10 mayo 2013

Nuevo EMET v4-Beta con 'certificate pinning' geolocalizado

Ha pasado ya más de un año desde que tuve la oportunidad de hablar en la rootedcon sobre criptografía aplicada, di un pequeño repaso al 'estado del arte' y presenté unas cuantas herramientas sobre el tema.

Entre ellas, hablé de SSLCop como concepto para llevar la geolocalización al mundo de de las CAs.

El concepto se explica muy fácilmente, las CAs de confianza que puedes encontrar en el repositorio de CAs de Windows, tienen un origen geográfico, hay CAs Españolas, las hay Mexicanas, Venezolanas y en general de un buen número de paises.

La mayoría de las CAs asociadas a países suelen tener un ámbito local, en general para trámites administrativos de los ciudadanos de esos países. Como resulta obvio, para una persona Argentina le resulta un lastre tener CAs de otros países que no necesita, y encima estas CAs pueden ser hackeadas para emitir certificados piratas, como ya pasó con una CA de Turquía.

Entonces, siguiendo el principio Nº1 del hardening: si no lo necesitas, quítalo lo que hace SSLcop es 'banear' las CAs en función de su procedencia.

Mientras leía las nuevas especificaciones de EMET 4.0 a nivel criptográfico, me sorprendió ver que Microsoft ha añadido a EMET funcionalidades de tipo 'certificate pinning'. Hasta aquí nada nuevo, es algo en lo que Google con Chrome lleva mucho terreno andado.

Lo novedoso es que EMET permite generar reglas de pinning basadas en la localización geográfica de las CAs, con lo que es posible definir reglas como por ejemplo que para un dominio de la administración Española, solo aceptaré certificados SSL basados en España.

Hacerlo con EMET es extremadamente sencillo, primero definimos un dominio, en este caso www.agenciatributaria.es


 Y luego lo asociamos a una regla en la que decimos que solo se permiten certificados Españoles


¿sencillo verdad? Me parece una gran iniciativa por parte de Microsoft que ha avanzado en el mundo del 'pinning'

2 comments :

damontero dijo...

Grande Yago, no lo conocía. El otro día me instalé EMET 4 pero con las prisas no me lo miré bien :)

Saludos

Cesar Jesus Chavez Martinez dijo...

Habra que hacer las pruebas ;)