tag:blogger.com,1999:blog-5399811056563385935.post589063057623054676..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: FNMT: Insecure by defaultYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-5399811056563385935.post-40342988825576184922011-04-05T00:25:33.215+02:002011-04-05T00:25:33.215+02:00Gracias por un artículo interesante. Yo también h...Gracias por un artículo interesante. Yo también he descubierto esta web vía Mercé, y estoy encantado. Espero seguir leyendo más y mejor aquí. Por cierto, he adaptado el artículo de la FNMT para mi boletín sobre criptografía (www.cripto.es/enigma.htm)<br><br>Saludos cordiales, y enhorabuena de nuevo<br><br>(PD: Ojo, la imagen de "verificación de la palabra" no aparece en mi versión de Firefox, he tenido que usar Internet Explorer -!puaj!)Arturo Quirantesnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-17080463847991605282008-05-22T17:29:00.000+02:002008-05-22T17:29:00.000+02:00Hola, sobre tu pregunta, son conceptos diferentes;...Hola, sobre tu pregunta, son conceptos diferentes; nivel de seguridad / exportabilidad de los certificados. -Me explico- Tu puedes tener una clave privada NO exportable con un nivel de seguridad bajo, y esa clave privada se podrá usar indiscriminadamente sin advertencia, pero SIEMPRE en ese mismo PC, sobre el papel (bugs futuros aparte) nunca podría "salir" de ese PC. Por contra, tu puedes tener una clave privada con un nivel ALTO y esa clave ser exportable, lo que significa que, si alguien conoce el PIN de la clave SI puede extraerla de tu PC. En resumen, la mejor de las opciones: 1- clave privada NO exportable y 2- PIN en esa claveYago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-26222742965330464662008-05-22T16:43:00.000+02:002008-05-22T16:43:00.000+02:00Tengo una duda sobre los certificados.¿Se puede ex...Tengo una duda sobre los certificados.<BR/><BR/>¿Se puede exportar un certificado en el modelo de seguridad mas alto? <BR/><BR/>Si la respuesta anterior es no. ¿Podria ser posible que el nivel de seguridad se haya elegido para poder exportar el certificado a otras maquinas?<BR/><BR/>Si con el nivel alto de segurida se puede exportar el certificado estoy de acuerdo que es un error importante ya que mucha gente no se preocupa de estos posibles riesgos.<BR/><BR/>El articulo me ha parecido muy interesante.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-92087511007252556182008-05-22T08:41:00.000+02:002008-05-22T08:41:00.000+02:00Cuando se utiliza una clave privada en software, p...Cuando se utiliza una clave privada en software, por mucho que se proteja con contraseña, llegará un momento en que tendrá que estar en memoria para poder hacer el proceso de firma. Vamos, que sería capturable.<BR/><BR/>Además, si te meten un troyano el el PC de una manera trivial te pueden capturar la contraseña de la clave.<BR/><BR/>Mi duda es para casos como el del DNI electrónico. Si mediante un troyano te capturan el PIN, se podría hacer un programa que accediera a la tarjeta sin que el usuario se enterara.<BR/><BR/>Realmente, habría que ir pensando en lectores PIN Pad en los que el PIN no pasa nunca por el PC.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-4256540493231958452008-05-17T23:41:00.000+02:002008-05-17T23:41:00.000+02:00Hola, buenas.En primer lugar como siempre sensacio...Hola, buenas.<BR/><BR/>En primer lugar como siempre sensacional amigo Yago Jesús.<BR/><BR/>Esta claro que gracias a este tipo de estudios altruistas podemos saber/conocer los peligros "by default" a los que nos exponemos diariamente en la red de redes.<BR/><BR/>Mi mas sincera enhorabuena.<BR/><BR/>Ánimo y sigue con tu inquietud en la seguridad!Gonzalo Asensiohttps://www.blogger.com/profile/15079848212244588061noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-33973616234418680722008-05-13T22:18:00.000+02:002008-05-13T22:18:00.000+02:00Respecto a lo primero, efectivamente habrá (y me c...Respecto a lo primero, efectivamente habrá (y me consta que hay) quien se habrá preocupado de averiguar por su cuenta, pero dado que estos certificados son, digamos, "para el común de la ciudadanía" habrá gente que dará por hecho que "esta bien por defecto". Tal y como enlazo al final del post, el asunto es forzar a CryptGenKey() (en la plantilla de solicitud del certificado) a que haga uso de CRYPT_FORCE_KEY_PROTECTION_HIGH<BR/>para que necesariamente, la clave privada lleve pin. Sobre lo de 20 minutos, yo entiendo que se refiere a que cualquiera puede copy-pastear mi código en un troyano, no que certdump lo sea.<BR/>Un saludo y gracias por tu comentarioYago Jesushttps://www.blogger.com/profile/16830228750771246202noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-65525325907909207402008-05-13T22:05:00.000+02:002008-05-13T22:05:00.000+02:00Por cierto, he llegado hasta aquí desde le diario ...Por cierto, he llegado hasta aquí desde le diario digital 20 minutos. Te recomiendo que leas el artículo porque han entendido bastante mal lo que explicas en la web. Califican a CertDump como "troyano" y culpan a Windows de "una protección inadecuadamente baja".<BR/><BR/>http://www.20minutos.es/noticia/378330/0/vulnerabilidad/certificados/digitales/On Eginhttps://www.blogger.com/profile/14805690171519871776noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-76721817374290752332008-05-13T22:02:00.000+02:002008-05-13T22:02:00.000+02:00Me ha parecido interesante tu artículo, pero das p...Me ha parecido interesante tu artículo, pero das por hecho que absolutamente nadie se va a leer el manual de solicitud del certificado, donde explica la diferencia entre medio y alto. Una cosa sí, es un error que pongan como opción por defecto el nivel medio.On Eginhttps://www.blogger.com/profile/14805690171519871776noreply@blogger.com