An English version of this text can be found here: Root certificate cleanup, found CSR Harmony
Während ich in meinen Root-Zertifikat von Windows geschaut habe, habe ich etwas interessantes entdeckt: Der "Bluetooth Stack" von CSR (Cambridge Silicon Radio) Harmony meines Bluetooth-Adapters hatte da wohl etwas hinterlegt, was nicht dahin gehörte - zumindest aus meiner Sicht.
Wie man sieht wurden Root-Zertifikate importiert - mit dem Namen "Harmony". Insbesondere wurden diese auch in den Bereich der "Vertrauenswürdige Herausgeber" geladen. Ein "vertrauenswürdiger Herausgeber" kann dabei ausführbare Dateien signieren und somit ohne Rückfrage Treiber und Office Add-ins installieren. Außerdem kann der Ersteller einer Datei gefälscht werden, der dann auch von Windows angezeigt wird (zum Beispiel bei der UAC-Meldung).
Da die Zertifikate ja auch noch in den "normalen" Root-Zertifikate-Store importiert wurden, ist es damit also auch möglich HTTPS-Verbindungen abzufangen (und als MITM) Daten mit zu hören.
Voraussetzung ist dazu natürlich erst einmal der private Schlüssel zu den zugehörigen Zertifikaten. Dieser könnte theoretisch in den installierten Dateien stecken oder vielleicht doch sicherer verwahrt sein. Ich habe dies nicht geprüft. Doch selbst wenn die letzte Variante der Fall ist, ist damit noch nicht alles geklärt, denn das Zertifikat an sich hat einige Schwächen:
- Zunächst einmal nutzt es SHA-1, was für Root-Zertifikate keine Angriffsstelle darstellt, jedoch dennoch nicht gerade "Best practise" ist.
- Sehr viel schwerer wiegt ein anderer Fakt: Die Zertifikate verwenden beide nur 1024bit RSA-Schlüssel. Diese gelten schon lange als unsicher und sollten nicht mehr verwendet werden. Beispielsweise hat Mozilla CAs solch' kurze Schlüssel bereits 2014 aus ihrem Root-Zertifikate-Store ausgeschlossen. Im Vergleich: Aktuell gelten 2048bit-Schlüssel als sicher und 4068bit für sehr sichere Anwendungen.
Besonders diese Schlüssellänge macht die Zertifikate angreifbar. Dafür werden zwar immer noch sehr viele Ressourcen benötigt, mit Botnetzen oder von staatlichen Organisationen oder anderen Personen mit Zugriff auf genügend Rechenkraft, könnten Sie allerdings geknackt werden - ähnlich wie 1024bit Diffi-Hellman-Schlüssel.
Außerdem hat ein etwaiger Angreifer bis 2039 Zeit, denn bis dahin sind die Zertifikate gültig. Gekoppelt mit dem Fakt, dass die Zertifikate wohl immer die gleichen sind und so bei sehr vielen Nutzern angegriffen werden kann, ist so ein Angriff ziemlich lohnenswert.
Dazu kommt, dass die Software offenbar schon seit 2010/2011 in dieser Fassung existiert - wie man an den Änderungsdatum sehen kann. "In dieser Fassung" mein hier genau eine Version: 2.1.63.0
Und ShouldIRemoveIt.com zufolge ist dies auch die mitzubenutzen Version (98%) - es scheint also wohl keine Updates gegeben haben.
Für was die Zertifikate allerdings eigentlich genutzt werden weiß ich nicht.
Falls jemand jedoch auch die gleiche Software nutzt, sollte er unbedingt die Root-Zertifikat-Liste prüfen (certmgr.msc ins Startmenü eingeben und dort zum entsprechenden Unterpunkt navigieren) und entsprechende eventuell vorhandene Zertifikate entfernen).
Die Zertifikate können hier (Archivlink) angezeigt werden.
Ein Video, in dem man sieht, wie diese Zertifikate installiert werden, habe ich auch erstellt:
Unabhängig von den harmonischen Zertifikaten (;)) von CSR habe ich auch noch ein Zertifikat von AsRock gefunden (Mein Mainboard ist von AsRock); (Archivlink). Ich konnte allerdings nicht nachweisen, dass diese auch (beispielsweise bei der Treiber-Installation) von AsRock installiert wurden. Falls jemand auch einen Eintrag "ASROCK Incoporation" in seinem Root-Zertfikatestore finden sollte, wäre ich über einen Hinweis sehr dankbar.
Abgesehen davon ist das AsRock-Zertifikat schon abgelaufen und weit weniger kritisch als das von CSR.