Στις 3 Δεκεμβρίου η Google ανακοίνωσε πως εντόπισε ψεύτικα πιστοποιητικά ασφαλείας για διάφορα domains που της ανήκουν1. Τι σημαίνει όμως αυτό; Για να το καταλάβουμε ακολουθεί η πιο σύντομη περιγραφή του μοντέλου εμπιστοσύνης που κυριαρχεί στο Ίντερνετ.
Αν επισκεφθείτε κάποια ασφαλή ιστοσελίδα (π.χ. https://mail.google.com) θα παρατηρήσετε ένα λουκέτο δίπλα στην γραμμή διεύθυνσης
Το λουκέτο αυτό υποδηλώνει πως α) η διεύθυνση αυτή ανήκει πράγματι στην εν λόγω ιστοσελίδα και β) κανένας άλλον, πλην του υπολογιστή σας και της ιστοσελίδας, δεν μπορεί να δει τα δεδομένα που μεταφέρονται. Πώς όμως ο υπολογιστής μας το αντιλαμβάνεται αυτό; Το αντιλαμβάνεται επειδή ο απομακρυσμένος υπολογιστής έχει στείλει ένα πιστοποιητικό ασφαλείας που περιέχει τα στοιχεία του. Ένα ερώτημα που προκύπτει είναι και πως γνωρίζουμε ότι το πιστοποιητικό αυτό είναι αυθεντικό; Η απάντηση σε αυτό το ερώτημα είναι επειδή το έχει υπογράψει ψηφιακά μια έμπιστη τρίτη οντότητα. Η έμπιστη τρίτη οντότητα είναι στην ουσία μια εταιρεία την οποία ο υπολογιστής μας (ή το κινητό μας) εμπιστεύεται και αυτό επειδή το δικό της πιστοποιητικό είναι προ εγκατεστημένο με το λειτουργικό μας. Άρα μέχρι στιγμή το μοντέλο εμπιστοσύνης έχει ως εξής: το λειτουργικό μας σύστημα εμπιστεύεται έναν αριθμό από έμπιστες τρίτες οντότητες και οποιαδήποτε σελίδα έχει πιστοποιητικό το οποίο έχει υπογραφεί από κάποια από αυτές τις οντότητες.
Ένα τέτοιο μοντέλο θα ήταν εύκολα διαχειρίσιμο, δεν θα ήταν όμως βιώσιμο γιατί λίγες εταιρείες θα μπορούσαν να ελέγξουν όλα τα πιστοποιητικά που υπάρχουν στο διαδίκτυο. Αυτό που κάναμε λοιπόν είναι να βάλουμε άλλον έναν κρίκο στο μοντέλο εμπιστοσύνης: της ενδιάμεσους πάρχους πιστοποιητικών. Ένας ενδιάμεσος πάροχος πιστοποιητικών είναι μια εταιρεία που υπογράφει πιστοποιητικά και για αυτή την εταιρεία έχει εγγυηθεί (άρα εμπιστεύεται) κάποια έμπιστη τρίτη οντότητα. Οπότε το μοντέλο εμπιστοσύνης επεκτείνεται ως εξής: το λειτουργικό μας σύστημα εμπιστεύεται οποιαδήποτε ιστοσελίδα έχει πιστοποιητικό το οποίο έχει υπογραφεί από έναν ενδιάμεσο πάροχο, τον οποίο εμπιστεύεται κάποια από τις έμπιστες τρίτες οντότητες που εμπιστεύεται το ίδιο το λειτουργικό.
Τι έγινε λοιπόν στο περιστατικό με την Google; Κάποιος ενδιάμεσος πάροχος, τον οποίο εμπιστευόταν η γαλλική έμπιστη τρίτη οντότητα ANSSI (η οποία ανήκει στο γαλλικό κράτος) εξέδωσε ένα ψεύτικο πιστοποιητικό για σελίδες της Google. Δεδομένου ότι σχεδόν όλα τα λειτουργικά εμπιστεύονται την ANSSI τα ψεύτικα αυτά πιστοποιητικά θα μπορούσαν να χρησιμοποιηθούν από κάποια κακόβουλη ιστοσελίδα, η οποία θα παρίστανε πως είναι μια ιστοσελίδα της Google: ο χρήστης θα ήταν αδύνατο να καταλάβει την απάτη.
Πώς όμως η Google κατάλαβε την απάτη; Στον πυγαίο κώδικα του browser της Google (του Chrome) υπάρχουν μια λίστα από πιστοποιητικά ιστοσελιδών (συμπεριλαμβανομένου και αυτών της Google). Όταν ο Chrome συναντήσει μια σελίδα η οποία ισχυρίζεται πως είναι μια από αυτές που υπάρχουν στον πηγαίο κώδικα του browser αλλά το πιστοποιητικό της είναι διαφορετικό τότε στέλνει μια ειδοποίηση στην Google για το ψεύτικο πιστοποιητικό. Τότε το ψεύτικο πιστοποιητικό αλλά και ο ενδιάμεσος φορέας μπαίνουν σε μια μαύρη λίστα
Παραπομπές:
- A. Langley, "Further improving digital certificate security", Google online security blog, 7 Δεκ. 2013 [Online], τελευταία πρόσβαση 24 Δεκ. 2012