Prinzipielle forensische Schwierigkeiten bzgl. digitalen Signaturen

08/07/2015 - 09:28 von Mok-Kong Shen | Report spam
Der jüngste Fall vom Hacking des Netzwerks von Karspersky ist im
Mediumbericht dadurch erklàrt, daß die von VeriSign signierten private
keys bei FoxConn irgendwie entwendet wurden.

Das ist offenbar jedoch nur eine Möglichkeit. Denn könnte es überhaupt
nicht möglich sein, daß der Tat bereits bei VeriSign vollzogen wàre?
Ferner wàre es nicht denkbar, daß sich die Hacker eventuell einen
refinierteren Weg bedient, so daß weder FoxConn noch VeriSign eine
(moralische) Verantwortung tragen müsste?

M. K. Shen
 

Lesen sie die antworten

#1 Juergen P. Meier
09/07/2015 - 06:41 | Warnen spam
Mok-Kong Shen :

Der jüngste Fall vom Hacking des Netzwerks von Karspersky ist im
Mediumbericht dadurch erklàrt, daß die von VeriSign signierten private
keys bei FoxConn irgendwie entwendet wurden.

Das ist offenbar jedoch nur eine Möglichkeit. Denn könnte es überhaupt
nicht möglich sein, daß der Tat bereits bei VeriSign vollzogen wàre?
Ferner wàre es nicht denkbar, daß sich die Hacker eventuell einen
refinierteren Weg bedient, so daß weder FoxConn noch VeriSign eine
(moralische) Verantwortung tragen müsste?



Verisign ist eine CA. Deren Aufgabe ist es, die Identitaet der
Schluesselinhaber zu verifizieren sowie kompromitierte Zertifikate
Zeitnah zu revozieren (das Bedarf einiges an kostspieligem Aufwand,
um dazu in der Lage zu sein, das zeitnah tun zu koennen).

In diesem Fall hat Verisign bei letzterem versagt.
Alles andere ist die Schuld von Foxcon.

Bei Verisign selbst ist wohl noch niemand erfolgreich eingebrochen -
zumindest gibt es keinerlei glaubwuerdige Hinweise dafuer.

Muss man aber auch garnicht, verisigns Prozesse sind so schlecht,
dass man deren PKI-Environment nicht durch Angriff auf die CA selbst
kompromitieren muss.

Ähnliche fragen