Diginotar / DigiD

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: 1 2 volgende »

Ozzie PHP

Ozzie PHP

03/09/2011 14:57:09
Quote Anchor link
Diginotar het bedrijf achter DigiD is gehackt. Via de site van de NOS een aantal antwoorden op veelgestelde vragen. Bottomline... voorlopig moet je websites die met DigiD worden beveiligd vermijden! Mijn persoonlijke vraag... hoe is dit mogelijk dat het meest beveiligde systeem (nota bene van de overheid) gekraakt wordt! Dit mag gewoon niet kunnen. Geeft wel te denken...

Hier de antwoorden op een aantal veelgestelde vragen:

Wat is het probleem nu precies?
Er is ingebroken bij een bedrijf dat de 'bewijzen van echtheid' van belangrijke websites uitgeeft, de zogenoemde PKI-certificaten. Telkens als je een (belangrijke) site zoals DigiD bezoekt, controleert de browser automatisch of de site 'echt' is. Dit is sinds de inbraak niet zeker meer.

Is het mogelijk dat je DigiD-wachtwoord nu al in handen is van anderen? (@janwillemjanse/@WendyAntalle)
Het is niet gegarandeerd dat dit niet zo is. Over de kans dat dit ook daadwerkelijk zo is, wordt door experts verschillend gedacht. De informatie die met hulp van DigiD verzonden is, zou in theorie ergens anders terechtgekomen kunnen zijn en (in theorie) zelfs opgeslagen kunnen zijn.

Welke risico's heb ik nou daadwerkelijk gelopen door al die tijd gewoon Belastingdienst.nl en zo te gebruiken? (@tomklaver)
Tot nu toe is alles nog theorie. Er zijn geen bewijzen voor misbruik. In de zogenoemde logfiles van DigiD zijn geen sporen van ongewenst verkeer gevonden. Het kan ook zijn dat die logfiles door derden zijn bewerkt. Ook dat is in theorie mogelijk.

Moet ik mijn wachtwoord van DigiD veranderen? (@EtienneHsum)
Minister Donner heeft daarover verder niets gezegd. Om online je wachtwoord te veranderen moet je met je oude wachtwoord inloggen. Het is verstandiger de komende dagen DigiD helemaal niet te gebruiken.

Wat hebben die Iraniërs nou precies gedaan bij de hack? Het rootcertificate van Diginotar te pakken gekregen? (@ruudgreven)
Op 19 juli is er ingebroken op het netwerk van Diginotar. Waarschijnlijk is de sleutel (root key) van buitenaf te benaderen geweest. De experts die de NOS gesproken heeft, vinden dit op z'n minst opmerkelijk. Waarschijnlijk heeft de hack (inbraak) vanuit Iran plaats gevonden.
 
PHP hulp

PHP hulp

22/12/2024 22:45:58
 
- Ariën  -
Beheerder

- Ariën -

03/09/2011 15:22:36
Quote Anchor link
Ik heb Firefox 6.0.1, en als ik naar een https-beveiligd pagina van digiD ga, dan zie ik geen melding? En er wordt nog keurig aangegeven dat Diginotar wordt gebruikt?

Waarom zie ik geen waarschuwing?
 
Ozzie PHP

Ozzie PHP

03/09/2011 15:47:26
Quote Anchor link
Ik heb net ook gecheckt en kreeg ook geen waarschuwing :-s

http://www.digid.nl/nieuws/artikel/artikel/89/

Toevoeging op 03/09/2011 16:12:08:

http://www.nu.nl/algemeen/2606150/sp-wil-parlementair-onderzoek-ict-beveiliging.html
 
Jelmer -

Jelmer -

03/09/2011 16:17:21
Quote Anchor link
Quote:
Welke risico's heb ik nou daadwerkelijk gelopen door al die tijd gewoon Belastingdienst.nl en zo te gebruiken?

Volgens mij gebruikt mijn.belastindienst.nl al tijden een Versign certificaat.

Deze hack is ook niet specifiek gevaarlijk voor websites die een certificaat van DigiNotar gebruikten, maar voor SSL in het algemeen. SSL werkt doordat alle gebruikers van SSL erop vertrouwen dat de bedrijven die SSL certificaten mogen verstrekken dat ook goed doen.

SSL certificaten werken met publieke en private sleutels om de echtheid te controleren. Een berichtje versleuteld met een de ene kan alleen ontsleuteld worden met de bijbehorende andere, en andersom. Er zijn een aantal CA's (Certificate Authorities) die door browsers standaard vertrouwd worden (Verisign, voorheen dus ook Diginotar) en waarvan de publieke sleutels standaard in de browser zit. Een deel (ik vermoed een sha1-sum oid) van een certificaat wordt door een CA met hun private sleutel gecodeerd en bij het certificaat gevoegd, en dit zou een CA alleen mogen doen als ze zeker zijn dat het certificaat echt is (bijv. dat een certificaat voor *.google.com ook echt is aangevraagd door Google zelf, en niet door een of andere overheid) Browsers kunnen dat door de CA gecodeerde deel weer decoderen met de publieke sleutel die ze hebben en controleren (met die sha1-sum) of het certificaat ook dat certificaat is dat de CA had goedgekeurd. En omdat het met de publieke sleutel kon worden gedecodeerd, en alleen data die met de private sleutel van de CA met de publieke sleutel kunnen worden gedecodeerd, weet de browser zeker dat het de CA was die het goedkeurde.

Als de hacker dan zelf willekeurige certificaten konden ondertekenen (de sha1-sum versleutelen met de private sleutel) konden ze in principe een geldig SSL-certificaat maken voor iedere willekeurige website. En doordat de browser denkt dat de sleutel was ondertekend door een vertrouwd bedrijf, keurt die het automatisch goed. En tada: de hacker kan zich voordoen als iedere willekeurige site, klaar voor een man-in-the-middle attack.

Dat is de achilleshiel van SSL: het vertrouwen in de CA's. Dat zijn ook maar bedrijven die geld willen verdienen!

(Er wordt wel gewerkt aan alternatieven, bijvoorbeeld door in de DNS server ook mee te geven welke certificaten voor een domein gebruikt mogen worden (storing SSL/TLS keys in DNSSEC-secured DNS records) en Google Chrome heeft bijvoorbeeld de certificaten voor Googles domeinen zelf aan boord, en vertrouwd alleen die voor die domeinen, en niet andere certificaten die door een CA zijn uitgegeven.)
 
Ozzie PHP

Ozzie PHP

03/09/2011 16:27:35
Quote Anchor link
Dankewel voor de toelichting Jelmer. Als ik het dus goed begrijp, kan het zo zijn dat als ik op een overheidswebsite inlog en ik verstuur gegevens daar naartoe, dat er een computer tussenhangt (man-in-the-middle) die die gegevens opvangt? Begrijp ik het zo goed? En die gegevens zouden dus onder andere je gebruikersnaam en wachtwoord kunnen zijn?
 
Jelmer -

Jelmer -

03/09/2011 16:50:25
Quote Anchor link
Als jij normaal gesproken verbinding maakt met digid.nl dan krijg je een berichten van de server van digid.nl waarvan je weet dat het alleen met een bepaald certificaat kan zijn gemaakt (zelfde publieke-private sleutel verhaal, het certificaat wat je browser ontvangt en wat ondertekend is is de publieke sleutel voor die berichten) en daarvan uitgaande heeft de digid.nl website de private sleutel om die berichten te kunnen maken. En die houden ze natuurlijk goed geheim.

Als ik nu zelf een publieke en private sleutel maak en ik een CA zover kan krijgen dag ze voor mij de publieke sleutel met hun root certificate willen ondertekenen voor de domeinnaam digid.nl, dan kan ik een server ergens neerzetten en je naar mijn site toelokken. (door je /etc/hosts bestandje aan te passen en te laten verwijzen naar mijn ip-adres voor digid.nl, of door je dns-server te spoofen) Mijn site kan zich dan voordoen als digid.nl want de sleutels en certificaten kloppen allemaal, en je logt bij mij in in plaats van de echte digid.nl.

Ik kan me voorstellen dat de Iraanse overheid niet zover ging, maar meer als server in het midden ging hangen en dat ze dus zich voordeden als mail.google.com, en ondertussen al het verkeer doorstuurden naar de echte mail.google.com. Zo konden ze dus al het verkeer afluisteren. Normaal had dat niet gekund want ze kunnen berichtjes die over ssl worden verstuurd niet decoderen: zelfde publieke-private sleutel verhaal.

Zoiets is het volgens mij. Ik weet het niet helemaal zeker, ik heb me er niet echt in verdiept maar dit is hoe ik begrijp dat heel ssl werkt.
 
Ozzie PHP

Ozzie PHP

03/09/2011 16:55:48
Quote Anchor link
Oké, maar nu op dit moment... als je op een site inlogt die met DIgiD is beveiligd, wat kan er dan concreet misgaan?
 
Jelmer -

Jelmer -

03/09/2011 16:57:39
Quote Anchor link
Het zou kunnen dat je browser niet praat met en je wachtwoord verstuurt naar de servers van de overheid, maar met servers van iemand anders die een certificaat heeft vervalst. (Of de private key van de digid servers heeft gestolen, dat kan in theorie ook)
 
Ozzie PHP

Ozzie PHP

03/09/2011 17:00:21
Quote Anchor link
Oké. Wel raar... maar ik ga de komende dagen in ieder geval maar niet DigiD'en.
 
Jelmer -

Jelmer -

03/09/2011 17:05:56
Quote Anchor link
Gewoon geen geheime gegevens zoals wachtwoorden sturen naar sites die een certificaat van Diginotar gebruiken, omdat Diginotar certificaten blijkbaar zijn "afgegeven" aan mensen die niet de eigenaar zijn van zo'n site. Dus je weet niet zeker dat de server waarmee je praat van de eigenaar is van de site.
 
Ozzie PHP

Ozzie PHP

03/09/2011 17:25:13
Quote Anchor link
Concreet betekent dat dus dat je een aantal overheidssites tijdelijk niet kunt gebruiken.
 
Jelmer -

Jelmer -

03/09/2011 18:59:18
Quote Anchor link
Concreet betekent dat je geen sites moet vertrouwen wanneer "ze" een Diginotar certificaat gebruiken.
 
Ozzie PHP

Ozzie PHP

03/09/2011 19:04:36
Quote Anchor link
Ja, maar dat zijn toch voornamelijk de overheidssites?
 
- Ariën  -
Beheerder

- Ariën -

03/09/2011 19:07:00
Quote Anchor link
Correct...
 
Ozzie PHP

Ozzie PHP

03/09/2011 19:08:10
Quote Anchor link
okeej!
 
Tobias Tobias

Tobias Tobias

03/09/2011 20:31:24
Quote Anchor link
Dus de overheid-sites zijn nu evengoed te vertrouwen als de overheid zelf... ;-)
 
Jelmer -

Jelmer -

03/09/2011 20:51:44
Quote Anchor link
Volgens mij was Diginotar gewoon een normale CA die ook voor webwinkels e.d. certificaten ondertekende. Ik kan helaas zo snel niet even een lijst vinden (naja, EFF's SSL observatory maar die is niet online te doorzoeken)

Maar daar gaat het niet om. Diginotar werd vertrouwd door je browser. Als iemand een certificaat voor phphulp.nl tekent met Diginotars private sleutel, dan wordt dat certificaat vertrouwt door je browser en krijg je een mooi groen slotje te zien, ook al weet Bas niet eens van het bestaan van dat certificaat af. Het zijn niet websites die onveilig zijn geworden, het zijn de verbindingen met websites die onveilig zijn zolang Diginotars certificaten worden vertrouwt. En nog niet eens zozeer de verbindingen; die blijven wel versleuteld. Maar een certificaat van Diginotar is geen garantie dat je daadwerkelijk met een server praat die is die hij beweert dat hij is.
 
Ozzie PHP

Ozzie PHP

03/09/2011 21:07:34
Quote Anchor link
Ik snap wat je bedoelt. Tja, wel kl#te zoiets... als beveiligde verbindingen al niet meer te vertrouwen zijn :-s
 
The Force

The Force

03/09/2011 22:22:57
Quote Anchor link
Wat een overdreven gedoe allemaal weer! Alle mogelijk onveilige certificaten zijn ingetrokken. Browserfabrikanten hebben adequaat gereageerd door in eerste instantie specifieke subroot certificaten als onveilig te bestempelen, later nog rigoureuzer (door alle certificaten van Diginotar als onveilig te bestempelen). De overheid heeft adequaat gereageerd door het werk van Diginotar over te nemen. Certificaten van Diginotar zijn ook niet per definitie onveilig. Het is alleen niet meer te garanderen dat een Diginotar certificaat veilig is. Overheidswebsites zijn bijna allemaal gewoon te gebruiken. Veel maken er ook gebruik van Verisign als CA. Mogelijk onveilige certificaten worden netjes door de browser geweigerd. Alle bekende browsers markeren Diginotar certificaten namelijk als niet vertrouwd. Mijn afstudeerproject ging overigens over veilige communicatie tussen overheid en bedrijven. Wat ik daar uit heb geleerd is dat het imago van de overheid op het gebied van ICT en veiligheid onterecht is. Nederland loopt wereldwijd voorop in het standaardiseren en het creëren van een efficiënte digitale overheid. In tegenstelling tot wat velen denken doet de overheid ook een serieuze poging open-source oplossingen aan te bieden voor communicatie met de overheid. Zo hebben ze een eigen open-source Gateway ontwikkeld om bedrijven gratis en veilig met de overheid te laten communiceren (dit project is nu gestopt omdat er nieuwe alternatieven zijn). Maar nee, de overheid maakt nog steeds geen gebruik van dat 'geweldige' Open Office, dus de overheid doet niets aan open-source.

Waar ik me aan erger is dat zoveel mensen meteen hun oordeel klaar hebben. Ze weten niet eens wat een CA is, sleutels hebben veel mensen ook nog niet over gehoord. Maar de overheid is nu opeens niet meer te vertrouwen (er was ook al eens een USB stickje kwijt geraakt, tjonge!). Iemand wel eens gehoord van NUP, Digikoppeling, koppelvlakstandaarden, EBMS, Diginetwerk, Digipoort? Nee dat dacht ik al.

Wat ik verder nog kwijt wil is dat het hacken van een certificaat slechts het eerste stap is in een proces om gegevens buit te maken. Er zijn in de logfiles van overheidswebsites geen opmerkelijkheden gevonden. De kans dat de Iraniërs deze ook gehackt hebben om verdachte activiteiten uit het logboek te houden lijkt mij erg onwaarschijnlijk. Verder moet een gebruiker nog worden verleid om niet rechtstreeks met de overheid te praten maar via een malifide site (bijvoorbeeld door via een virus je hosts bestand aan te passen). Doet me een beetje denken aan de Air Crash Investigation serie op TV. Een ramp is altijd te wijten aan een samenspel van een opstapeling aan fouten.

En Ozzie, 100% veilige systemen bestaan niet. Ik weet niet waarom je het probleem zo graag wil uitsmeren over alle overheidswebsites en DigiD (wat heeft DigiD hier nu mee te maken???) maar zolang je in je browser een mooi groen balkje krijgt is er niks aan de hand.

Edit. Voor iedereen: lees http://www.rijksoverheid.nl/onderwerpen/digitale-overheid/nieuws/2011/09/03/overheid-zegt-vertrouwen-in-de-certificaten-van-diginotar-op.html eens door.
Gewijzigd op 03/09/2011 23:01:08 door The Force
 
Ozzie PHP

Ozzie PHP

03/09/2011 22:56:48
Quote Anchor link
"En Ozzie, 100% veilige systemen bestaan niet. Ik weet niet waarom je het probleem zo graag wil uitsmeren over alle overheidswebsites en DigiD (wat heeft DigiD hier nu mee te maken???) maar zolang je in je browser een mooi groen balkje krijgt is er niks aan de hand."

Waar leid je dit nou weer uit af? Van overheidsinstanties mag je verwachten dat ze 100% veilig zijn omdat ze veel gevoelige informatie bevatten. Daarnaast smeer ik helemaal niks uit. Blijkbaar gaat er iets niet goed met DigiD zoals overal in het nieuws te lezen en te horen is. Ik vind het niet prettig dat je mij woorden in de mond legt.
 
The Force

The Force

03/09/2011 23:29:00
Quote Anchor link
Ozzie PHP op 03/09/2011 22:56:48:
Van overheidsinstanties mag je verwachten dat ze 100% veilig zijn omdat ze veel gevoelige informatie bevatten.

Verwacht gerust het onmogelijke. Van een vliegtuig mag je ook verwachten dat die niet crasht. Gebeurt ook.

Ozzie PHP op 03/09/2011 22:56:48:
Daarnaast smeer ik helemaal niks uit.

Je hebt gelijk, mijn fout. Ik las je bericht alsof je alle overheidssites niet wilde gebruiken, maar nu ik het nogmaals lees zie ik dat je wat genuanceerder was.

Ozzie PHP op 03/09/2011 22:56:48:
Blijkbaar gaat er iets niet goed met DigiD zoals overal in het nieuws te lezen en te horen is.

Het is theoretisch gezien niet uit te sluiten dat certificaten van de subgroep PKIOverheid onterecht zijn vrijgegeven. Er is geen enkele aanwezig echter dat dat wel gebeurd is. In logboeken is ook niks vreemd geconstateerd. Het staat wel vast dat certificaten van Diginotar zelf onterecht zijn vrijgegeven. Zie de maatregelen als preventieve maatregelen om je veiligheid te garanderen. Verder vind ik dat de overheid adequaat reageert door in nog geen dag tijd te beslissen dat de samenwerking met Diginotar opgeheven wordt. Maar daar hoor je niemand over.

P.S. Voor de mogelijke aluhoedjes onder ons: ik werk niet bij de overheid ;).
 

Pagina: 1 2 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.