디지노타

DigiNotar
DigiNotar BV
유형상장회사의 자회사
산업인터넷 보안
설립.1998년(1998년)
설립자딕 바텐버그
없어졌다2011년 9월 20일(2011-09-20)
운명.2010년 VASCO Data Security International, Inc.에 인수, 2011년 파산 선언
본사
베버베이크
,
네덜란드
상품들공개 키 증명서
서비스인증국
주인VASCO Data Security International
웹 사이트www.diginotar.nl

DigiNotar는 VASCO Data Security International, Inc.[1][2]가 소유한 네덜란드의 인증 기관입니다.2011년 9월 3일 보안 침해가 증명서부정 발급한 것이 판명된 후 네덜란드 정부는 DigiNotar 시스템의 [3]운영 관리를 인계받았다.같은 달, 그 회사는 [4]파산 선고를 받았다.

네덜란드 정부가 지정한 폭스 IT 컨설팅업체는 이번 해킹에 대한 조사를 통해 30만 의 이란 지메일 사용자(이후 중간자 공격 대상)가 해킹의 주요 타깃으로 지목됐으며,[5] 이란 정부가 해킹의 배후로 의심하고 있다.2013년 현재 아무도 증명서 침입과 침해 혐의로 기소되지 않았지만 암호학자 브루스 슈나이어는 이번 공격이 "NSA의 소행이거나 [6]NSA에 의해 악용된 것일 수 있다"고 말했다.하지만, 다른 사람들은 NSA가 위조 [7]증명서를 사용하는 외국 정보 기관을 적발했을 뿐이라고 말하면서, 이것은 논란이 되고 있다.해킹은 또한 21세의 이란 학생으로 알려진 소위 코모도하커에 의해 주장되었는데, 코모도는 F-Secure에 의해 타당하다고 밝혀진 주장을 포함하여 다른 4개의 인증 기관을 해킹했다고 주장했지만, 그 후 "이란 시민들의 대규모 가로채기"로 이어지게 된 경위는 완전히 설명되지 않았다.[8]

500개가 넘는 가짜 DigiNotar 인증서가 발견된 후 주요 웹 브라우저 제조업체들은 모든 DigiNotar [9]인증서를 블랙리스트에 올리는 방식으로 대응했습니다.사고의 규모는 ENISA나 AccessNow.org와 같은 일부 조직에서는 단일 보안 침해 CA가 많은 [10][11]사용자에게 영향을 미칠 수 있는 가장 약한 링크 가능성을 제거하기 위해 HTTPS의 보다 철저한 개혁을 요구하기 위해 사용되었습니다.

회사

DigiNotar의 주요 활동은 인증 기관으로서 두 가지 유형의 인증서를 발급하는 것이었습니다.첫 번째로 자기 이름으로 증명서를 발급했습니다(루트 CA는 'DigiNotar Root CA').[12]위탁증명서는 2010년 7월 이후 발급되지 않았지만 2013년 [13][14]7월까지 유효했던 것도 있다.둘째, 그들은 네덜란드 정부의 PKIoverheid("PKI 정부") 프로그램에 대한 인증서를 발급했다.이 발행은 2개의 중간 증명서를 통해 이루어졌으며, 각 증명서는 2개의 "Staat der Nederlanden" 루트 CA 중 하나에 체인으로 연결되어 있습니다.보안 인터넷 통신을 위해 인증서를 사용하고자 하는 정부를 위해 서비스를 제공하는 국가 및 지역 당국 및 조직은 이러한 인증서를 요청할 수 있습니다.네덜란드 정부가 제공하는 가장 많이 사용되는 전자 서비스 중 일부는 DigiNotar의 인증서를 사용했다.인증 인프라 DigiD와 중앙 자동차 등록 기관인 네덜란드 차량국 [nl](RDW)이 그 예입니다.

DigiNotar의 루트 증명서는 2011년 [15][16][17]8월 29일 전후로 모든 주요 웹 브라우저 및 소비자 운영 체제의 신뢰할 수 있는 루트 목록에서 삭제되었습니다.「Staat der Nederlanden」의 루트는, 당초는 침해되지 않았다고 생각되기 때문에 보관되어 있었습니다.그러나 그 이후 그것들은 취소되었다.

역사

DigiNotar는 1998년 베버바이크 출신의 네덜란드 공증인 딕 바텐버그와 네덜란드 민법 공증인 국가기관인 Koninklijke Notariéle Beroepsorganisatie[nl]에 의해 설립되었습니다.KNB는 모든 종류의 중앙 서비스를 공증인에게 제공하고 있으며, 공증인이 제공하는 서비스의 대부분은 공식적인 법적 절차이기 때문에 통신 보안은 중요하다.KNB는 회원들에게 비즈니스에 전자 서비스를 구현하는 방법에 대한 자문 서비스를 제공했는데, 이러한 활동 중 하나가 안전한 인증서를 제공하는 것이었다.

Dick Batenburg와 KNB는 TTP Notarissen(TTP Notariesen)이라는 그룹을 결성했습니다.TTP는 신뢰할 수 있는 서드파티를 의미합니다.공증인은 특정 규칙을 준수할 경우 TTP Notarissen의 멤버가 될 수 있습니다.교육 및 작업 절차에 관한 추가 규칙을 준수할 경우 공인 TTP [18]공증인이 될 수 있습니다.

DigiNotar는 수년간 범용 CA였지만, 여전히 공증인과 다른 전문가들을 위한 시장을 목표로 하고 있습니다.

2011년 1월 10일, 동사는 VASCO [1]Data Security International에 매각되었습니다.DigiNotar가 VASCO의[19] 사장 및 COO Jan Valke에 관한 문제를 처음 발견한 다음날인 2011년 6월 20일 VASCO 프레스 릴리즈에서 "DigiNotar의 인증서는 이 [20]분야에서 가장 신뢰할 수 있는 증명서 중 하나라고 생각합니다."라고 말했습니다.

파산

2011년 9월 20일, Vasco는 자회사 DigiNotar가 Haarlem 법원에 자진 파산 신청을 한 후 파산 선고를 받았다고 발표했습니다.법원은 파산절차를 거쳐 [4][21]청산까지 디지노타의 모든 업무를 관장하는 법정 선임 수탁자를 임명했다.

보고서 발행 거부

큐레이터(법원이 지정한 리시버)는 ITSec의 보고서가 발행되는 것을 원치 않았습니다.DigiNotar에 [citation needed]대한 추가 클레임이 발생할 수 있기 때문입니다.이 보고서에는 이 회사의 운영 방식과 [citation needed]파산을 초래한 2011년의 해킹에 대한 자세한 내용이 다루어졌다.

이 보고서는 애초 보고서 발표를 거부한 네덜란드 감독기관 OPTA의 요청에 따라 작성됐다.기자가 시작한 정보자유(Wet openbaarhed van bestuur [nl]) 절차에서 수신인은 법원에 이 보고서의 발표를 허용하지 않도록 설득하고 OPTA의 최초 [22]거부 사실을 확인하려고 했다.

이 보고서는 공개 명령을 받았으며 2012년 10월에 공개되었다.이것은 시스템의 거의 완전한 타협을 나타내고 있습니다.

부정 증명서 발급

2011년 7월 10일, DigiNotar의 시스템에 액세스 할 수 있는 공격자가 Google용 와일드카드 증명서를 발급했습니다.이 증명서는 이후 이란에서 알려지지 않은 사람들이 구글 [23][24]서비스에 대한 중간자 공격을 하기 위해 사용되었습니다.2011년 8월 28일,[25] 이란의 여러 인터넷 서비스 프로바이더에서 증명서 문제가 발견되었습니다.가짜 증명서가 페이스트빈[26]게시되었습니다.VASCO의 후속 뉴스 릴리즈에 따르면 DigiNotar는 2011년 [27]7월 19일에 인증국 인프라스트럭처에 대한 침입을 검출했습니다.DigiNotar는 당시 보안 침해 사실을 공개하지 않았다.

이 증명서가 발견된 후 DigiNotar는 뒤늦게 야후, 모질라, 워드프레스 및 Tor 프로젝트 [28]도메인용 증명서를 포함하여 수십 개의 사기 증명서가 생성되었음을 시인했습니다.DigiNotar는 이러한 모든 인증서가 [29]취소되었음을 보장할 수 없었습니다.구글은 크롬에서 [30]247개의 인증서를 블랙리스트에 올렸지만, 최종 알려진 오발급된 인증서는 최소 531개입니다.[31]F-Secure의 조사에서는,[32] 2009년에 터키와 이란의 해커에 의해서 DigiNotar의 웹사이트가 훼손된 사실도 밝혀졌습니다.

이에 대응하여 Mozilla는 지원되는 모든 버전의 Firefox 브라우저에서 DigiNotar 루트 증명서에 대한 신뢰를 해지하고 Microsoft는 지원되는 모든 Microsoft Windows [33][34]릴리스에서 브라우저를 사용하여 DigiNotar 루트 증명서를 신뢰할 수 있는 인증서 목록에서 삭제했습니다.Chromium/Google Chrome은 사기를 탐지할 수 있었습니다.*.google.com "증명서 핀 연결" [35]보안 기능으로 인해 증명서는 Google 도메인으로 제한되었으며, 결과적으로 Google은 신뢰할 [23]수 있는 인증서 발급자 목록에서 DigiNotar를 삭제했습니다.Opera는 항상 인증서 발급자의 인증서 해지 목록을 검사하므로 처음에는 보안 [36][37]업데이트가 필요하지 않다고 명시했습니다.그러나 나중에 신뢰 [38]저장소에서 루트도 제거했습니다.2011년 9월 9일, AppleMac OS X 10.6.8 및 10.7.1용 보안 업데이트 2011-005를 발행했습니다.이것에 의해, 신뢰할 수 있는 루트 증명서 및 EV [39]인증국 리스트로부터 DigiNotar가 삭제됩니다.이 업데이트가 없으면 Safari 및 Mac OS X는 인증서 취소를 감지하지 않으며 사용자는 키 체인 유틸리티를 사용하여 [40]인증서를 수동으로 삭제해야 합니다.Apple은 iOS [41]5가 출시된 2011년 10월 13일까지 iOS에 패치를 적용하지 않았습니다.

DigiNotar는 또한 네덜란드 정부공개인프라스트럭처 "PKIoverheid" 프로그램의 일환으로 인증서를 발급하는 데 사용되는 중간 인증서를 관리하여 네덜란드 정부 인증 기관(Staat der Nederlanden)[42]에 연결했습니다.이 중간 증명서가 브라우저에 의해 취소되거나 신뢰할 수 없는 것으로 표시되면 증명서의 신뢰 체인이 끊어지고 ID 관리 플랫폼인 DigiD나 Tax and Customs [43]Administration 등의 서비스에 액세스하기 어려워졌습니다.GOVCERT네덜란드 컴퓨터 비상대응팀인 NL[nl]은 보안 전문가가 [29][45]불확실했지만 처음에는 PKIoverheid 인증서가 [44]손상되었다고 믿지 않았다.왜냐하면 이러한 자격증 처음은 보안 위반 때문에 약화될 생각 있는 네덜란드 당국의 요청에 내지 않았 trust[42][46]–지만 둘 중 하나를, 능동"Staat 데르 Nederlanden-G2"루트 인증서가 모질라 엔지니어에 의해에서 실수로 불신임을 간과되었다의 제거로 면제된다. 그 타efox [47]빌드그러나 네덜란드 정부의 감사 후 이 평가는 취소되었으며, 다음 보안 업데이트에서는 "Stat der Nederlanden" 계층의 DigiNotar 제어 중간체도 Mozilla에 의해 블랙리스트에 올랐으며 다른 브라우저 제조업체에 [48]의해 블랙리스트에 올랐다.네덜란드 정부는 2011년 9월 3일 인증 [49]기관으로 다른 회사로 전환할 것이라고 발표했다.

네덜란드 정부의 조치

PKIoverheid 계층에서 DigiNotar가 제어하는 중간 증명서에 의한 증명서는 영향을 받지 않는다고 처음 주장한 후 외부 당사자인 Fox-IT 컨설턴트에 의한 추가 조사를 통해 이들 머신에 대한 해커 활동도 확인되었습니다.이에 따라 네덜란드 정부는 2011년 9월 3일 아무 문제가 없다는 기존 [50]발언을 철회하기로 결정했다(폭스 IT 조사관들은 이 사건을 '검은 [51]튤립 작전'이라고 불렀다).Fox-IT 보고서는 30만 개의 이란 지메일 계정을 [5]해킹의 주요 피해자로 지목했다.

DigiNotar는 PKIoverheid에서 사용 가능한 CA의 1개에 불과했기 때문에 루트 아래에서 네덜란드 정부가 사용하는 모든 증명서가 영향을 받는 것은 아닙니다.네덜란드 정부가 DigiNotar에 대한 신뢰를 잃었다고 판단했을 때, 그들은 질서 있는 전환을 관리하기 위해 회사의 중간 인증서를 다시 통제하고 신뢰할 수 없는 인증서를 다른 공급자 [50]중 한 곳의 새 인증서로 교체했습니다.많이 사용되는 DigiD 플랫폼은[when?] 현재 Getronics PinkRocade Nederland B.[52]V.에 의해 발행된 증명서를 사용하고 있습니다.네덜란드 정부에 의하면, DigiNotar는 이 절차들에 대한 완전한 협력을 그들에게 주었다.

DigiNotar 신뢰 삭제 후 PKIoverheid 계층에서 [53]증명서를 발급할 수 있는4개의 Certification Service Provider(CSP; 인증 서비스 프로바이더)가 있습니다.

  • 디지덴티티[54]
  • ESG 또는 De Electronische Signatuur[55]
  • QuoVadis[56]
  • KPN 증명서 검증

4사 모두 DigiNotar에서 PKIoverheid 인증을 취득한 조직이 나머지 4개 프로바이더 [54][55][56][57]중 하나에 새로운 인증을 요구할 수 있는 방법에 대해 특별한 헬프 데스크를 개설하거나 웹 사이트에 정보를 공개하고 있습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ a b "VASCO Data Security International, Inc. announces the acquisition of DigiNotar B.V., a market leader in Internet trust services in the Netherlands" (Press release). VASCO. January 10, 2011. Archived from the original on September 17, 2011. Retrieved August 31, 2011.
  2. ^ van der Meulen, Nicole (June 2013). "DigiNotar: Dissecting the First Dutch Digital Disaster". Journal of Strategic Security. 6 (2): 46–58. doi:10.5038/1944-0472.6.2.4. ISSN 1944-0464.
  3. ^ Web 사이트 Govercert Factsheet 검출 부정 증명서 2011년 10월 8일 Wayback Machine에 보관.2011년 9월 6일 취득.
  4. ^ a b "VASCO Announces Bankruptcy Filing by DigiNotar B.V." (Press release). VASCO Data Security International. September 20, 2011. Archived from the original on September 23, 2011. Retrieved September 20, 2011.
  5. ^ a b Gregg Keizer (September 6, 2011). "Hackers spied on 300,000 Iranians using fake Google certificate". Computerworld. Archived from the original on February 2, 2014. Retrieved January 24, 2014.
  6. ^ "New NSA Leak Shows Man-In-The-Middle Attacks Against Major Internet Services". September 13, 2013. Archived from the original on September 20, 2013. Retrieved September 14, 2013.
  7. ^ Rouwhorst, Koen (September 14, 2013). "No, the NSA was not behind the DigiNotar hack". Archived from the original on November 20, 2013. Retrieved November 19, 2013.
  8. ^ "Comodo hacker claims credit for DigiNotar attack". PC World Australia. September 6, 2011. Archived from the original on February 2, 2014. Retrieved January 24, 2014.
  9. ^ Bright, Peter (September 6, 2011). "Comodo hacker: I hacked DigiNotar too; other CAs breached". Ars Technica. Archived from the original on April 17, 2012. Retrieved April 29, 2019.
  10. ^ "Operation Black Tulip: Certificate authorities lose authority". www.enisa.europa.eu. Archived from the original on April 22, 2014. Retrieved January 24, 2014.
  11. ^ "The weakest link in the chain: Vulnerabilities in the SSL certificate authority system and what should be done about them. An Access Policy Brief Regarding the Consequences of the DigiNotar breach for Civil Society and Commercial Enterprise" (PDF). Archived (PDF) from the original on October 6, 2018. Retrieved February 20, 2019.
  12. ^ "Overzicht actuele rootcertificaten" [Survey of current root certificates] (in Dutch). DigiNotar. Archived from the original on August 31, 2011. Retrieved September 12, 2011.
  13. ^ "Entrust in relation with Diginotar". Ssl.entrust.net. September 14, 2011. Archived from the original on April 2, 2012. Retrieved February 1, 2012.
  14. ^ Entrust 체인 아래의 Diginotar 인증서 인쇄 화면
  15. ^ "Microsoft Security Advisory 2607712". technet.microsoft.com. Archived from the original on June 10, 2016. Retrieved June 16, 2016.
  16. ^ "An update on attempted man-in-the-middle attacks". Google Online Security Blog. Archived from the original on June 10, 2016. Retrieved June 16, 2016.
  17. ^ "Fraudulent *.google.com Certificate". Mozilla Security Blog. Archived from the original on May 25, 2022. Retrieved June 16, 2016.
  18. ^ Web 사이트 Diginotar on TTP Notarissen 2011년 8월 31일 Wayback Machine에서 아카이브.
  19. ^ FOX-IT 중간 보고서, v1.0 보관 2015년 4월 21일, Wayback Machine(인증서가 잘못 발급되기 전), 타임라인(페이지 13).2011년 9월 5일 취득.
  20. ^ "VASCO Tackles Global SSL-Certificate Market". MarketWatch. June 20, 2011.
  21. ^ Wayback Machine에서 2011년 9월 24일 보관된 DigiNotar에 대한 Haarlem의 프레스 릴리즈 법원, 2011년 9월 20일.2011년 9월 27일 취득.
  22. ^ Newsite nu.nl: 더 많은 클레임두려워하는 수신자 2012년 6월 30일 Wayback Machine(네덜란드)에서 아카이브.방문일 : 2012년 6월 25일
  23. ^ a b Heather Adkins (August 29, 2011). "An update on attempted man-in-the-middle attacks". Archived from the original on September 13, 2011. Retrieved August 30, 2011.
  24. ^ 엘리너 밀스입니다"사기 구글 인증서는 인터넷 공격을 가리킵니다."2011년 10월 8일, Wayback Machine CNET, 2011년 8월 29일에 아카이브 완료.
  25. ^ Charles Arthur (August 30, 2011). "Faked web certificate could have been used to attack Iran dissidents". The Guardian. Archived from the original on August 26, 2017. Retrieved August 30, 2011.
  26. ^ "Fraudulent certificate triggers blocking from software companies". Heise Media UK Ltd. August 30, 2011. Archived from the original on April 28, 2012.
  27. ^ "DigiNotar reports security incident". VASCO Data Security International. August 30, 2011. Archived from the original on August 31, 2011. Retrieved September 1, 2011.
  28. ^ "Mogelijk nepsoftware verspreid naast aftappen Gmail". Sanoma Media Netherlands groep. August 31, 2011. Archived from the original on December 4, 2011. Retrieved August 31, 2011.
  29. ^ a b "DigiNotar: mogelijk nog valse certificaten in omloop". IDG Nederland. August 31, 2011. Archived from the original on February 10, 2012. Retrieved August 31, 2011.
  30. ^ Keizer, Gregg (August 31, 2011). "Hackers may have stolen over 200 SSL certificates". F-Secure. Archived from the original on September 3, 2011. Retrieved September 1, 2011.
  31. ^ Markham, Gervase (September 4, 2011). "Updated DigiNotar CN List". Archived from the original on October 21, 2011. Retrieved September 20, 2011.
  32. ^ Hypponen, Mikko (August 30, 2011). "DigiNotar Hacked by Black.Spook and Iranian Hackers". Archived from the original on September 25, 2011. Retrieved August 31, 2011.
  33. ^ "Fraudulent Digital Certificates Could Allow Spoofing". Microsoft Security Advisory (2607712). Microsoft. August 29, 2011. Retrieved August 30, 2011.
  34. ^ Johnathan Nightingale (August 29, 2011). "Fraudulent *.google.com Certificate". Mozilla Security Blog. Mozilla. Archived from the original on September 21, 2011. Retrieved August 30, 2011.
  35. ^ "What The DigiNotar Security Breach Means For Qt Users". MeeGo Experts. September 10, 2011. Archived from the original on March 24, 2012. Retrieved September 13, 2011.
  36. ^ "Opera 11.51 released". Opera Software. August 30, 2011. Archived from the original on October 5, 2011. Retrieved September 1, 2011.
  37. ^ Vik, Sigbjørn (August 30, 2011). "When Certificate Authorities are Hacked". Opera Software. Archived from the original on October 8, 2011. Retrieved September 1, 2011.
  38. ^ "DigiNotar Second Step: Blacklisting the Root". Opera Software. September 8, 2011. Archived from the original on November 11, 2011. Retrieved September 20, 2011.
  39. ^ "About Security Update 2011-005". Apple. September 9, 2011. Archived from the original on September 25, 2011. Retrieved September 9, 2011.
  40. ^ "Safari users still susceptible to attacks using fake DigiNotar certs". Ars Technica. September 1, 2011. Archived from the original on October 12, 2011. Retrieved September 1, 2011.
  41. ^ "About the security content of iOS 5 Software Update". Apple. October 13, 2011. Archived from the original on February 5, 2009. Retrieved October 13, 2014.
  42. ^ a b Johnathan Nightingale (September 2, 2011). "DigiNotar Removal Follow Up". Mozilla Security Blog. Archived from the original on September 21, 2011. Retrieved September 4, 2011.
  43. ^ Schellevis, Joost (August 30, 2011). "Firefox vertrouwt certificaat DigiD niet meer". Tweakers.net (in Dutch). Archived from the original on September 28, 2011. Retrieved August 30, 2011.
  44. ^ "Frauduleus uitgegeven beveiligingscertificaat". August 30, 2011. Archived from the original on October 6, 2011. Retrieved August 31, 2011.
  45. ^ Schellevis, Joost (August 31, 2011). "Overheid vertrouwt blunderende ssl-autoriteit". Tweakers.net (in Dutch). Archived from the original on September 28, 2011. Retrieved August 31, 2011.
  46. ^ Schellevis, Joost (August 31, 2011). "Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid". Tweakers.net (in Dutch). Archived from the original on September 28, 2011. Retrieved August 31, 2011.
  47. ^ "Bugzilla@Mozilla – Bug 683449 - Remove the exemptions for the Staat der Nederlanden root". Archived from the original on May 2, 2012. Retrieved September 5, 2011.
  48. ^ Gervase Markham (September 3, 2011). "DigiNotar Compromise". Archived from the original on September 25, 2011. Retrieved September 3, 2011.
  49. ^ "Security of Dutch government websites in jeopardy". Radio Netherlands Worldwide. September 3, 2011. Archived from the original on September 27, 2011. Retrieved September 3, 2011.
  50. ^ a b 뉴스 릴리즈 네덜란드 정부:2011년 9월 3일 Wayback Machine에서 2011년 10월 17일 아카이브된 de certificaten van Diginotar op의 과열 zeg vertrouwen.2011년 9월 5일 취득.
  51. ^ Charette, Robert (September 9, 2011). "DigiNotar Certificate Authority Breach Crashes e-Government in the Netherlands - IEEE Spectrum". Spectrum.ieee.org. Archived from the original on February 3, 2014. Retrieved January 24, 2014.
  52. ^ Request DigiD 계정[permanent dead link] 인증서를 참조하십시오.2011년 9월 5일 취득.
  53. ^ 웹 사이트 로고:증명서를 교환하고 있습니다.2011년 9월 5일 취득.
  54. ^ a b "PKIoverheid SSL". Archived from the original on July 12, 2012.
  55. ^ a b PKIOverheids 인증서 2011년 10월 10일 웨이백 머신에 아카이브되었습니다.2011년 9월 5일 취득.
  56. ^ a b 2011년 10월 10일 Wayback Machine에 보관된 PKIOverheid에 관한 Quovadis의 네덜란드 사무소.2011년 9월 5일 취득.
  57. ^ PKIOverheid 인증서 요청 관련 웹 사이트 Getronics 2011년 10월 10일 archive.today 아카이브.2011년 9월 5일 취득.

추가 정보

외부 링크