Tag Archives: verisign

Do you trust all your internets to strangers?

Question: Japanese government, Staat der Nederlanden and Starfield Technologies Inc. – what do they all have in common? Answer: You trust all of them to verify identities and security on company websites and internet services.

Are you Japanese or Dutch? Have you ever heard of Starfield Technologies? I guess not. Still you’re probably using a web browser which has these “certificate authorities” as trusted “roots”. In short this means they can – with no security errors whatsoever – impersonate your bank, eavesdrop on your logins and make your computer believe everything is just fine. But only if they were to man-in-the-middle your communication physically or somehow manage to poison your DNS lookups of course.

So the scenario isn’t really your average Joe security issue, but the heart of the issue is a very important one. It’s a question of trust – a deep conviction of truth and rightness – and “trust” – the simple term used for computing security (though without the quotes).

All computer interaction is based on trust. You trust the computer is doing what it tells you it’s doing (which Free software lets you verify). However you also trust the other person’s computer to do what you’re asking it to do – and nothing more! Given the global scale of networking and computing, this is a hard task to verify manually – thus trust is given to cryptographic algorithms mathematically ensuring your data is handled by the correct entities without unwanted manipulation.

No ordinary person can ever understand, verify or control all parameters required for 100% secure computing. This is probably the reason why browsers (Firefox, Chromium etc.) include packs of “globally trusted” certificate issuers, such as Verisign, GoDaddy etc. Private companies that are virtually the foundation of today’s DNS-based internet, controlling or supplying top domain names. This is however where one should start worrying about who controls what. Remember what Verisign did to Wikileaks.org? Did you know that they want to make it easier to happen again?

So when one can’t trust the big boys, how can one really have trust in small, unknown organisations or companies? What are their respective thoughts on free speech, free internet and policies on eavesdropping? Wouldn’t you actually prefer a system of peer-to-peer review? The “web of trust” model as it’s called when a user trusts its friends, verifies identities and thus algorithmically increases trustworthiness of each respective peer.

I’m not sure what to make of this post more than express my belief that the web’s SSL structure using pre-loaded certificate authorities in software designed to handle your private communication is flawed. For my part, I’m trying to push people into using semi-WoT CAs like CAcert.org and encourage the development of new DNS models. But my guess is I’m not influental enough on my own. Will you join the p2p revolution too?

Varför man aldrig ska lita på någon annan

Det finns grundläggande problem med förtroende i cybernetiska kommunikationsvägar. Med det sagt, så finns det ju även givetvis lika hemska – kanske värre – problem med en motsvarande mun-till-mun-metod.

Rick Falkvinge, Piratpartiet, rapporterar att Riksdagens IT-avdelning tvingar all surf-data (HTTP och HTTPS) genom en proxy. Denna proxy är dock ännu mer ondskefull än den jag använder för att surfa säkert på öppna trådlösa nät. Den proxy som Riksdagen använder är rentav illvillig – den dekrypterar alla HTTPS-sessioner, scannar igenom och skapar en egen anslutning till slutnoden.

“Hur?” frågar sig nu den mediokra säkerhetsentusiasten, typ jag. “Datorn litar ju inte på självsignerade certifikat”. Men jo, det gör den – om man anger sin egen CA (Certificate Authority) som pålitlig. I det här fallet förmodligen Riksdagens proxys egna certifikat som man installerar på alla datorer.

  • Fördel: Riksdagen kan ha centraliserad, väluppdaterad certifikathantering. Har Paypal fått sitt root-CA knyckt? Då kan man blockera allt surfande mot Paypal omedelbums. Fair enough.
  • Nackdel: All poäng med att man själv ska bestämma vilka parter som är pålitliga försvinner. Oftast är det att man har en förinstallerad – opartisk – samling av globalt betrodda certifikat. Inte internt icke överenskomna certifikatutfärdare som vill inspektera din trafik.

Min rekommendation till alla som inte konfigurerat sina datorer själva är att avinstallera alla certifikat som skiljer sig från en ordinarie utgåva av Mozilla Firefox (men kanske lägga till CACert!). Sedan kontaktar man IT-avdelningen och frågar vilka certifikat som behövs för ens arbetsplats och vad dessa används för. Sedan är det upp till en själv att lita på vad de säger, eller undersöka på egen hand.

Internet Explorer 7 och Firefox 3 (och kanske Opera också) har tagit steget att göra felaktiga certifikat till ett pain in the ass. Det är antingen förvirrande symboler eller rentav mödosamt att godkänna certifikatet. Man ska veta vad man håller på med helt enkelt. Konsekvensen blir dock att man tror att certifikat som inte orsakar problem skulle vara “okej” eller “säkra”.

Detta innebär att organisationer (typ Riksdagen) som förinstallerar sina datorer åt de anställda kan baka in egna bakdörrar. Dessa bakdörrar blir i datorns ögon helt legitima eftersom samma part har sagt till datorn att “lita på mig”. Frågan är om den som använder datorn har gått med på det medvetet. Jag hade i alla fall inte godkänt att mitt lediga lunchsurfande analyseras.

Tänk dig att någon gör detsamma med dina kärleksbrev. Behåller originalet, läser igenom, skriver av och skickar vidare kopian. När du läser brevsvaren så är det någon annans handstil och parfym än den du blivit kär i, men det märker du inte av. Du får aldrig träffa den du brevväxlar med i person.

Det enda som avslöjar denna skumraskiga affär är ett avvikande SHA1/MD5-fingeravtryck. Något man behöver en oberoende kommunikationsväg för att bekräfta. Samt grundläggande IT-kompetens och säkerhetstänk, vilket många tyvärr saknar i största allmänhet.

Förövrigt är jag långt ifrån övertygad att t.ex. Verisign skulle vara mer tillförlitliga än CACert. Det finns nämligen ingen skillnad i krypteringsmetoderna – förutom att t.ex. CACert erbjuder stöd för längre nycklar än sina kommersiella motparter. Man litar endast mer på Verisign för att de tar betalt för sin tjänst. CACert har förvisso gjort en blunder eller två, men så fort de fått förtroende att vara med i Mozillas CA-lista så är Verisigns tjänst strax utdaterad. “På grund av” (tack vare) fri certifikatsignering.