Varför man aldrig ska lita på någon annan

Det finns grundläggande problem med förtroende i cybernetiska kommunikationsvägar. Med det sagt, så finns det ju även givetvis lika hemska – kanske värre – problem med en motsvarande mun-till-mun-metod.

Rick Falkvinge, Piratpartiet, rapporterar att Riksdagens IT-avdelning tvingar all surf-data (HTTP och HTTPS) genom en proxy. Denna proxy är dock ännu mer ondskefull än den jag använder för att surfa säkert på öppna trådlösa nät. Den proxy som Riksdagen använder är rentav illvillig – den dekrypterar alla HTTPS-sessioner, scannar igenom och skapar en egen anslutning till slutnoden.

“Hur?” frågar sig nu den mediokra säkerhetsentusiasten, typ jag. “Datorn litar ju inte på självsignerade certifikat”. Men jo, det gör den – om man anger sin egen CA (Certificate Authority) som pålitlig. I det här fallet förmodligen Riksdagens proxys egna certifikat som man installerar på alla datorer.

  • Fördel: Riksdagen kan ha centraliserad, väluppdaterad certifikathantering. Har Paypal fått sitt root-CA knyckt? Då kan man blockera allt surfande mot Paypal omedelbums. Fair enough.
  • Nackdel: All poäng med att man själv ska bestämma vilka parter som är pålitliga försvinner. Oftast är det att man har en förinstallerad – opartisk – samling av globalt betrodda certifikat. Inte internt icke överenskomna certifikatutfärdare som vill inspektera din trafik.

Min rekommendation till alla som inte konfigurerat sina datorer själva är att avinstallera alla certifikat som skiljer sig från en ordinarie utgåva av Mozilla Firefox (men kanske lägga till CACert!). Sedan kontaktar man IT-avdelningen och frågar vilka certifikat som behövs för ens arbetsplats och vad dessa används för. Sedan är det upp till en själv att lita på vad de säger, eller undersöka på egen hand.

Internet Explorer 7 och Firefox 3 (och kanske Opera också) har tagit steget att göra felaktiga certifikat till ett pain in the ass. Det är antingen förvirrande symboler eller rentav mödosamt att godkänna certifikatet. Man ska veta vad man håller på med helt enkelt. Konsekvensen blir dock att man tror att certifikat som inte orsakar problem skulle vara “okej” eller “säkra”.

Detta innebär att organisationer (typ Riksdagen) som förinstallerar sina datorer åt de anställda kan baka in egna bakdörrar. Dessa bakdörrar blir i datorns ögon helt legitima eftersom samma part har sagt till datorn att “lita på mig”. Frågan är om den som använder datorn har gått med på det medvetet. Jag hade i alla fall inte godkänt att mitt lediga lunchsurfande analyseras.

Tänk dig att någon gör detsamma med dina kärleksbrev. Behåller originalet, läser igenom, skriver av och skickar vidare kopian. När du läser brevsvaren så är det någon annans handstil och parfym än den du blivit kär i, men det märker du inte av. Du får aldrig träffa den du brevväxlar med i person.

Det enda som avslöjar denna skumraskiga affär är ett avvikande SHA1/MD5-fingeravtryck. Något man behöver en oberoende kommunikationsväg för att bekräfta. Samt grundläggande IT-kompetens och säkerhetstänk, vilket många tyvärr saknar i största allmänhet.

Förövrigt är jag långt ifrån övertygad att t.ex. Verisign skulle vara mer tillförlitliga än CACert. Det finns nämligen ingen skillnad i krypteringsmetoderna – förutom att t.ex. CACert erbjuder stöd för längre nycklar än sina kommersiella motparter. Man litar endast mer på Verisign för att de tar betalt för sin tjänst. CACert har förvisso gjort en blunder eller två, men så fort de fått förtroende att vara med i Mozillas CA-lista så är Verisigns tjänst strax utdaterad. “På grund av” (tack vare) fri certifikatsignering.

Leave a Reply

Your email address will not be published. Required fields are marked *