<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Dec 10, 2013 at 6:34 AM, Larry Seltzer <span dir="ltr"><<a href="mailto:larry@larryseltzer.com" target="_blank">larry@larryseltzer.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal">ANSSI responded several days ago (<a href="http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html" target="_blank">http://www.ssi.gouv.fr/en/the-anssi/events/revocation-of-an-igc-a-branch-808.html</a>), but someone’s going to
 have to explain to me how their explanation is possible:<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">“<span style="background:#f3f7f1;font-size:10.0pt;font-family:"Arial","sans-serif"">As a result of a human error which was made during a process aimed at strengthening the overall IT security of the French Ministry of Finance,
 digital certificates related to third-party domains which do not belong to the French administration have been signed by a certification authority of the DGTrésor (Treasury) which is attached to the IGC/A.</span>”<span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">I can maybe understand how an intermediate CA cert was made as part of some test, but using it to sign <a href="http://foo.google.com" target="_blank">foo.google.com</a> or whatever, and putting all this online…
 Someone make this clearer for me<u></u><u></u></span></p>
<p class="MsoNormal"><br></p></div></div></blockquote><div><br></div><div>It is quite simple, computers do not have 'common sense'. So what looks obviously wrong to a human looks just fine to a computer.</div><div>
<br></div><div>I doubt this particular incident was an intentional attack because if it were an attack they have just blown a very valuable asset for no particular gain (that we can see). If it were malice I would expect at least an attempt at a cover up.</div>
</div><br clear="all"><div><br></div><div>Creating an intermediate CA cert appears to be a very significant step if you are in the PKI business and of course it is. But for someone who has no understanding of PKI or its purposes, the extended key uses and critical constraints are just bits that have to be set to get the desired effect.</div>
<div><br></div><div>Understanding that dimension of PKI requires more than common sense, it requires in-depth expertise. The boss has spent a half million bucks on a BlueCoat MITM box and they want to make use of it. The MITM intermediary that they were assured would be available when they bought the thing isn't available any longer and they don't want to update every machine in the organization to install a root. Then they realize that they have their own CA and they can just tell the person running it to issue the MITM cert. When the person running the CA objects the boss just ignores the issues and tells them to do it anyway or find a different job.</div>
<div><br></div><div>Once the cert is installed in the box it does not know the difference between signing a cert for <a href="http://example.com">example.com</a> or <a href="http://google.com">google.com</a>.</div><div><br>
</div><div>This sort of thing often happens with computers because they allow people to make decisions while being entirely unaware of the broader consequences.</div><div><br></div><div><br></div><div>This type of behavior is one of the main reasons security systems fail.</div>
<div><br></div><div>It is really easy to propose a system that works better than the WebPKI if you make entirely unrealistic assumptions such as people or machines exercising common sense.</div><div><br></div><div><br></div>
<div>There are two ways to do a security service. Traditionally we want to do everything end to end but the modern approach has a lot more decisions being taken in the cloud. One of the advantages of being in the cloud is that it is possible to make tactical decisions and deploy ad-hoc rules. End-to-end is much harder because you have to write out the decision process in a form that can be executed by a fire-and-forget turing machine.</div>
<div><br></div><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>