Was passiert, wenn der private Schlüssel einer Zertifizierungsstelle (CA) wie Verisign durchgesickert ist?

3597
Avinash Karaparambil

Ich habe mich nur gefragt, was passiert, wenn der private Schlüssel einer Zertifizierungsstelle durchgesickert wird? Ist es dann nicht möglich, gefälschte Zertifikate für andere Websites zu erstellen?

6
Im März 2011 wurde festgestellt, [dass eine Comodo-Partnerregistrierungsstelle kompromittiert wurde] (http://en.wikipedia.org/wiki/Comodo_Group#Iran_SSL_certificate_controversy) und mehrere gefälschte Zertifikate ausgestellt wurden. grawity vor 13 Jahren 2
Hier ist eine weitere Instanz: http://en.wikipedia.org/wiki/DigiNotar ta.speot.is vor 12 Jahren 2

4 Antworten auf die Frage

12
ta.speot.is

Frage:

Was passiert, wenn der private Schlüssel einer Zertifizierungsstelle durchgesickert wird?

Antwort treffen:

Machen Sie gefälschte Zertifikate für jede andere Website

7
heavyd

Ja.

Verisign und andere vertrauenswürdige Stammberechtigungen schützen ihre Schlüssel stark, da ihr gesamtes Unternehmen auf ein vertrauenswürdiges Zertifikat angewiesen ist.

Sollte ein Leck auftreten, würde es nicht lange dauern, bis Microsoft, Mozilla und die anderen Anbieter, die Listen vertrauenswürdiger Zertifizierungsstellen führen, das beschädigte Zertifikat aus ihren Listen vertrauenswürdiger Zertifikate entfernen würden. Das Risiko wäre jedoch immer noch vorhanden.

https://www.eff.org/observatory Ich spreche mit diesem Thread aus seiner Zukunft. Etwa einen Monat vor diesem Kommentar befasste sich Scheiner mit Sicherheitsfragen mit diesem Problem. Sie haben wenig überrascht, nicht das Richtige getan zu haben. chiggsy vor 13 Jahren 1
5
David Thornley

Wenn Sie über den privaten Schlüssel einer Zertifizierungsstelle verfügen, können Sie tatsächlich echte, aber unzulässige Zertifikate erstellen. Es wäre nichts Falsches an ihnen, außer dass sie nicht von der CA gemacht würden.

Vermutlich würden Personen, die Listen vertrauenswürdiger Zertifizierungsstellenzertifikate führen, den gefährdeten Schlüssel entfernen, und die Zertifizierungsstelle müsste einen neuen Schlüssel (trivial) erstellen, sicherstellen, dass dieser sicherer ist (definitiv nicht trivial), und neue Zertifikate verteilen. In der Zwischenzeit würde nicht jeder die neue Liste ohne das alte Root-Zertifikat, sondern mit dem neuen Root-Zertifikat erhalten, und die Zertifikat-Infrastruktur wäre noch wackeliger als jetzt.

2
Daisetsu

Wenn ein privater Schlüssel für eine Zertifizierungsstelle durchgesickert wurde, würden sie den Schlüssel wahrscheinlich widerrufen. Dies setzt voraus, dass Sie über einen der von einer Zertifizierungsstelle verwendeten Schlüssel sprechen. Normalerweise hat eine Zertifizierungsstelle einen Hauptschlüssel, der mehrere andere Schlüssel signiert, die von vertrauenswürdigen Behörden verwendet werden, die zum Signieren von CSRs für Kunden berechtigt sind.

Wenn eine Zertifizierungsstelle ihren privaten Schlüssel auf Root-Ebene verloren hat, der zum Signieren verwendet wurde, könnte jeder, der sie verwendet, ein gefälschtes Zertifikat erstellen, und SSL wäre praktisch nutzlos, bis alle Browser ein Update mit einer neuen Liste vertrauenswürdiger Zertifizierungsstellen veröffentlicht haben.