Waarom Verisign het certificaat Gigabyte-driver niet introk

Waarom trok Verisign het certificaat niet in nadat eind vorig jaar duidelijk werd dat Gigabyte niet van zins bleek de softwarefout in de driver aan te passen? Gigabyte koos er immers voor de driver te discontinueren.

Omdat het certificaat nog geldig is, zal geen enkele computer een waarschuwing geven wanneer de lekke driver wordt geïnstalleerd. En dat is precies wat criminelen nu hebben ontdekt. Na bijvoorbeeld via phishing toegang te hebben gekregen tot een computer installeren ze deze driver en gebruiken het lek daarin om alle antivirusprogramma's te deactiveren. Vervolgens kunnen ze ransomware installeren en de bestanden op de computer gijzelen.

Geen bewijs lekvrij

Digitale certificaten vormen de basis voor het vertrouwen in internet. Actieve legitieme certificaten voor corrupte software ondermijnen dat vertrouwen. Toch kon het certificaat niet worden ingetrokken, beargumenteert Joost van Dijk, manager Middleware Services bij SURFnet. "Het ondertekenen van software is bedoeld om te kunnen verifiëren van wie de software afkomstig is. Daarmee kun je het installeren van software beperken tot software die is uitgegeven door vertrouwde partijen. Het is niet bedoeld om te bewijzen dat software veilig is in de zin dat er geen bugs in zitten."

Verisign kan zo'n certificaat alleen op eigen initiatief intrekken als dat certificaat ten onrechte is uitgegeven. Dat gebeurt bijvoorbeeld als er een fout is gemaakt bij de uitgifte, zoals bij Diginotar het geval was. Degene aan wie het certificaat is uitgegeven, zal het certificaat intrekken als de bijbehorende private key is uitgelekt. Derden zouden dan namelijk namens die partij software kunnen ondertekenen.

Certificaat terecht nog actief

Van Dijk: "In dit geval is geen van beide aan de hand: het certificaat is niet onterecht uitgegeven, en degene aan wie het is uitgegeven is nog altijd als enige in bezit van de bijbehorende privésleutel. De software is ook van een juiste handtekening voorzien. Het enige probleem is dat de software een kwetsbaarheid bevat."

Volgens van Dijk zou het intrekken van het certificaat weliswaar een manier zijn om te zorgen dat die software niet meer kan worden geïnstalleerd, maar dezelfde sleutels zijn waarschijnlijk ook gebruikt om andere software te ondertekenen. "Intrekken zou tot gevolg hebben dat ook die andere software niet langer vertrouwd wordt. Dat zou dus een al te rigoureuze oplossing zijn."