Bezpieczeństwo Internetu, a zwłaszcza internetowych transakcji finansowych i bankowych opiera się na szyfrowaniu danych za pomocą certyfikatów kryptograficznych. Certyfikaty mają dwie funkcje: poświadczać autentyczność strony z którą się połączyliśmy (np banku), zawierają też informacje potrzebne do zaszyfrowania połączenia.
Jednak certyfikaty też można fałszować, dlatego też istnieją certyfikaty certyfikujące inne certyfikaty. Te certyfikaty nie należą do banków czy sklepów internetowych, lecz do specjalnych instytucji (urzędów lub firm) nazywanych Centrami Certyfikacji, które przeprowadzają sprawdzenie czy domena na którą będzie wystawiony certyfikat rzeczywiście należy do tego kto powinien za nią stać. Tylko Microsoft powinien mieć certyfikat na adres microsoft.com, bowiem jeśli ktokolwiek inny dostanie taki certyfikat w ręce, będzie w stanie, używając jeszcze kilku innych sztuczek, czytać i zmieniać zaszyfrowane informacje wysyłane na ten adres.
Taki podsłuch fachowo nazywa się "atakiem przez pośrednika" (Man In The Middle Attack, MITM), a kolokwialnie można nazwać go "wałkiem na słupa": wystawiamy w sieci "słupa" - fałszywą stronę (np. banku) która ma ważne dokumenty (certyfikat), i która przekazuje prawdziwej stronie wszystko co na niej robimy - dopóki nie podamy kodu autoryzującego przelew, numeru karty kredytowej czy hasła do konta. Wtedy słup może zrobić wszystko, daliśmy mu przecież każdą rzecz jakia uwierzytelnia nas przed stroną docelową.
Właśnie przed "słupami" mają nas zabezpieczyć certyfikowane certyfikaty: Centrum Certyfikacji sprawdza kto jest właścicielem firmy, wpisy do KRS i kto płaci za usługę. Odpowiednie certyfikaty Centrów Certyfikacji zaszyte są w przeglądarkach i dzięki temu tylko wiarygodne strony mogą włączyć w przeglądarce "kłódkę" oznaczającą szyfrowanie bez podniesienia alarmu. Przynajmniej w teorii.
Centrum Certyfikacji może bowiem komukolwiek wystawić taki certyfikat, który pozwoli mu wystawiać legalne certyfikaty dla stron. Wprawdzie możemy nie obawiać się, że wpadą one w ręce zorganizowanej przestępczości, ale można być pewnym, że każde Centrum Certyfikacji wyświadczy tę drobną uprzejmość smutnym panom w wygniecionych garniturach, którzy okażą odpowiednie legitymacje.
Nie jest to scenariusz z paranoicznej powieści szpiegowskiej. Systemy do technicznej realizacji ataku MITM są już dawno na rynku technologii bezpieczeństwa dla rządów, a ostatnio Electronic Frontier Foundation namierzyła certyfikat pozwalający na wystawianie fałszywek wystawiony firmie Etisalat działającej w Zjednoczonych Emiratach Arabskich.
Etisalat znany jest z operacji przeciwko użytkownikom kryptografii: jakiś czas temu wszyscy użytkownicy telefonów BlackBerry w Emiratach otrzymali aktualizację oprogramowania która szpiegowała swoich użytkowników z przekazywaniem przesyłanych wiadomości włącznie. Po usunięciu szpiegowskiego oprogramowania przez producenta BlackBerry, rząd Emiratów nazwał ten sprzęt "szpiegowskim" i w tej chwili próbuje zakazać jego używania.
Certyfikat Etisalat można unieważnić kasując z ustawień przeglądarki zaznaczony na ilustracji klucz Centrum Certyfikacji Cybertrust, jednak Etisalat to nie jedyna instytucja która może wystawić podszywające się certyfikaty. Nasze przeglądarki zaufają też temu komu zaufała Poczta Hongkongska czy Netlock Kft (czy komuś ta nazwa cokolwiek mówi?).
W zasadzie nie ma w tej chwili sposobu, aby nie będąca specjalistą od bezpieczeństwa osoba mogła się przed takim podsłuchem obronić. A i dla specjalisty nie będzie to proste. Wprawdzie zapowiadane jest rozszerzenie do Firefoksa pod nazwą "CertLock"mające wykrywać dziwnie wystawione certyfikaty, ale nie jest ono jeszcze dostępne.
[Na podstawie " Certified Lies: Detecting and Defeating Government Interception Attacks Against SSL ", slight paranoia , materiałów The EFF SSL Observatory i Slate , via Bruce Schneier ]
Janusz A. Urbanowicz
