elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad
| | |-+  Criptografía (Moderador: kub0x)
| | | |-+  Certificados digitales autofirmados
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Certificados digitales autofirmados  (Leído 22,701 veces)
alzehimer_cerebral


Desconectado Desconectado

Mensajes: 513



Ver Perfil WWW
Certificados digitales autofirmados
« en: 9 Enero 2011, 18:01 pm »

Hola foro,

por lo que he LEIDO se que un certificado digital firmado por una CA ofrece:
Autentificacion, Privacidad, Integridad del mensaje y garantiza no repudio.

Con un certificado digital autofirmado la autentificacion no se garantiza (el servidor podria ser otro al quien dice ser el certificado), pero las otras 3 caracteristicas si que se siguen garantizando verdad??

SALU2

alzehimer_cerebral



Yo estoy hablando del protocolo SSL, en cuanto a autentificacion si esta firmado por una CA se sabe que el servidor es quien dice ser, en cuanto a la privacidad claro que existe ya que todo el dialogo va cifrado con una clave simetrica, el no repudio se garantiza por la firma digital, y la integridad se garantiza gracias a las funciones resumen.

Al usar certificados autofirmados lo unico que no se grantiza es la autenticacion correcta, pero el resto de caracteristicas si se mantienen verdad?



Pero esa no es mi pregunta...

MOD: No hagas double posting (y menos triple posting). Si tenes que agregar algo a tu mensaje, modfica el mensaje existente.


« Última modificación: 9 Enero 2011, 20:52 pm por APOKLIPTICO » En línea

Servicios Informaticos Valencia - www.ag-solutions.es
Mi blog - www.alvarogarciasolano.com
rdzlcs


Desconectado Desconectado

Mensajes: 784


El cerebro, la experiencia y una pizca de suerte.


Ver Perfil
Re: Certificados digitales autofirmados
« Respuesta #1 en: 9 Enero 2011, 19:06 pm »

Citar
Cuando los navegadores no admiten el cifrado potente. Aunque un certificado SSL admita un cifrado de 128 ó 256 bits, algunos navegadores y sistemas operativos más antiguos aún no pueden conectarse a este nivel. Sin un certificado SGC en el servidor web, los navegadores web y los sistemas operativos que no admiten el potente cifrado de 128 bits sólo recibirán un cifrado de 40 ó 56 bits. Los usuarios que dispongan de las siguientes versiones de navegadores y sistemas operativos podrán, de forma temporal, conseguir el cifrado SSL de 128 bits si visitan un sitio web con un certificado SSL con SGC.


Creo que hay recién pasa a ser inseguro, las huellas digitales son muy seguras en la actualidad, y no creo que alguien puede emular de alguna forma esta, a menos que la amenaza este dentro de un servidor...

Saludos


En línea

alzehimer_cerebral


Desconectado Desconectado

Mensajes: 513



Ver Perfil WWW
Re: Certificados digitales autofirmados
« Respuesta #2 en: 9 Enero 2011, 19:14 pm »

PREGUNTA: Si el servidor utiliza un certificado autofirmado!!! Suponiendo que el servidor es quien dice ser, se puede garantizar privacidad y la integridad del mensaje??

Es sencilla y directa la pregunta.

Salu2.

alzehimer_cerebral
« Última modificación: 9 Enero 2011, 19:32 pm por alzehimer_cerebral » En línea

Servicios Informaticos Valencia - www.ag-solutions.es
Mi blog - www.alvarogarciasolano.com
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Certificados digitales autofirmados
« Respuesta #3 en: 9 Enero 2011, 20:58 pm »

Si el servidor utiliza un certificado autofirmado, y no comparte su certificado previamente con los que quieran acceder al servidor, no se va a poder garantizar la autenticidad del mensaje. Por ende, no se va a poder tampoco garantizar la privacidad o la integridad del mensaje.

Si uno recibe en una conexion segura un certificado que no esta firmado por una CA conocida, el explorador te va a avisar. Sin embargo, con ataques tipo man in the middle, se podria facilmente modificar y ver el mensaje.

APOKLIPTICO
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
alzehimer_cerebral


Desconectado Desconectado

Mensajes: 513



Ver Perfil WWW
Re: Certificados digitales autofirmados
« Respuesta #4 en: 9 Enero 2011, 21:29 pm »

Gracias por las respuestas...

Voy hacer un esfuerzo en dejar claro lo que quiero hacer y se haciendo esto la conexion es segura!!!

Estoy programando una aplicacion en Java que se conecta a un servidor por Https, dicho servidor tiene un servidor autofirmado creado por mi.  Las personas que quieran utilizar la aplicacion de la que hablo deben añadir manualmente el certificado automirmado al truststore de sus ordenadores (para que confien en el certificado autofirmado del server).  Partiendo de que los clientes añadan el certificado autofirmado a sus truststores... entonces la comunicacion seria autentificada?? seria cifrada?? seria propensa a modificaciones de los datos sin que los clientes lo detectaran??

Yo pienso que no, ademas la aplicacion se encarga de conectar a servidores con certificados que han sido creados por mi, por lo tanto apuntan a servers mios no ha servers de otros que se harian pasar por mi...

Haber si me podeis asegurar si este tipo de comunicaciones serian seguras, me encuentro en una etapa de pruebas en la cual no quiero invertir en gastos de CA pero en la cual necesito saber si estoy garantizando la seguridad que acredita el protocolo SSL a pesar de que use certificados autofirmados.

Saludos y gracias por los aportes.

alzehimer_cerebral
« Última modificación: 9 Enero 2011, 21:41 pm por alzehimer_cerebral » En línea

Servicios Informaticos Valencia - www.ag-solutions.es
Mi blog - www.alvarogarciasolano.com
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Certificados digitales autofirmados
« Respuesta #5 en: 12 Enero 2011, 19:16 pm »

Si las personas que van a entrar a tu servidor con anterioridad instalaron su certificado en el truststore, entonces no va a haber problemas. El tema es que el certificado sea realmente de verdad, es decir, que cuando se lo bajen y lo instalen, nadie lo spoofee.
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.641


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Certificados digitales autofirmados
« Respuesta #6 en: 13 Enero 2011, 18:18 pm »

la única diferencia que yo sepa que hay, en uno firmado por una CA y otro firmado por ti mismo es que el navegador se va a quejar y te va a avisar (es molesto y pierdes tiempo), el resto es igual, son igual de seguros y válidos.

El único "problema" es que firmado por una CA vale dinero y firmarlo por uno mismo es gratis.
En línea

APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Certificados digitales autofirmados
« Respuesta #7 en: 14 Enero 2011, 01:38 am »

No son igual de seguros y validos. Son spoofeables facilmente a menos que se haya establecido el certificado por un canal seguro alternativo.
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
alzehimer_cerebral


Desconectado Desconectado

Mensajes: 513



Ver Perfil WWW
Re: Certificados digitales autofirmados
« Respuesta #8 en: 14 Enero 2011, 14:07 pm »

Jajajaj es un tema muy lioso. He leido mucho y cuando digo mucho es mucho y sigo sin tener las cosas claras.

En el supuesto caso de que distribuya mis certificados autofirmados de forma personal, darselos mediante un soporte fisico en la mano, y que luego los clientes lo añadieran a su truststore via keytool por ejemplo...

Yo considero que la comunicacion podria garantizar las 4 caracteristicas del protocolo SSL:

-Autenticidad.
-Privacidad.
-No repudio.
-Integridad del mensaje.

Si el certificado autofirmado llega por un medio electronico entonces pienso que la autenticidad no se garantiza, ya que no sabes si donde te conectas es realmente quien el certificado dice ser..  En realidad esto no me afecta ya que la aplicacion de la cual hablo se conecta a mi servidor por lo tanto si que se que es realmente mio ;).

Me parece una tonteria gastarme dinero en que me lo firme una CA...

Si alguien tiene buena informacion sobre el dialogo SSL estaria interesado el hecharle un vistazo para profundizar un poco mas en el tema, cualquier cosa dejais un enlace si no os importa.

Un saludo foreros.

alzehimer_cerebral
En línea

Servicios Informaticos Valencia - www.ag-solutions.es
Mi blog - www.alvarogarciasolano.com
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Certificados digitales autofirmados
« Respuesta #9 en: 15 Enero 2011, 03:57 am »

Mira, si vos podes enviar por otro canal seguro el certificado, no tiene por que ser fisico, pero tiene que haber un secreto compartido o una VPN segura, entonces podes asegurar las 4 caracteristicas del protocolo SSL (O mejor dicho TLS).
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Software de certificados y Firmas digitales(Solucionado)
Programación Visual Basic
n3fisto 1 2,654 Último mensaje 21 Junio 2010, 22:35 pm
por n3fisto
Crackeando Certificados Digitales By ANTRAX
Hacking
[ANTRAX] 0 8,765 Último mensaje 29 Agosto 2010, 17:58 pm
por [ANTRAX]
Certificados autofirmados Java
Java
alzehimer_cerebral 2 5,291 Último mensaje 17 Diciembre 2011, 09:13 am
por novanoticia
Los malware y falsos antivirus se basan cada vez más en certificados digitales..
Noticias
wolfbcn 0 1,518 Último mensaje 18 Diciembre 2013, 02:00 am
por wolfbcn
Recuperar certificados digitales « 1 2 3 »
Windows
A2902 25 25,553 Último mensaje 12 Octubre 2017, 21:42 pm
por Orubatosu
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines