies• De mechanismes van certificaten en CA’s onvertrouwd verklaren werken goed• Mensen zijn onachtzaam met risico’s omgegaan• We gaan ongemerkt steeds meer afhankelijk worden van enkele partijen...

    ×