Chrome y certificados de clave pública

Enviado por admin el 4. Septiembre 2008 - 17:36.

Por Álvaro de la Escalera Arminio

Estaba emocionado con las características de seguridad que promete Chrome, me parece estupenda la separación de procesos por pestaña y la pestaña de "incógnito", y, como la cabra tira al monte, me dije: "Vamos a ver qué tal funciona Chrome con respecto a certificados de clave pública, veamos si por una vez los chicos de la FNMT tienen suerte y no tienen que tocar nada de sus aplicaciones".

Dicho y hecho, accedo a la página web de CERES en la FNMT e intento generar una pareja de claves y un PKCS#10. Vaya, no parece que funcione, una cosa que tienen que tocar los muchachos.

Veamos ahora qué tal funcionan los certificados, voy a importar mi certificado de Clase 2 ..... vaya, no hace falta, ya está, será que lo ha tomado prestado de Firefox (como tantas otras cosas) ... aunque juraría que en este Windows Vista no estaba ...... De todas maneras, pincho en "Ciudadanos", "Verificar estado del certificado" .... vaya, otro fallo, más trabajo para los muchachos. No creo que funcione ya esto, pero, voy a probar si está la ahora no tan famosa función javascript crypto.signtext para firmar formularios. Voy a "modificar datos personales" ... y claro, no funciona.

Para comprobar que realmente es un tema de Chrome y no de la web de la FNMT, arranco mi querido Firefox para repetir las pruebas ..... y me llevo la sorpresa de que no hay ningún certificado de Clase 2 ¿¿??. Como curiosidad, arranco Internet Explorer 7 ... y ahí está el certificado. Vaya por Dios. ¿Será posible que Chrome esté utilizando el almacén de certificados de Windows?.

Como comprobación, borro el certificado desde Explorer, y, efectivamente, desaparece de Chrome...

Pues parece ser que, o mucho me equivoco, o Chrome utiliza el proveedor de servicios criptográficos proporcionado por Microsoft (CSP); con razón no funcionaba ninguna de las páginas de la FNMT. La FNMT al conectarte detecta el navegador con el que accedes, y dependiendo de si es un Explorer u otro, carga páginas diferentes.

Pasando al terreno de la opinión, si Chrome utiliza el CSP de Microsoft (sólo he verificado que utiliza el mismo almacén de certificados, pero a él se accede según tengo entendido utilizando el CSP, y no he visto por ningún lado en Chrome nada que ponga algo de "módulos criptográficos o PKCS#11, ojalá me equivoque), es un tema muy grave por:

  • La larga y dilatada trayectoria de éxitos de Microsoft en estos temas.
  • La portabilidad de Chrome a otros SOs puede hacerse un pelín mas "complicada". Como poco sacarán versiones "ligeramente" distintas.
  • Por lo que sé, la firma de formularios en Internet Explorer no utiliza la función javascript cryptosigntext. Se utilizan bien componentes Activex proporcionados por Microsoft (capicom), bien Activex o applets java desarrollados por terceras partes. Me gustaría saber cómo resuelve este tema Google.

 

Álvaro de la Escalera Arminio

Consultor de Seguridad de Hispafuentes.
Ex-Jefe de Desarrollo de CERES en la FNMT-RCM

Referencias

  • Almacén de certificados de Windows:

     

     

  • Almacén de certificados de Chrome:

     

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Un saludo

Enviado por jonsito el 4. Septiembre 2008 - 17:59.

Hombre, Alvaro, un saludo... Sabía que habías dejado el tema Ceres, pero te había perdido el rastro...

Esto que comentas es grave. Teniendo en cuenta que muchos de nosotros usamos habitualmente, bien la tarjeta Ceres -no, todavía no tengo eDNI propio- ( ¿menos mal? ;-) , bien los certificados "software" de la FNMT para nuestras declaraciones, el que la cosa no funcione ni en windows...

pues como que de mi firefox no me muevo

Ya bastante tenemos con uno que se salta los estándares, como para andar con otro...

Un saludo y gracias por la información
Juan Antonio

Hola Jonsy

Enviado por Aescalera el 5. Septiembre 2008 - 8:28.

... yo tampoco tengo DNIe propio.

Si, .... que en lugar de usar PKCS#11 como la gente decente ;), utilicen esto, es una cagada.

Se veía venir

Enviado por anónimo el 4. Septiembre 2008 - 18:23.

La configuración del proxy también la coge de internet explorer, de hecho, si la modificas también modificas la de internet explorer.

Para mi gusto, es muy dependiente de ie. Más que un navegador han hecho un trozo de navegador y cogen funcionalidades del resto. Vamos que para jugar con él debes tener instalado ie.

Y tanto, de hecho la ventana

Enviado por guannais el 5. Septiembre 2008 - 3:47.

Y tanto, de hecho la ventana que te sale es la misma que cuando le das al icono del Internet Explorer con el botón derecho y eliges Propiedades.

Tal vez no sea tan grave

Enviado por anónimo el 5. Septiembre 2008 - 8:26.

Tal vez no sea tan grave si lo manejan bien.

También en el caso de Linux sería deseable que utilizaran la misma configuarción de KDE con respecto a proxy y demás. De esa forma se evita tener que configurar cada programa por separado.

Si el sistema provee una manera de configurar determinadas cosas, no es tan malo que se extienda a todos los programas que necesiten esa misma configuración. Seguramente no será tan difícil implementar para cada plataforma el llamado a la api correspondiente.

Claro, que así están haciendo la seguridad del navegador dependiente de la del otro software que usen, pero la filosofía del software libre es no reinventar la rueda: si hay software que realiza una determianda función, ¿por qué no usarlo?

Hola Alvaro

Enviado por Fernando Acero el 4. Septiembre 2008 - 19:09.

Hola Alvaro:

Interesante trabajo el que acabas de hacer. Parece que no salimos del círculo "virtuoso" del PKI y sus sabores.

Siempre un placer tenerte por aquí.

Un saludo, Fernando Acero

"Copyleft 2008 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Hola Fernando

Enviado por Aescalera el 5. Septiembre 2008 - 8:29.

No me salgo de las PKIs, pero para mí ahora es más interesante verlo desde la barrera :).

Saludos

Bien visto!

Enviado por anónimo el 4. Septiembre 2008 - 21:42.

Hola Álvaro!

Pues fijate que ya lo imaginaba que utilizaba el almacén de certificados de IE, ¡la pinta era idéntica! La verdad es que dice muy poco a su favor, pues podían haber aprovechado la oportunidad para hacer algo realmente interesante, y parece ser que la solución es la peor posible.

La duda, aparte de la implementación en Apple y Linux, es cómo será la implementación seguridad en Chrome para la versión de Android, que por lo visto aparecerá este mes. ¡Estaremos a la espera!

Un saludo y un abrazo!
Jorge Jiménez

Hombre Jorge!

Enviado por Aescalera el 5. Septiembre 2008 - 8:30.

En Android meterán un proveedor de servicios criptográficos específico, firmado por la autoridad de certificación de Microsoft, ya verás ;).

es el maxthor de google

Enviado por anónimo el 4. Septiembre 2008 - 22:20.

es el maxthor de google por lo que pareciera

123siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
6 + 12 =
Resuelve esta sencilla operación e introduce el resultado.