Beveiligingsbedrijf Binarly claimt dat hackers in april om het leven zijn gekomen door een cyberaanval op de systemen te hebben uitgevoerd
van MSI zowel private keys als Intel BootGuard hebben buitgemaakt
Hoe kan dat nou weer? Waarom zaten die sleutels niet in een hardwarebeveiligingsmodule? Een bedrijf zo groot als MSI moet toch weten dat het niet verstandig is om je privésleutels in software te bewaren. Dat is best wel onhandig maar je zal toch moeten als er zo enorm veel systemen afhankelijk zijn van zo’n sleutel. Mijn vragen waren dan ook een beetje retorisch van aard, want ik kan talloze redenen bedenken waarom het verschrikkelijk is om je sleutels alleen in hardware te hebben. Bijvoorbeeld omdat een ander goed IT-principe is dat je back-ups van al je gegevens moeten hebben en dan is het gemakkelijk om te denken dat je ook je privésleutels moet back-uppen.
Pragmatisch gezien snap ik dat maar het is eigenlijk niet compatibel met het beveiligingsmodel dat er van uit gaat dat privésleutels ook echt altijd privé zijn en eigenlijk niet kunnen uitlekken en/of dat gelekte sleutels onmiddelijk worden ingetrokken. Dat intrekken van sleutels is vervangen best lastig in de praktijk en om te controleren of een sleutel is ingetrokken heb je internet nodig en dat zal er niet altijd zijn.
Ook als er wel internet is, is het intrekken van zo’n sleutel nog niet zo gemakkelijk omdat het betekent dat de apparatuur van miljoenen mensen onbruikbaar wordt omdat de handtekening onder het stuurprogramma betrouwbaar wordt verklaard. Dat zullen die klanten niet leuk vinden.
Het is ook niet moeilijk om te zien hoe riskant het is om “alles” af te laten hangen van een enkele geheime sleutel die je niet mag back-uppen.
Gelukkig is er een betrekkelijk eenvoudige oplossing voor zowel het back-up- als het intrekprobleem: meerdere privésleutels. In plaats van één unieke sleutel maak je meerdere unieke sleutels aan en je ondertekent je chauffeurs met alle sleutels. Als er één sleutel uitlekt dan kun je die gewoon intrekken zolang die andere sleutels blijven werken. Technisch gezien kan dat prima, er zijn hooguit kleine aantallen voor nodig willen werken met meerdere toetsen is iets wat die systemen op zich al kunnen.
Als je toch al zo’n systeem hebt dan wordt het ook haalbaar om bestuurdersdeur meerdere partijen te laten ondertekenen. Bijvoorbeeld door zowel MSI als door Microsoft als door een onafhankelijke derde partij die gespecialiseerd is in softwarebeveiliging. Als één van die partijen zou wegvallen dan kun je vertrouwen op de handtekening van andere partijen. Nog mooier zou het zijn als we onze klanten gaan instrueren dat één handtekening niet genoeg is, maar je voorbeeld minimale handtekeningen van twee afgelegen partijen zullen zien voor je een bestuurder.
Als een crimineel zo’n sleutel te pakken krijgt, is het nog steeds niet genoeg om zelfbestuurders te ondertekenen. Die zou onderdompelen maar één identieke handtekening hebben. Dan moeten alle sleutels van verschillende partijen worden crimineel en gebruikt voor iemand ontdekt dat zo’n sleutel is gestolen.
Ook mooi aan zo’n systeem is dat je niet langer blind vertrouwen moet hebben in alle hardware-controles (en Microsoft en nog wat andere grote bedrijven) maar ook informatie uit andere bronnen kan gebruiken. Zo zou de overheid een dienst kunnen opzetten die zelfbestuurders op veiligheid berusten en de handtekeningen publiceert. De overheid zou dan een regel maken dat overheidscomputers alleen met goedgekeurde stuurprogramma’s mogen werken om spionage te voorkomen.
Anderen (consumenten) kunnen daar vrijwillig gebruik van maken. Op het eerste gezicht lijkt het misschien eng om je bestuurders door de overheid te laten keuren maar omdat er in mijn voorstel altijd handtekeningen van meerdere partijen nodig zijn kan een foute overheid daar geen misbruik van maken door bestuurders te veranderen. Sterker nog, ik zou er dan voor kiezen om alleen stuurprogramma’s te gebruiken die zijn bevestigen door de Nederlandse regering én de Russische én de Chinese én de Amerikaanse. Als die vier regeringen het eens zijn dat een drijfveer om te vertrouwen is dan geloof ik het ook wel. Geen van die partijen zou ik blind willen vertrouwen, maar je moet wel heel paranoide zijn om te geloven dat al die partijen samen werken aan een hack. Het gebrek aan vertrouwelijk vertrouwen houdt ze eerlijk.
Owja, hoe die controle moet werken om de landen zelf te selecteren en dat is niet het beste lastig, maar dat probleem heb je hoe dan ook, dus daar zal ik nu zelfs niet in gaan. Alles beter dan niks.
[Reactie gewijzigd door CAPSLOCK2000 op 7 mei 2023 13:49]
credit :Source link