Ibland tror jag att det stora hotet mot Internet inte är att skurkarna är onda, utan att de goda vägrar samarbeta.
Igår var det en sån dag.
Det finns en holländsk Certificate Authority, CA, som heter DigiNotar. Det är de som intygar att det är det holländska justititedepartementet du kommer till när du går till justitie.nl, holländska försvarsdepartementet när du går till defensie.nl. De har nämligen utfärdat digitala certifikat till holländska justitie- och försvarsdepartementen (och alla sina andra kunder) som innehavaren kan presentera för sina besökare för att intyga sin identitet. Du litar underförstått på DigiNotar, för alla webläsare kommer med den CA:n förinstallerad.
Den 19:e juli upptäckte DigiNotar att de råkat ut för ett intrång och att någon lyckats ställa ut ett antal certifikat för olika websajter till sig själv.
De berättade det inte för någon. De trodde att de identifierat alla de falska certifikaten och revokerade (ogiltigförklarade) dem. Sedan lät de saken bero.
Men i förrgår dök det plötsligt upp ett falskt certifikat för Google, utfärdat genom DigiNotars system den 19:e juli. Det dök upp i Iran, och användes för att avlyssna krypterad Gmail-trafik som annars varit säker.
Är den iranska regimen ond? Skulle de tortera, kanske döda en regimkritiker?
I Iran hänger ditt liv på kryptografin.
DigiNotar har fått ansvaret att driva en CA. De har svikit det ansvaret. Att de råkade ut för intrång är en sak. Att de försökte hemlighålla det är en helt annan. Deras underlåtenhet har riskerat livet på iranska disidenter.
Det visar sig i efterhand att DigiNotar varit utsatta för intrång från flera grupper sedan åtminstone 2009, uppenbarligen utan att upptäcka det. Det gör mig mållös. Och mycket arg.
onsdag, augusti 31, 2011
Prenumerera på:
Inlägg (Atom)