1 ポイント 投稿者 GN⁺ 2024-12-01 | 1件のコメント | WhatsAppで共有
  • Andrew Ayeragwa14h
    • ブラジルの認証機関がMicrosoftによって信頼されており、google.comに対しておそらく未承認の証明書を発行した。これにより、Edgeおよびその他のWindowsアプリケーション(ChromeとFirefoxを除く)で、Googleへのトラフィックを傍受できる可能性がある。Microsoftはこの認証機関に関する問題の履歴をよく認識しており、2021年に懸念を伝え、2022年の公開CCADB議論でも追加の問題が提起されていた。この出来事が変化を促すことを願う。Windowsユーザーは、より良い扱いを受けるに値する。
  • Andrew Ayeragwa12h
    • 認証機関の無能さの例として、証明書のサブジェクトにGoogleの子会社のシリアル番号が含まれていたとしても、それはGoogleによって承認されたことを意味しない。認証機関はそのフィールドに好きな内容を入れることができ、この認証機関は証明書に入れる内容を明確に検証していない。
  • Andrew Ayeragwa10h
    • 企業の中間者攻撃プロキシは非常に有害だ。

1件のコメント

 
GN⁺ 2024-12-01
Hacker Newsの意見
  • ICP-Brasilは10月に公開用のSSL/TLS証明書発行を正式に停止していた: https://www.gov.br/iti/pt-br/assuntos/noticias/indice-de-not...
    公開証明書の発行禁止を回避しただけでなく、GoogleのCAAルールにも違反しているので、かなり深刻。 この認証局はMicrosoft OS上で恒久的にブロックされてほしい

    • certlm.mscを確認してみたところ、すでにホットフィックスが配布されたようで、信頼されたルート証明機関にICP Brasilは見当たらない
  • さらに悪いのは、バグレポートに出てくるICP-Brasilが、デジタル署名関連全般を担当する政府運営機関だという点
    契約書や証書へのデジタル署名、税務申告書へのアクセスにまで関わっている

    • Webブラウザと違って、デジタル署名のユースケースでは失効確認を行う必要があるので、google.com証明書を失効させれば解決しそう
  • 見た目としてかなり悪い。ChromeとFirefoxはこの認証局への信頼を削除するだろうと思っていたが、そもそもすでに信頼していなかった
    他の大手プレイヤーが信頼していない認証局をMicrosoft/Windowsが信頼していたというのは、Microsoftにとってさらに悪い構図に見える

    • Microsoftのセキュリティ上の評判は非常に悪く、こうしたことをやってきたからこそその評判を得たのだ
      当面よくなる可能性も低そうで、方向性はいまだに下向きのまま
    • 主要プレイヤーの誰からも信頼されていないWeb認証局に何の意味があるのか分からない
    • 米国の大きな祝日に発行されたのも印象が悪い。多くの人が休暇中のタイミングだったからだ
    • 単に見た目が悪いのではなく、ただ悪いことだ
    • 笑えるのは、これがこの認証局に関する最新の問題にすぎないという点
      以前はデフォルトで信頼されておらず、証明書ストアに手動で追加する必要があったのに、ブラジル政府は公式Webサイトでこの認証局を使い続けると主張していた
  • Microsoftは認証局を信頼する基準がかなり緩いように見えるし、採用判断も透明ではなく、信頼ストアも相当に大きい
    まともなWebサイトならブラウザ、特にChromeが信頼する証明書だけを使うはずなので、こうした余分な認証局がもたらす利点は低そう
    Windowsユーザーではないが、Windows/EdgeでChromeの信頼ストアを使う方法があるのか気になる。Microsoftのリストは信頼しにくそうだ

    • 透明でない理由は、販売拡大を基準に動いているからだ
    • 「Microsoftは認証局を信頼する基準が緩いように見える」というのは、かなり大胆な表現だ。典型的なHN式の誇張に見える
      MSFTを擁護するつもりはないが、政府向けOS販売の経験から見ると、Microsoftに近い水準にいる企業は誰もいない。MSFTは認証局の追加を慎重に検討していると見るほうだ
      オランダ政府承認の認証局が大規模にハッキングされた事件、DigiNotarを知っているのか気になる。その認証局はルート証明書がほとんどのブラウザとOSの信頼ストアに追加された後でハッキングされ、広く信頼されていた。だとすれば、MSFTがDigiNotarのルート認証局を「緩く」信頼していたと言えるのだろうか。Mozilla Firefoxについても同じようには見にくいと思う
  • こういうことを見ると、なぜ証明書が証明書の所有者によっても署名されないのか気になる
    今は認証局が任意の公開鍵とドメインに対して証明書を発行でき、悪意ある信頼済み認証局は全トラフィックを傍受できる
    証明書に認証局の署名だけでなく、その公開鍵の所有者の署名も含まれていれば、認証局がこうした能力を持てなくなるように思うのだが、何を見落としているのだろう?

    • その例のすべての証明書に対する信頼の連鎖は、悪意あるルート認証局証明書を信頼するところから成立する
      認証局、または現実世界の詐欺で認証局をだました攻撃者が、2つ目の署名に使われる鍵ペアの「所有者」になり得る
    • 欠けているのは、鍵配布と失効のためのインフラと手続きだ
      認証局の信頼ルートに使う既存のPKIインフラを再利用するだけでは処理できない。公開鍵や証明書をDANEのようにDNSで配布することもできるだろうが、簡単なことではなく、エコシステム全体の既存参加者が同意する必要がある
      https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Na...
      既存の中央集権型PKIの上、または横に、分散型・自己管理型の信頼を追加して現状を改善しようという大きな方向性は気に入っている。より体系的で回復力のある構造へ向かう踏み石になり得る
    • 認証局の核心的な目的自体が公開鍵の検証
      証明書の所有者が、証明書に署名するための検証済み公開鍵をすでに持っているなら、認証局は不要になる
  • ブラジルはなぜMicrosoftに自国の認証局を信頼させることができたのか気になる。たとえばカザフスタン[1]はそうできなかったのに

    1. https://en.wikipedia.org/wiki/Kazakhstan_man-in-the-middle_a...
    • ブラジル政府がWindowsライセンスを大量購入しているからだ
  • 単純な解決策は、独立機関が認証局に対する信頼の主張を提供し、ユーザーが複数の機関の判断を合わせて考慮して信頼するかどうかを決められるようにすることだと思います。
    攻撃経路がこれほど明確なのに、まだこうした仕組みがないのは驚きです。

    • これは WebPKI の問題というより、クライアントソフトウェアのバグに近いものです。
      どんな代替 PKI 方式を作っても、Microsoft が取引を結ぶという問題からは自由ではありません。
    • ページをレンダリングするときに複数の信頼ストアを確認するブラウザプラグインなら、かなり簡単に作れそうです。おそらくすでにあるかもしれません。
      問題はキーボードと椅子の間にあります。ユーザーはすでに SSL ですら理解するのが難しいのです。ブラウザは EV、DV、OV の違いが複雑すぎると見て、隠してしまいました。
      おばあさんが銀行サイトを開いたところ、その証明書は Google、Apple、Microsoft には信頼されているが Mozilla には信頼されておらず、ブラウザプラグインが緑がかった黄色の信頼表示を見せたら、どう受け止めるでしょうか。
      残念ながら、信頼は二値的です。おばあさんが銀行のブックマークを押したとき、銀行のウェブサイトを見るか、恐ろしい警告を見るかのどちらかなのです。
  • 原文だけでは、これがミスだったのか意図的だったのかはよく分かりません。

    • 証明書が CT に登録されていたので、合理的にはミスだったと見るのが妥当だと思います。
      発覚することは保証されており、多大なコストをかけて用意した機能そのものを脅かす論争を招くのが明らかだったからです。
    • 認証局がどうやって google.com の証明書を誤って発行できるのか分かりません。
      悪意のないシナリオなどあるのでしょうか。
    • 不注意だった、というのが答えです。
    • それは重要ですか?
  • 推測ですが、政府と大企業の間の意図的な共謀や強制のように聞こえます。
    例えばブラジル政府が、自国で事業を行う権利と引き換えに、Microsoft に対して Windows 端末で中間者攻撃のアクセスを許可するよう求める、といった形です。

    • その可能性は非常に低いように思えます。
      政府はたいてい、悪い計画を密かに進めます。こうしたことは発覚せずに済ませるのが難しすぎるため、現実的な方法ではありません。今この文章を HN で読んでいるという事実が、まさにその例です。
  • 国家または国家関連の認証局リストを持っている人がいるといいのですが。全部捨てたいです。

    • 昨年、部分的なリストを作りました [1]
      どの認証局が政府運営または政府の管理下にあるかを判断するのは困難です。名前だけでは常に明確とは限らず、民間企業が政府の指示に従って運営されている場合もあり、法律上、認証局が政府の要請に従わなければならない場合もあります。
      ここにあるものはいずれも、認証局を運営している政府・軍組織であることが非常にはっきりしているところで、今回言及されたブラジルの認証局はリストの2番目です。
      [1] https://alexsci.com/blog/ca-trust/#government-control-of-cas