Af Torben R. Simonsen *, Computerworld
Tilliden til internet led et alvorligt knæk, da det lykkedes personer at snyde verdens største udsteder af digitale signaturer, VeriSign, til at udstede falske digitale signaturer til medarbejdere, der angiveligt skulle arbejde i Microsoft.
Men problemet kunne være undgået. Ifølge udviklingsdirektør i Cryptomathic, Torben Pedersen, kunne VeriSign have sikret sig bedre mod dette misbrug.
? VeriSign har besluttet ikke at implementere en henvisning til den sorte liste i deres certifikater. Hvis de havde gjort det, ville det ikke have været noget problem for Microsofts produkter at undersøge, om certifikaterne var gyldige, siger han.
Microsoft har udsendt en advarsel mod de falske certifikater og blandt andet oplyst, at truslen er rettet mod alle brugere af Microsofts styresystemer. Microsoft oplyser endvidere, at de arbejder på en programrettelse. Ifølge Microsoft er det såkaldte klasse tre-certifikater, der er udstedt, hvilket i VeriSigns terminologi er den højeste grad af sikkerhed og autorisation. Den burde have inkluderet en fysisk tilstedeværelse og dokumentation for udstedelse af certifikaterne.
Computerworld har forelagt problemstillingen for IT-sikkerhedsrådets formand, professor Mads Bryde Andersen, men han ønsker ikke at kommentere på situationer, der alvorligt kan svække tilliden til udstedelsen af digitale signaturer.
Chefkonsulent i Forskningsministeriet, Palle H. Sørensen, ønsker heller ikke at kommentere den konkrete sag, da det ikke er helt klart, hvilke sikkerhedsbrister, der har været, og om der har været tale om helt konkret svindel eller blot manglende sikkerhedsprocedurer. Han oplyser dog, at noget tilsvarende vil være meget vanskeligt, hvis man følger de danske regler.
? Vi lægger op til to niveauer af digitale certifikater. Det dyre, hvor man fysisk skal møde frem og dokumentere, hvem man er, og så det langt billigere og mere enkle system, hvor man elektronisk kan rekvirere et certifikat, og hvor nøglen til certifikatet sendes med posten. Et system vi også kender fra bankernes udsendelse af PIN-koder, siger han.
En sag for FBI
Det danske firma Eurotrust forhandler og distribuerer for VeriSign i Skandinavien, og marketingdirektør Rasmus Lau Rübner-Petersen oplyser, at VeriSign på baggrund af det aktuelle tilfælde vil gennemgå sine procedurer for at sikre, at der ikke kan ske gentagelser.
? Men det er svært at gardere sig, når, som det formentlig er tilfældet her, en medarbejder har stjålet en Microsoft-medarbejders identifikation og benyttet den, siger han.
Endnu er der ikke forlydender om, at de falske certifikater er anvendt, men det amerikanske forbundspoliti FBI er gået ind i sagen.