Kompromittierte Zertifikate: Sperren allein genügt nicht

Das Zurückziehen (Revoke) eines digitalen Zertifikats führt nicht automatisch dazu, dass damit alle getätigten Signaturvorgänge etwa für Software ungültig werden. Entscheidend ist vielmehr das Revocation Date, das festlegt, ab welchem Zeitpunkt ein Unterschriftsvorgang als ungültig eingestuft wird.

Nach Angaben des Antivirenspezialisten Norman führt dies im Falle mehrerer kürzlich entdeckter Trojaner dazu, dass Windows deren Signatur als gültig einstuft und etwa bei der Installation keinen Warndialog anzeigt. Die Trojaner wurden mit dem gestohlenen Schlüssel eines japanischen Unternehmens signiert. Das dazugehörige Zertifikat wurde zwar am 29. Juli 2011 als kompromittiert gemeldet und vom zu Symantec gehörenden Zertifikatsherausgeber VeriSign zurückgezogen. Allerdings wurde auch genau dieser Tag als Revocation Date vermerkt.

Unglücklicherweise wurden die Trojaner jedoch am 13.April 2010, am 3. Juli 2010 und am 22. Janur 2011 mit dem Schlüssel signiert – also lange vor dem Revocation Date. Damit bleibt die Signatur für ältere Vorgänge gültig; nur nach dem Datum erfolgte Unterschriften würde ein System bemängeln.

Nach Meinung von Norman liegt die Problematik darin, dass die Zertifikatsherausgeber zu vorsichtig beim Festlegen des Revocation Date seien und es eher zu spät als zu früh wählen. Einer der Gründe dafür ist, die vom legitimen Kunden unterzeichnete Software und dessen Dokumente nicht plötzlich ebenfalls als ungültig zu deklarieren. Symantec hat im konkreten Fall nach der Benachrichtigung durch Norman das Revocation Date nun auf den 12. April 2010 vordatiert, womit die Signatur der Trojaner ungültig wird. (dab)