Sunday, February 25, 2007

Grave fallo de diseƱo en PKI compromete las firmas digitales



Pregunta: Es posible firmar un documento a nombre de un tercero sin su consentimiento?
Respuesta: afirmativo. En este enlace Fernando Acero, nos comenta su experiencia, demostrando que bajo ciertas condiciones, se poden firmar digitalmente documentos a nombre de otras personas usando certificados X.509.
BĆ”sicamente el fallo estĆ”, en que si dos o mĆ”s usuarios comparten el mismo almacĆ©n de certificados, es posible que cualquiera de ellos firme en nombre de cualquiera de los otros miembros de la misma base, ya que control de acceso Ćŗnicamente se realiza sobre el almacĆ©n. Para evitar este problema, una vez abierto el almacĆ©n de certificados y seleccionar uno de ellos, para poder firmar un documento deberĆ­a ser imprescindible la solicitud de la contraseƱa asociada al certificado.
Algo a tener en cuenta a la hora de la implementaciĆ³n de firmas digitales.
FUENTE: Kriptopolis

No comments: