Vertrouwen is goed, maar controle is beter. Oude Amerikaanse presidenten wisten dat al. Het Diginotar-incident is een hele dure wake-up call.
Laten we om te beginnen vaststellen dat de communicatie op alle fronten fout zit. Diginotar zwijgt, liegt daarna en blijkt een volkomen incompetente bedrijfsvoering te hebben. Mijn allereerste reactie was: die gaan failliet. Vertrouwen komt te voet en vertrekt te paard. Mogelijk worden ze in het zadel gehouden door de overheid, die ook al krommuniceert (kent u van Kooten en de Bie nog?). Niet alleen mag soms wel en soms niet met websites met een vlekje worden gewerkt, maar de uitleg richting politiek en publiek over wat er gebeurd is, raakt kant nog wal. Wellicht even voor de niet it'er: er is niets vervalst maar bij uw o zo vertrouwde notariskantoor is ingebroken en uw notaris heeft overal voor getekend zonder zich dat te realiseren. De handtekening is echt, er kunnen zaken worden gedaan uit uw naam maar zonder uw medewerking. Had de notaris de tent maar beter moeten beveiligen.
Maar de notaris is niet de enige domoor. De overheid – topklant – heeft nagelaten de kwaliteit van de bedrijfsvoering te controleren. Nagelaten om een risico-inventarisatie te maken: alles digitaal, hoera. Maar nu valt in heel Nederland de stroom uit. Apple blijkt met de hand verwijderde CA-informatie te negeren voor de betere (…) certificaten. De enige CA die niet in de browsers zit omdat ze niet commercieel is, is CaCert, elke betalende rommelcertificatenfabriek mag zomaar meedoen.
Er is een enorme historie aan blunders, software fouten en organisatorische problemen omtrent certificaten en HTTPS. Maar we hebben op korte termijn geen ander middel en theoretisch zijn het prima oplossingen. Maar wat elke CISSP al lang weet is dat goedkoop duurkoop is. Een certificaat kost geen duizend euro. Het kost het honderdvoudige als je er correct en dynamisch mee om wilt gaan. Als je dat niet wilt uitgeven, prima, maar reken dan even de kosten uit van het verloren vertrouwen en de gemiste business.
De uitspraak “Vertrouwen is goed, controle is beter.” wordt toegeschreven aan Joseph Stalin. Wel een heel bijzonders sprong naar oude Amerikaanse presidenten.
Andere citaten:
– Wie bang is voor de wolven, moet uit het bos blijven.
– De dood lost alle problemen op: geen mensen, geen problemen.
– Liever een onschuldige te veel veroordeeld dan een contrarevolutionair te weinig.
Ik ben het in dit verband eens met “Vertrouwen is goed, controle is beter”, maar wel onder voorwaarde dat ik erop kan vertrouwen dat de controle goed is…
Om dan nog niet te spreken over de rol welke bedrijven en overheid kunnen innemen over de controlerende partij. Een mooi voorbeeld hoe onafhankelijke toezicht ten prooi valt aan commerciële en politieke belangen. Theoretisch is alles mooi alleen sluit de praktijk nooit aan.
Dat er problemen zijn rond certificaten en HTTPS zoals in het artikel genoemd is bijvoorbeeld ook te lezen in het paper dat op http://cryptome.org/ssl-mitm.pdf gedownload kan worden. Dat er op korte termijn geen ander middel is zoals in het artikel genoemd is onjuist. Een Peer-to-Peer (P2P) security and authentication systeem heeft de problemen van een trusted third party (TTP) systeem zoals HTTPS met certificaten niet. Op de links http://bit.ly/fqxch en
http://bit.ly/fqxwuala zijn korte presentaties te vinden van een operationeel systeem dat gebaseerd is P2P security en authentication en true quantum randomness. Dit systeem is sinds 2007 operationeel en zal tot minimaal 2030 operationeel blijven.
Er zal in ieder geval nu een minister moeten opstappen, wanneer de overheid haar principes, zoals vastgelegd in NORA 3.0, serieus neemt, zie de implicaties van AP 32 (pag. 58):
—
De hoogst verantwoordelijke binnen de organisatie legt verantwoording af over:
· het voor de dienst relevante kwaliteitsbeleid en de wijze van monitoring van de kwaliteit
· de geleverde prestaties
· de naleving van afspraken met afnemers.
—
en het bijgeleverde voorbeeld:
—
Wanneer vertrouwelijke informatie op straat komt te liggen is de directie de hoogst
verantwoordelijke en niet de functionaris Informatiebeveiliging.
—
Als we wikipedia mogen vertrouwen komt de uitspraak “Vertrouwen is goed maar controle is beter” uit Rusland en werd al door Lenin gebruikt.
http://en.wikipedia.org/wiki/Trust,_but_verify
De overdracht van deze spreuk naar Amerikaanse presidenten wordt daar ook verklaard.
In Beverwijk werd duidelijk dat zeggen dat er gecontroleerd wordt nog niet genoeg is want het bedrijf had immers een positieve audit van PwC (?)
Wie gaat de rekening betalen ?
Je kunt met private certificaten in een PKI een VPN opzetten. Je geeft je eigen private certificaten uit, bijvoorbeeld gegenereerd via een true quantum randomness server, zie http://bit.ly/fztEjd Een beschrijving hoe dit opgezet kan worden is bijvoorbeeld te vinden op http://www.oreillynet.com/pub/a/security/2004/10/21/vpns_and_pki.html Het grote voordeel is dan dat je je eigen CA bent en daarme je eigen VPN gemaakt hebt.
@Q: Heb het net even gedaan; geeft me een heerlijk gevoel van veiligheid.
@A: Als je je eigen PKI-VPN hebt opgezet, kun je wereldwijd veilig communiceren met mensen in hetzelfde netwerk. In m’n vorige opmerking op dit artikel kun je zien dat de “compelled certification creation attack” welke op dit moment door veel overheden wordt toegepast, dan niet meer mogelijk is, omdat je direct kunt controleren of een certificaat door jezelf is uitgegeven of niet. Is dat niet het geval dan is het een Man-in-the-middle attack. Als je veilig wilt communiceren met personen buiten dit PKI-VPN dan kun je het P2P Security en Authentication schema gebruiken waarnaar ik verwijs wat we sinds 2007 operationeel hebben. Met deze 2 schema’s kun je dus zowel intern als extern authenticated en secure communiceren.