Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Is internet bankieren met certificaten wel veilig ?  (gelezen 639 keer)

Offline wowo

  • Lid
Is internet bankieren met certificaten wel veilig ?
« Gepost op: 2014/02/17, 22:30:13 »
Iedere bank gebruikt bij internet bankieren verbindingen die met behulp van een certificaat beveiligd worden.
Nederlandse banken ( o.a. ABN AMRO, Fortis, ING, Postbank, Rabobank) maken gebruik van een certificaatautoriteit die zijn hoofdvestiging in  Amerika heeft: globalsign.

Is dit nu wel veilig?
Want de sleutel is dan in feite dan in handen van Amerika zodat de NSA daar toegang tot heeft.

Of denk ik nu verkeerd ?



Desktop Ubuntu 20.04 LTS en 22.04 LTS

Re: Is internet bankieren met certificaten wel veilig ?
« Reactie #1 Gepost op: 2014/02/17, 23:28:34 »
in theorie, ja.
althans, ze zouden via de FISC (United States Foreign Intelligence Surveillance Court) GlobalSign kunnen forceren een nieuwe certificaat te maken.
de sleutels van de certificaten zijn gebonden aan het systeem waarop ze zijn gemaakt, dus alleen de certificaat servers van GlobalSign kunnen een kopie maken van bestaande certificaten.

in praktijk, is dat dus heel lastig, vooral omdat GlobalSign een geautomatiseerd CRL (certificate revocation list (lijst van ingetrokken certificaten) systeem gebruikt, zodat een kopie word gemaakt met nieuwe sleutels word het vorige certificaat automatische ingetrokken, en dat valt nogal op.

overigens is het bij het vooraf aftappen van de verbinding veel makkelijker een man-in-the-middle aanval te doen dan de certificaten te kopiƫren.
dit komt omdat het zelfs met een kopie van het certificaat zeer lastig is om verkeer om te leiden zonder medewerking van de organisatie waar de eigenlijk servers staan, via eigenlijk vrij simpele software is als je vooraf meeluistert het echter enorm simpel om de sleutels te krijgen waardoor je alles mee kan lezen.

omleiden van het verkeer zou echter toegang tot het netwerk van een provider verijzen, wat de NSA in Amerika makkelijk kan, in Nederland zal dat echter veel lastig zijn voor de NSA (tenzij ze samen werken met de AIVD nagenoeg onmogelijk zelfs), al hebben ze een kopie van het certificaat, je verbind met een server in Nederland, en ik ga er van uit dat jou PC ook in Nederland is, dus dat omleiden moet in Nederland gebeuren.

wel zouden ze de DNS records kunnen wijzigen, dat geeft echter 2 problemen: 1. DNS word gecached, en het kan tot 24 uur duren voor het effect heeft, 2. de banken zouden vrij snel merken dat hun eigen site het niet meer doet omdat beheer logins niet meer zouden werken.


ADSL? nee, neem ADHD, dat is pas snel!

Re: Is internet bankieren met certificaten wel veilig ?
« Reactie #2 Gepost op: 2014/02/17, 23:33:21 »
Nuja, niet alleen de NSA luistert af; ook de AIVD doet dat. Dus in feite zou het in theorie door 2 'partijen' kunnen worden afgeluisterd die (hoewel ik na Plasterks opstootje niet zeker daarvan ben) ook nog eens onderling informatie uitwisselen.

Edit: zie verder ook fox' post ^^^

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: Is internet bankieren met certificaten wel veilig ?
« Reactie #3 Gepost op: 2014/02/18, 00:01:32 »
Geen compleet antwoord maar wat ik er van begrijp:
Een certificaat bevat een publieke (bekendgemaakte) sleutel van de bank. Daarmee kunnen de gegevens worden versleuteld zodat ze alleen met de geheime (private) sleutel van de bank kunnen worden ontcijferd. De certificaatautoriteit (CA, GlobalSign) krijgt deze geheime sleutel niet. De kans dat de gegevens door onbevoegde worden ontcijferd is zover niet afhankelijk van de gebruikte certificaatautoriteit (CA).
Bron: https://nl.wikipedia.org/wiki/Certificaat_%28PKI%29

De rol van de CA, GlobalSign om de geldigheid van het uitgegeven certificaat (lees: publieke sleutel) te bevestigen is belangrijk:
Als de CA ondermijnd kan worden, dan is het systeem niet langer veilig.
Een incident van een paar jaar geleden (http://tweakers.net/nieuws/91293/nsa-maakte-misbruik-van-lek-diginotar.html) suggereerde dat de vestigingsplaats van de CA hierin relatief (on)belang is. :P
Klik links bovenin op Documentatie