Uitgifte PKI-Overheid certificaten gecompromitteerd – gevolgen voor privacy op internet

DEN HAAG. Op 5 september jl. heeft minister Donner van Binnenlandse Zaken en Koninkrijksrelaties (BZK) bekendgemaakt dat PKI-Overheid certificaten zijn gecompromitteerd. Dit heeft grote gevolgen voor de betrouwbaarheid van communicatie via internet, waaronder ook de betrouwbaarheid van het elektronisch berichtenverkeer met de digitale overheid. In de dagen voorafgaand aan 5 september was reeds door berichtgeving in de internationale media bekend geworden dat met behulp van valse certificaten uit Nederland internetverkeer van burgers in Iran is onderschept. Hierover is in de Tweede Kamer een reeks Kamervragen gesteld. Dit nieuwsbericht geeft enkele hoofdlijnen van de recente ontwikkelingen.

Kamervragen

Op 31 augustus en 1 september jl. hebben de Kamerleden El Fassed (GroenLinks), Verhoeven (D66) en Elissen, Hernandez en Kortenoeven (allen PVV) een reeks kamervragen aan de minister van BZK gesteld over de beveiliging van internet. Kernvragen zijn onder meer:

‘Kent u het bericht in onder meer Webwereld dat Iran erin is geslaagd om het internetverkeer van haar burgers naar Google.com af te tappen door middel van een vervalst beveiligingscertificaat bij de Nederlandse certificeringsautori-teit Diginotar?’
‘Kunt u de consequenties van deze zaak toelichten voor [..] het interne functioneren van de Nederlandse overheid?’
‘Is er aanleiding om DigiNotar en andere “certificate authorities” aan nadere inspectie te onderwerpen om de privacy van Nederlandse burgers te waarborgen?’
‘Kunt u toelichten op welke wijze door de overheid toezicht werd uitgeoefend op het functioneren van Diginotar?’
‘Acht u het uitgesloten dat Iran of enige andere partij erin kan zijn geslaagd om zich via Diginotar toegang te verschaffen tot vertrouwelijke communicatie van de Nederlandse overheid? Welke stappen heeft u gezet om zich daarvan te vergewissen?’
‘Bent u van plan om Iran op deze zaak aan te spreken?’

Onderzoeksrapport

In reactie op een melding op 29 augustus 2011 van de Duitse autoriteiten aan de Nederlandse autoriteiten over problemen met Diginotar-certificaten, heeft de minister van BZK een ICT-beveiligingsbedrijf, Fox-IT, opdracht gegeven tot onderzoek. Op 5 september is het rapport van Fox-IT gepubliceerd. In dit rapport concludeert Fox-IT onder meer dat al op 6 juni mogelijk een eerste verkenning door een hacker heeft plaatsgevonden. Op 19 juni heeft DigiNotar een digitale inbraak gedetecteerd. Op 2 juli blijkt een eerste poging tot het genereren van een vals certificaat te hebben plaatsgevonden. Op 10 juli wordt daadwerkelijk een vals Google.com certificaat gegenereerd. Omstreeks 22 juli is DigiNotar een intern onderzoek gestart naar de geconstateerde incidenten. Zeker is dat vanaf 27 juli het vals gegenereerde Google.com certificaat actief is gebruikt. Tussen 4 en 29 augustus is er verder actief misbruik waargenomen van het ‘valse’ Google.com certificaat. Tijdens het onderzoek door Fox-IT naar dit misbruik is een zogenoemd script aangetroffen met als ‘ondertekening’ ‘My Signature as always: Janam Fadaye Rahbar’.

Over het gebruik van valse Diginotar-certificaten voor het onderscheppen van e-mailverkeer van burgers in Iran staat in het rapport onder meer:

‘The first known public mention was a posting in a google forum. The user (from Iran) was warned by the Google Chrome browser that there was something wrong with the certificate. The corresponding rogue certificate was created on July 10th. Based on the logging mentioned above from the OCSP responder, we were able to extract the following information. On August 4th the number of request rose quickly until the certificate was revoked on August 29th at 19:09. Around 300.000 unique requesting IPs to google.com have been identified. Of these IPs >99% originated from Iran. [..] The list of IP-addresses will be handed over to Google. Google can inform their users that during this period their e-mail might have been intercepted. Not only the e-mail itself but also a login cookie could have been intercepted. Using this cookie the hacker is able to log in directly to the Gmail mailbox of the victim and also read the stored e-mails. Besides that, he is able to log in all other services Google offers to users like stored location information from Latitude or documents in GoogleDocs. Once the hacker is able to receive his targets e-mail he is also able to reset passwords of others services like Facebook and Twitter using the lost password button. The login cookie stays valid for a longer period. It would be wise for all users in Iran to at least logout and login but even better change passwords.’

Brief van minister Donner

In een brief aan de Tweede Kamer van 5 september schrijft minister Donner onder meer:

‘De overheid is noch op 19 juni 2011, noch op enig later moment door DigiNotar op de hoogte gesteld van de digitale inbraak. Pas door de kennisgeving van [de Duitse autoriteit] Cert-Bund aan Govcert.nl kreeg de Nederlandse overheid een eerste indicatie van mogelijke problemen. Zoals hiervoor beschreven heeft Govcert.nl hierop direct contact opgenomen met het bedrijf, waardoor de bovenbeschreven keten van onderzoek in gang werd gezet. [..] Uit een eerste mondelinge versie van het Fox-IT rapport van 2 september 2011 bleek Govcert.nl dat ook de PKI-Overheid certificaten mogelijk gecompromitteerd waren door de ‘inbraak’. Als gevolg daarvan is de Rijksoverheid, via de gebruikelijke crisisstructuur van het Nationaal CrisisCentrum, opgeschaald. [..] In het beraad van 2 september 2011 is besloten om in te grijpen. Het Openbaar Ministerie is voorts onmiddellijk na berichtgeving over deze kwestie een feitenonderzoek gestart. DigiNotar heeft op maandag 5 september 2011 aangifte gedaan van de gepleegde “inbraak”.’

Over de gevolgen van de inbraak bij Diginotar voor de betrouwbaarheid en vertrouwelijkheid van het elektronisch verkeer in Nederland, waaronder ook het elektronisch verkeer met de Nederlandse overheid, schrijft de minister:

‘Voor het digitale communicatieverkeer ontstaat door het aanmaken en gebruik van “valse” certificaten het risico dat het voor de internetgebruiker niet meer zichtbaar is of hij te maken heeft met een betrouwbare website of computer, blijkend uit het certificaat (“slotje”) op het scherm. De mogelijke introductie van “valse” certificaten maakt dat gebruikers er niet meer in alle gevallen zonder meer van uit kunnen gaan dat het een veilige internetcommunicatie betreft. In het geval dat onbedoeld een “valse” site wordt benaderd, kunnen de gegevens die een burger daaraan verstrekt in verkeerde handen terechtkomen, al zijn er tot dusver geen aanwijzingen dat dit in Nederland ook daadwerkelijk heeft plaatsgevonden. Hierdoor wordt het vertrouwen in het digitale communicatieverkeer ernstig aangetast.’

Vooruitblik

In de Tweede Kamer zal op korte termijn een debat plaatsvinden over de inbraak bij Diginotar en de gevolgen daarvan voor de vertrouwelijkheid van digitale communicatie in Nederland, Iran en wereldwijd. Ook de antwoorden op de hiervoor weergegeven Kamervragen worden op korte termijn verwacht. Het NJCM zal hierover in de komende weken blijven rapporteren.