Estaba emocionado con las características de seguridad que promete Chrome, me parece estupenda la separación de procesos por pestaña y la pestaña de “incógnito”, y, como la cabra tira al monte, me dije: “Vamos a ver qué tal funciona Chrome con respecto a certificados de clave pública, veamos si por una vez los chicos de la FNMT tienen suerte y no tienen que tocar nada de sus aplicaciones”.
Dicho y hecho, accedo a la página web de CERES en la FNMT e intento generar una pareja de claves y un PKCS#10. Vaya, no parece que funcione, una cosa que tienen que tocar los muchachos.
Veamos ahora qué tal funcionan los certificados, voy a importar mi certificado de Clase 2 ….. vaya, no hace falta, ya está, será que lo ha tomado prestado de Firefox (como tantas otras cosas) … aunque juraría que en este Windows Vista no estaba …… De todas maneras, pincho en “Ciudadanos”, “Verificar estado del certificado” …. vaya, otro fallo, más trabajo para los muchachos. No creo que funcione ya esto, pero, voy a probar si está la ahora no tan famosa función javascript crypto.signtext para firmar formularios. Voy a “modificar datos personales” … y claro, no funciona.
Para comprobar que realmente es un tema de Chrome y no de la web de la FNMT, arranco mi querido Firefox para repetir las pruebas ….. y me llevo la sorpresa de que no hay ningún certificado de Clase 2 ¿¿??. Como curiosidad, arranco Internet Explorer 7 … y ahí está el certificado. Vaya por Dios. ¿Será posible que Chrome esté utilizando el almacén de certificados de Windows?.
Como comprobación, borro el certificado desde Explorer, y, efectivamente, desaparece de Chrome…
Pues parece ser que, o mucho me equivoco, o Chrome utiliza el proveedor de servicios criptográficos proporcionado por Microsoft (CSP); con razón no funcionaba ninguna de las páginas de la FNMT. La FNMT al conectarte detecta el navegador con el que accedes, y dependiendo de si es un Explorer u otro, carga páginas diferentes.
Pasando al terreno de la opinión, si Chrome utiliza el CSP de Microsoft (sólo he verificado que utiliza el mismo almacén de certificados, pero a él se accede según tengo entendido utilizando el CSP, y no he visto por ningún lado en Chrome nada que ponga algo de “módulos criptográficos o PKCS#11, ojalá me equivoque), es un tema muy grave por:
- La larga y dilatada trayectoria de éxitos de Microsoft en estos temas.
- La portabilidad de Chrome a otros SOs puede hacerse un pelín mas “complicada”. Como poco sacarán versiones “ligeramente” distintas.
- Por lo que sé, la firma de formularios en Internet Explorer no utiliza la función javascript cryptosigntext. Se utilizan bien componentes Activex proporcionados por Microsoft (capicom), bien Activex o applets java desarrollados por terceras partes. Me gustaría saber cómo resuelve este tema Google.
Álvaro de la Escalera Arminio
Consultor de Seguridad de Hispafuentes.
Ex-Jefe de Desarrollo de CERES en la FNMT-RCM
Referencias
Almacén de certificados de Windows:
Almacén de certificados de Chrome:
Fuente:
http://www.kriptopolis.org/chrome-y-certificados-clave-publica
PublicidadOtros articulos que te pueden interesar
- Descubierto un agujero de seguridad electrónico en la Fábrica de Moneda (España)
- Un fallo en la clase IO::Socket::SSL de Perl permite falsificar certificados
- Vulnerabilidad en el administrador de certificados de Mozilla
- Ataque DoS con certificados en Mozilla y Firefox
- Vulnerabilidad en la validación de certificados en el navegador Safari de Apple