What the hack happened to digi notar (28-10-2011)

684 views

Published on

Presentation for risk managers about the impact of the DigiNotar hack, in layman terms, explaining the basics of Public Key Infrastructures (PKI) and why CA's are important to be able to be trusted.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
684
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Gaat natuurlijk niet alleen om commandanten die met elkaar communiceren, maar ook om mensen die met hun bank willen praten.
  • Het begin van een eeuwigdurende wedstrijd tussen cryptografen en cryptanalisten
  • DigiNotar was zo’n Root CA. Nu kan iedereen een Root CA zijn, maar DigiNotar was een bijzondere....
  • What the hack happened to digi notar (28-10-2011)

    1. 1. Who the hack is DigiNotar, and why should I care?Hoe een vertrouwens-structuur een zeer groot risico werd
    2. 2. In den beginne...• De spartaanse oorlog (500 B.C.)• Een fysiek object dient als sleutel• Gebruikt voor communicatie tussen commandanten
    3. 3. Geavanceerdere manieren...• Julius Cesar gebruikt de Cesarian cipher (56 B.C.)• Een offset van 3 in het alfabet• Werkte vooral goed omdat de vijand überhaupt geen latijn kon lezen
    4. 4. En dus kwamen de hackers...• Al-Kindi (9 B.C.)• Structurele analyse van versleutelde teksten• Werkte ook op de Ceasar Encryptie
    5. 5. Geheimen...A cryptosystem should be secure even ifeverything about the system, except thekey, is public knowledge. Auguste Kerckhoffs (1883)The enemy knows the system Claude Shannon (1948)
    6. 6. En wordt de sleutel het probleem...
    7. 7. ...en is hij dat gebleven
    8. 8. Het probleem wordt key management• Elke vertrouwde D partij erbij laat het E C aantal sleutels exponentieel stijgen• En hoe doe je zaken F B met een volledig A G onbekende partij (webwinkel?)
    9. 9. Asymetrische encryptie• Geheime (Private) Key: De sleutel die maar een persoon heeft voor decryptie of ondertekening• Publieke (Public) Key: De sleutel die je mag uitdelen om zaken voor jou te versleutelen of de ondertekening te controleren• Maar hoe weet je zeker dat de sleutel van een vertrouwde partij komt?
    10. 10. PKI: Ketens van vertrouwde public keys Root CA ‘  Sub CA 1  Sub CA 2 Sub CA 3  Sub CA 4  Sub CA 5  Sub CA 6 Alice  Bob
    11. 11. Gemakzucht dient de mens...• Alle besturingssystemen en browsers kennen een lijst van vertrouwde root CA’s• CA’s die dus per definitie een “slotje” in de browser opleveren en de gebruiker het idee geven vertrouwd te communiceren• DigiNotar was zo’n CA
    12. 12. Wat er gebeurde...• 10 juli: onterecht Google-certificaat verstrekt• 19 juli: blijken 247 certificaten onterecht zijn uitgegeven• 28 augustus: Iraanse twitter-gebruiker ontdekt probleem
    13. 13. Impact...
    14. 14. Impact...• De hacker kon elke beveiligde verbinding ongemerkt omleiden, afluisteren en modificeren• Had toegang tot extreem geheim sleutelmateriaal door “onhandig” gedrag CA
    15. 15. Vertrouwen is erg vluchtig
    16. 16. Waarop was vertrouwen gebaseerd?• Kleine maar lang bestaande speler• Toezicht was vooral procedureel, niet technisch• Ondanks eisen vanuit standaard
    17. 17. Maar is groter wel beter? Market Share VerSign et. Al. Comodo Other
    18. 18. Conclusies• De mechanismes van certificaten en CA’s onvertrouwd verklaren werken goed• Mensen zijn onachtzaam met risico’s omgegaan• We gaan ongemerkt steeds meer afhankelijk worden van enkele partijen...

    ×