<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 15, 2014 at 4:26 PM, Erwann ABALEA <span dir="ltr"><<a href="mailto:erwann@abalea.com" target="_blank">erwann@abalea.com</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">2014-12-15 16:02 GMT+01:00 Henry Baker <span dir="ltr"><<a href="mailto:hbaker1@pipeline.com" target="_blank">hbaker1@pipeline.com</a>></span>:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">FYI --<br>
<br>
<a href="http://arstechnica.com/security/2014/12/hackers-promise-christmas-present-sony-pictures-wont-like/" target="_blank">http://arstechnica.com/security/2014/12/hackers-promise-christmas-present-sony-pictures-wont-like/</a><br>[...]<span class=""><br>
Also among the spoils in one of last week’s file dumps was a Sony Corp. CA 2 “root” certificate—-a digital certificate issued by Sony’s corporate certificate authority to Sony Pictures to be used in creating server certificates for Sony’s Information Systems Service (ISS) infrastructure.  This may have been used to create the Sony Pictures certificate that was used to sign a later version of the malware that took the company’s computers offline. </span></blockquote><div> </div><div><span style="font-size:13px">Has the private key of the corresponding certificate leaked? If not, </span><span style="font-size:13px">that's no big deal, a certificate is public by nature.</span></div></div></div></div></blockquote><div><br></div><div>There are three possible scenarios here</div><div><br></div><div>1) Only the certificate leaked, very limited security consequences</div><div><br></div><div>2) The internal CA was breached and induced to issue bogus credentials, pretty serious.</div><div><br></div><div>3) The private key was disclosed, game over...</div><div><br></div><div><br></div><div>Secure hardware makes it pretty much impossible for (3) to occur unless there is an insider attack or a physical attack. I am pretty sure there would be no report for (1) so my guess is that (2) occurred.</div><div><br></div><div>Given Sony has hired lots of ex-NSA security staff over the years, (3) would be an awful embarrassment for Fort Meade.</div></div></div></div>