Reflexiones sobre el caso DigiNotar
La estrella de incidentes de seguridad de la semana pasada de la llevó la PKI Diginotar. Aunque ya hay colgadas en la red múltiples reflexiones, yo quiero añadir un par de puntos de vista más a contemplar. Para el que no sepa de qué va el incidente, recomiendo leer los post de "Security by default", "Reflexiones sobre Diginotar" y de Hispasec "Otro certificado falso de Google" y "Conversaciones sobre certificados digitales, seguridad y pornografía".
El tema de las PKI es personalmente uno de los que más me encienden. Este mecanismo de seguridad utilizado extensamente como medio de generación de confianza no puede ser entendido como aspectos puramente técnicos relacionados con la generación y distribución de certificados. El éxito y robustez de estas infraestructuras se basan en la fortaleza de los tres elementos esenciales: personas, procesos y tecnología.
Ya postee extensamente sobre esta problemática cuando en marzo de este año fue conocido el problema con la PKI Comodo en el post "Incidente de Comodo, reflexiones sobre el uso de entidades de certificación". En aquel incidente, lo que acabó comprometida fue la autoridad de registro, una pieza clave en toda la infraestructura porque es la parte que acredita la identidad para que se genere y otorgue a un tercero un certificado.
El caso DigiNotar sin embargo es todavía mucho más grave. Como resultado del incidente ha acabado comprometida la Entidad Raíz de Certificación, lo que supone que todos los certificados generados por dicha empresa pasan a estar revocados. Esto, para una PKI es lo más grave que puede suceder dado que anula todos los certificados expedidos y supone que todos los navegadores coloquen este certificado raíz en la lista de certificados revocados.
Contenido completo en fuente original Blog de Javier Cao Avellaneda
El tema de las PKI es personalmente uno de los que más me encienden. Este mecanismo de seguridad utilizado extensamente como medio de generación de confianza no puede ser entendido como aspectos puramente técnicos relacionados con la generación y distribución de certificados. El éxito y robustez de estas infraestructuras se basan en la fortaleza de los tres elementos esenciales: personas, procesos y tecnología.
Ya postee extensamente sobre esta problemática cuando en marzo de este año fue conocido el problema con la PKI Comodo en el post "Incidente de Comodo, reflexiones sobre el uso de entidades de certificación". En aquel incidente, lo que acabó comprometida fue la autoridad de registro, una pieza clave en toda la infraestructura porque es la parte que acredita la identidad para que se genere y otorgue a un tercero un certificado.
El caso DigiNotar sin embargo es todavía mucho más grave. Como resultado del incidente ha acabado comprometida la Entidad Raíz de Certificación, lo que supone que todos los certificados generados por dicha empresa pasan a estar revocados. Esto, para una PKI es lo más grave que puede suceder dado que anula todos los certificados expedidos y supone que todos los navegadores coloquen este certificado raíz en la lista de certificados revocados.
Contenido completo en fuente original Blog de Javier Cao Avellaneda
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!