Tweet
Esta mañana y cansado de tediosas esperas en largas colas de la administración del imperio este en el que resido, decidí hacerme con un certificado de firma digital de esos que emite la Fabrica Nacional de Moneda y Timbre. Los administra desde su muy tecnológica filial CERES. El caso es que pedir el certificado es harto sencillo.
1. Se pide desde el navegador web que generará su par de claves privada/pública y enviará la pública a una base de datos de CERES.
2. Te presentas con tu careto y tu DNI en una oficina de una entidad acreditada para validar tu firma digital (en mi caso oficinas de la Junta) y ellos firman y acreditan tu clave pública.
3. Posteriormente terminas el proceso en el ordenador de casa obteniendo el par de claves certificadas.
Tengo una duda al respecto del proceso exacto pues no estoy seguro al 100% de que el par de claves se genere en mi ordenador (aunque debe ser así a narices ya que mi clave privada no debería salir de mi entorno seguro) puesto que antes de que la entidad certificadora firme mi clave pública no aparece nada en mi contenedor de claves. Pero esto puede ser irrelevante en estos momentos.
Digamos que yo estoy acostumbrado a usar GnuPG en el cual mi clave privada siempre lleva adjunta una frase para desbloquear su uso, algo que me parece de suma importancia, dando igual que el contenedor/anillo de claves estuviera desbloqueado ya.
La cuestión es que al generar este tipo de certificado digital X.509 parece que en sus especificaciones no se crea una clave para proteger la clave privada, esta solo se aplica cuando se exporta en un contenedor de certificados tipo PKCS#12 y es independiente para cada contenedor. Una vez que el explorador importa desde este contenedor al suyo la clave privada todo queda a merced de la clave del contenedor del propio explorador (si es que hemos establecido una ya que en mi firefox por defecto yo no tenía ninguna)
Me puse a investigar cuando me encontré el problema ya que no sabía las especificaciones del PKI que genera este tipo de certificados y llegué a este interesante artículo de Kriptopolis, dónde parece que confirman mis sospechas de que PKI no considera una frase de paso para la clave privada del certificado si no es la del propio contenedor, sea este para exportar, la del navegador o la de un hardware contenedor específico.
La verdad es que he quedado muy defraudado por la seguridad del dichoso sistema de firma digital que tenemos implantado en este imperio. Voy a tener que andar con mucho cuidado con mis claves.
¿Qué os parecer? ¿Alguno usa la firma digital para sus gestiones administrativas?
PD - A lo mejor he soltado un rollo infumable y poco entendible para la mitad de los mortales de este foro, pero como se que por aquí hay mucho entendido en muchos temas no he podido resistirme a recavar opiniones.
1. Se pide desde el navegador web que generará su par de claves privada/pública y enviará la pública a una base de datos de CERES.
2. Te presentas con tu careto y tu DNI en una oficina de una entidad acreditada para validar tu firma digital (en mi caso oficinas de la Junta) y ellos firman y acreditan tu clave pública.
3. Posteriormente terminas el proceso en el ordenador de casa obteniendo el par de claves certificadas.
Tengo una duda al respecto del proceso exacto pues no estoy seguro al 100% de que el par de claves se genere en mi ordenador (aunque debe ser así a narices ya que mi clave privada no debería salir de mi entorno seguro) puesto que antes de que la entidad certificadora firme mi clave pública no aparece nada en mi contenedor de claves. Pero esto puede ser irrelevante en estos momentos.
Digamos que yo estoy acostumbrado a usar GnuPG en el cual mi clave privada siempre lleva adjunta una frase para desbloquear su uso, algo que me parece de suma importancia, dando igual que el contenedor/anillo de claves estuviera desbloqueado ya.
La cuestión es que al generar este tipo de certificado digital X.509 parece que en sus especificaciones no se crea una clave para proteger la clave privada, esta solo se aplica cuando se exporta en un contenedor de certificados tipo PKCS#12 y es independiente para cada contenedor. Una vez que el explorador importa desde este contenedor al suyo la clave privada todo queda a merced de la clave del contenedor del propio explorador (si es que hemos establecido una ya que en mi firefox por defecto yo no tenía ninguna)
Me puse a investigar cuando me encontré el problema ya que no sabía las especificaciones del PKI que genera este tipo de certificados y llegué a este interesante artículo de Kriptopolis, dónde parece que confirman mis sospechas de que PKI no considera una frase de paso para la clave privada del certificado si no es la del propio contenedor, sea este para exportar, la del navegador o la de un hardware contenedor específico.
La verdad es que he quedado muy defraudado por la seguridad del dichoso sistema de firma digital que tenemos implantado en este imperio. Voy a tener que andar con mucho cuidado con mis claves.
¿Qué os parecer? ¿Alguno usa la firma digital para sus gestiones administrativas?
PD - A lo mejor he soltado un rollo infumable y poco entendible para la mitad de los mortales de este foro, pero como se que por aquí hay mucho entendido en muchos temas no he podido resistirme a recavar opiniones.
no.... vamos ni idea.... 
Comment