In einer Zeit, in der digitales Vertrauen eine seltene Währung ist, müssen Open-Source-Projekte im Bereich Kryptografie und digitale Identität strengen Prüfungen unterzogen werden. In diesem Kontext steht die Arbeit von Francesco Ongaro, einem bekannten italienischen Ethical Hacker, der eine wichtige Quellcode-Analyse für CAcert durchgeführt hat – eine nicht-kommerzielle, von der Community verwaltete Zertifizierungsstelle (Certification Authority, CA).

Was ist CAcert?

CAcert ist eine kostenlose, gemeinschaftsbasierte Zertifizierungsstelle, die gegründet wurde, um digitale X.509-Zertifikate für Benutzer, Entwickler und Organisationen bereitzustellen, die E-Mails verschlüsseln, Server authentifizieren und die Integrität der Kommunikation gewährleisten möchten. Im Gegensatz zu kommerziellen CAs basiert CAcert auf einem Modell des verteilten Vertrauens, das durch physische Treffen und das sogenannte „Web of Trust“ validiert wird.

Das rein gemeinnützige Projekt zeichnet sich durch die Transparenz und Zugänglichkeit seines Quellcodes aus und bietet der Community die Möglichkeit, direkt zu seiner Sicherheit beizutragen.

CAcert kann als Archetyp moderner Initiativen zur Identitätsdezentralisierung und Open-Source-Systemen zur Vertrauensverwaltung betrachtet werden – Konzepte, die heute bei der Entwicklung von Lösungen wie Decentralized Identifiers (DID), Self-Sovereign Identity (SSI) und Blockchain-basierten PKI-Frameworks zentral sind. Obwohl CAcert in einem technisch und regulatorisch sehr unterschiedlichen Kontext agierte, nahm es die Idee vorweg, dass digitale Sicherheit kollaborativ, transparent und nicht zentralisiert aufgebaut werden kann (und sollte).

In gewisser Weise nahm CAcert die Rolle von Let’s Encrypt bei der Förderung der Verbreitung von Verschlüsselung vorweg, jedoch ohne die Unterstützung großer Tech-Unternehmen oder die automatische Integration in Browser. Es war eine kostenlose und transparente CA, die jedoch selbstfinanziert war und vollständig von ihrer Community getragen wurde – mit einem handwerklicheren und dezentraleren Modell als die heutigen, industriegesponserten Initiativen.

Ein ethischer und technischer Ansatz zur Code-Analyse

Francesco Ongaro, auch bekannt als ascii, ist ein Experte für Cybersicherheit und Gründer von USH, einem italienischen Forschungslabor. Im Jahr 2007 begann Ongaro mit einem freiwilligen und unabhängigen Audit des Quellcodes von CAcert, wobei er insbesondere die öffentlich zugänglichen Web-Funktionalitäten analysierte.

Während des Month of CAcert Bugs identifizierte Ongaro mehr als 9 Schwachstellen in der Plattform und bewies damit die Wirksamkeit eines systematischen Ansatzes bei der Code-Analyse. Diese Arbeit deckte kritische Schwachstellen in den öffentlich zugänglichen Web-Funktionen auf und unterstrich die Notwendigkeit einer kontinuierlichen Überprüfung, selbst bei etablierten Open-Source-Projekten.

Die aufgedeckten Schwachstellen und die Reaktionen des CAcert-Projekts

Die von Ongaro identifizierten Schwachstellen wurden vom CAcert-Vorstand als schwerwiegend eingestuft, wie in den offiziellen Protokollen vom 17. September 2007 festgehalten wurde. Insbesondere hob die Diskussion folgende Punkte hervor:

• Die Notwendigkeit, die Code-Reviews durch die Community zu verstärken.
• Die Dringlichkeit, die Verantwortlichkeiten zwischen Softwareentwicklung und Systemadministration zu trennen, um Interessenkonflikte und operative Risiken zu reduzieren.

Warum dieses Audit eine grundlegende Fallstudie darstellt

Das von Ongaro durchgeführte Audit ist ein konkretes Beispiel für Responsible Disclosure und die Zusammenarbeit zwischen Ethical Hackern und Open-Source-Projekten. Die Identifizierung und kontrollierte Offenlegung kritischer Schwachstellen ermöglichte es CAcert, das eigene Sicherheitsniveau zu erhöhen. Zudem wurde die Botschaft gestärkt, dass digitales Vertrauen niemals selbstverständlich ist, sondern kontinuierlich überprüft und transparent aufgebaut werden muss.

Der Fall CAcert nimmt viele der Praktiken vorweg, die heute in der DevSecOps-Welt und bei der Governance von Open-Source-Sicherheit als essenziell gelten: offene Code-Reviews, Rollentrennung, strukturiertes Schwachstellenmanagement und die Einbeziehung externer Experten.