|
|
|
Secciones
Login Barrapunto
desas3 (26637)
Publicidad
Publicidad
Viernes, 23 de Marzo 2007
PKIs... de crédulos
01:53h.
Hace un par de días, un compi del curro me comentaba que, en la versión que tenía instalada de su navegador, el certificado de CERES (la autoridad de certificación de la FNMT) le salía como "no confiable". Se preguntaba cómo era esto posible, ya que pensaba que el certificado debería estar firmado por otra CA (tipo verisign o thawte). Le comenté que esto no era así, porque CERES actuaba como CA raíz y firmaba su propio certificado, y que éste no estaba preinstalado en su navegador porque seguramente era la versión en inglés que aún no la incluía.
Esto me llevó a que nos cuestionásemos el tema de la confianza en las PKI. Es curioso que confiamos en un certificado utilizado por una entidad (por ejemplo, nuestro banco) porque viene firmado por una CA cuyo certificado viene preinstalado en el software (Firefox/iceweasel de Debian, en este caso) que hemos obtenido (en este caso) bajándonoslo de una web y que viene firmado mediante GPG por el desarrollador del paquete Debian cuya clave pública GPG se obtiene descargando el CD de instalación de Debian que, en definitiva, se obtiene mediante una conexión sin seguridad alguna. Es decir, que el sistema de confianza es un mojón.
Alguien podría decir que si utilizas un software comprado no pasa eso, pues los certificados de las CA "estándar" vienen en la caja del CD: en realidad cambias tu confianza de "confío en bajarme los datos" a "confío en lo que me llega en la caja que he pagado". No sé qué es peor.
Pero eso no es todo. Si contara lo que he visto y oído sobre autoridades de certificación en el ejercicio de mi profesión y la de mis amigos, se cagaba la perra. Y hablo de CAs a nivel internacional, no la típica que monta la empresilla para andar por casa.
Lo que me lleva a mi tercera y última reseña: la maravilla que es CERES (que no hace más que anunciarse en las revistas del sector de seguridad tipo SIC, etc.) y lo bueno que será el DNI digital. Una anécdota que debería ser enseñada en la Universidad a todo aquél que estudiase criptografía. Allá va:
Quería el certificado de la FNMT, para lo de la renta, como el 90% de los que lo tienen, claro. Lo pedí por Internet. Fui a la entidad de registro, donde un funcionario muy amable (no es irónico, el hombre fue correctísimo), pero que sabía tanto de PKI como yo de toros, me dio el formulario para rellenar, me pidió el DNI y tal. Le di la documentación. El hombre cogió el formulario (para el que no sepa de qué va esto, firmas el contrato que te permite usar el certificado y otra hoja que acredita que eres quien eres y que se te ha expedido el certificado, creo recordar), y le dió al botón de "aceptado" (o como sea) en el formulario web que tiene para acreditar el registro. La aplicación web se quedó fría, se fue a por uvas o se colgó, como prefiráis. El hombre intentó una y otra vez reenviar los datos, sin éxito (mensaje de error: código de operación ya utilizado, o algo así). Puesto que no podía enviar el formulario, supuso que yo no podría descargarme el certificado y que el formulario firmado por mí no valía para nada, lo rompió y me pidió que volviera a hacer la petición de certificado. Yo fui a mi casa, entré en la web de la FNMT y me descargué el certificado, al que pude acceder y que funciona perfectamente.
Resultado: tengo un certificado que certifica que los documentos que firme con él han sido firmados por mí, pero en la FNMT no tienen el contrato escrito que acredita que yo he solicitado ese certificado y que se me ha concedido. Yo tengo un certificado digital, pero ningún contrato que garantice los derechos (y obligaciones) de uso sobre él. Es decir, el resultado es el mismo que si yo fuera un hacker exitoso que consiguiera hacerse con un certificado a mi nombre: no hay contrato que garantice que yo fui a la entidad de registro y me registré.
Lo pensé un poco, y llamé al servicio de atención al usuario de CERES, y un técnico (que de firma digital debe saber tela, pero de PKI y legalidad sabe lo mismo que yo de toros) me dijo de bastante malos modos que resolver ese problema no era cosa suya, y que no había tal problema: yo tengo mi certificado, ¿no?. Y que cualquier otro problema administrativo lo hablara con el funcionario (JAJAJAJAJA, ¡al club de la comedia con él!).
Ea, ahora tengo un certificado cojonudo que realmente no sirve de nada que use, pues la Administración podría alegar en cualquier litigio que yo no me registré y, por lo tanto, el certificado no es válido. Lo mismo, pero al revés, pasa conmigo: puedo firmar lo que quiera sin miedo a que sea vinculante: a ver cómo demuestran que realmente el certificado me ha sido expedido a mí.
En fin, luego te mandan un cuestionario de satisfacción que es de risa. ¿El error? Varios:
1. Poner en las entidades de registro personas que técnicamente no tienen ni idea.
2. Poner en el servicio de atención al usuario personas que administrativamente no tienen ni idea.
3. Usar una aplicación web (Hola, soy tu ausencia de estado, estás en uno de esos días en los que te gusta ser HTTP) que no gestiona bien los errores.
4. No haber tenido en cuenta este pequeño (pero importante) caso a la hora de formar a las personas de la entidad de registro.
5. No revisar los contratos firmados "a mano" de todos y cada uno de los certificados digitales expedidos.
En fin, que sí, que la criptografía es el fin a los problemas de seguridad
Esto me llevó a que nos cuestionásemos el tema de la confianza en las PKI. Es curioso que confiamos en un certificado utilizado por una entidad (por ejemplo, nuestro banco) porque viene firmado por una CA cuyo certificado viene preinstalado en el software (Firefox/iceweasel de Debian, en este caso) que hemos obtenido (en este caso) bajándonoslo de una web y que viene firmado mediante GPG por el desarrollador del paquete Debian cuya clave pública GPG se obtiene descargando el CD de instalación de Debian que, en definitiva, se obtiene mediante una conexión sin seguridad alguna. Es decir, que el sistema de confianza es un mojón.
Alguien podría decir que si utilizas un software comprado no pasa eso, pues los certificados de las CA "estándar" vienen en la caja del CD: en realidad cambias tu confianza de "confío en bajarme los datos" a "confío en lo que me llega en la caja que he pagado". No sé qué es peor.
Pero eso no es todo. Si contara lo que he visto y oído sobre autoridades de certificación en el ejercicio de mi profesión y la de mis amigos, se cagaba la perra. Y hablo de CAs a nivel internacional, no la típica que monta la empresilla para andar por casa.
Lo que me lleva a mi tercera y última reseña: la maravilla que es CERES (que no hace más que anunciarse en las revistas del sector de seguridad tipo SIC, etc.) y lo bueno que será el DNI digital. Una anécdota que debería ser enseñada en la Universidad a todo aquél que estudiase criptografía. Allá va:
Quería el certificado de la FNMT, para lo de la renta, como el 90% de los que lo tienen, claro. Lo pedí por Internet. Fui a la entidad de registro, donde un funcionario muy amable (no es irónico, el hombre fue correctísimo), pero que sabía tanto de PKI como yo de toros, me dio el formulario para rellenar, me pidió el DNI y tal. Le di la documentación. El hombre cogió el formulario (para el que no sepa de qué va esto, firmas el contrato que te permite usar el certificado y otra hoja que acredita que eres quien eres y que se te ha expedido el certificado, creo recordar), y le dió al botón de "aceptado" (o como sea) en el formulario web que tiene para acreditar el registro. La aplicación web se quedó fría, se fue a por uvas o se colgó, como prefiráis. El hombre intentó una y otra vez reenviar los datos, sin éxito (mensaje de error: código de operación ya utilizado, o algo así). Puesto que no podía enviar el formulario, supuso que yo no podría descargarme el certificado y que el formulario firmado por mí no valía para nada, lo rompió y me pidió que volviera a hacer la petición de certificado. Yo fui a mi casa, entré en la web de la FNMT y me descargué el certificado, al que pude acceder y que funciona perfectamente.
Resultado: tengo un certificado que certifica que los documentos que firme con él han sido firmados por mí, pero en la FNMT no tienen el contrato escrito que acredita que yo he solicitado ese certificado y que se me ha concedido. Yo tengo un certificado digital, pero ningún contrato que garantice los derechos (y obligaciones) de uso sobre él. Es decir, el resultado es el mismo que si yo fuera un hacker exitoso que consiguiera hacerse con un certificado a mi nombre: no hay contrato que garantice que yo fui a la entidad de registro y me registré.
Lo pensé un poco, y llamé al servicio de atención al usuario de CERES, y un técnico (que de firma digital debe saber tela, pero de PKI y legalidad sabe lo mismo que yo de toros) me dijo de bastante malos modos que resolver ese problema no era cosa suya, y que no había tal problema: yo tengo mi certificado, ¿no?. Y que cualquier otro problema administrativo lo hablara con el funcionario (JAJAJAJAJA, ¡al club de la comedia con él!).
Ea, ahora tengo un certificado cojonudo que realmente no sirve de nada que use, pues la Administración podría alegar en cualquier litigio que yo no me registré y, por lo tanto, el certificado no es válido. Lo mismo, pero al revés, pasa conmigo: puedo firmar lo que quiera sin miedo a que sea vinculante: a ver cómo demuestran que realmente el certificado me ha sido expedido a mí.
En fin, luego te mandan un cuestionario de satisfacción que es de risa. ¿El error? Varios:
1. Poner en las entidades de registro personas que técnicamente no tienen ni idea.
2. Poner en el servicio de atención al usuario personas que administrativamente no tienen ni idea.
3. Usar una aplicación web (Hola, soy tu ausencia de estado, estás en uno de esos días en los que te gusta ser HTTP) que no gestiona bien los errores.
4. No haber tenido en cuenta este pequeño (pero importante) caso a la hora de formar a las personas de la entidad de registro.
5. No revisar los contratos firmados "a mano" de todos y cada uno de los certificados digitales expedidos.
En fin, que sí, que la criptografía es el fin a los problemas de seguridad
Este hilo ha sido archivado.
No pueden publicarse nuevos comentarios.
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Obrar mucho, y hablar poco; que lo demás es de loco.
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Barrapunto © 1999-2007. Contenido disponible bajo licencia Creative Commons Reconocimiento 2.5
Aviso legal
Esto...
(Puntos:2, Interesante)( http://carlos.garciaargos.com/ | Última bitácora: Domingo, 02 Junio de 2013, 06:20h )
--
Carlos García [garciaargos.com]
Petname
(Puntos:2)( http://barrapunto.com/tags/restalman | Última bitácora: Jueves, 12 Abril de 2018, 20:25h )
__
Comprare è combattere.