<html><head></head><body><div class="ydpa4635e4byahoo-style-wrap" style="font-family:courier new, courier, monaco, monospace, sans-serif;font-size:13px;"><div><div>Hola Carlos MM</div><div><br></div><div>No me ha llegado tu mail completo, pero <br></div><div><div>> Dicen por ahí que inventar usos propios y particulares de criptografía<br clear="none">> es en general de mala suerte.</div><div><br></div><div><br></div><div>Es el motivo rector de mi consulta.</div><div><br></div><div><br></div><div>Carlos MM<br></div><div><div>>>> Sobre las Rogue CAs , estoy muy de acuerdo en que es un problema serio,<br clear="none">>>> pero uno puede usar SSL con certificados propios <br clear="none"><br clear="none">Fernando G<br clear="none">>>Asi es. No vi cual era el escenario de despliegue. Si es algo privado,<br clear="none">>>es posible establecer uno su (unica(s)) CA. DE acuerdo a la escala, mas<br clear="none">>>o menos esfuerzo.</div><div><br></div><div>Aunque no haya ningún problema con las CA, TLS, lo que sea, el hecho es que pueden haber sistemas intermedios que reciban la información sensible sin necesidad, muestro el escenario de despligue en fixed font:</div><div><br></div><div><br></div><div>+-------+ +------------+ +-----------+ +--------------------+<br></div><div>|Cliente|---TLS(1)--->|WAF en Cloud|---TLS(2)--->|Backend WEB|----TLS(3)---->|Sistema Autenticador|<br></div><div> <span>+-------+ +------------+ +-----------+ +--------------------+</span><br></div><div><br></div><div>(1) el certificado del dominio público, por ejemplo "www.servidor.com"<br></div><div>(2) otro certificado pero B2B, por ejemplo "api.midominio.com"<br></div><div>(3) certificado interno de la organización, por ejemplo "sa.interno"<br></div><div><br></div><div>Fíjense que salvo el cliente y el Sistema Autenticador no necesitan conocer las credenciales del usuario y sin embargo las tienen disponibles. La protección frente al compromiso de cualquiera de los tres certificados es un efecto colateral, mis adversarios son el WAF y el Backend.</div><div><br></div><div>En realidad el Cliente no necesita conocerlas, pero no puede evitarlo.</div><div><br></div><div>La implementación que pienso es que el Sistema Autenticador genera un par público/privado y se guarda obviamente el privado, le pasa al Backend la clave pública que se la pasa junto a la librería al Cliente, este cifra los datos sensibles con la clave pública y este cyphertext que nadie entiende pero todos transmiten llega al Sistema Autenticador que lo abre y usa.<br></div><div><br></div><div><br></div><div>Y de paso corrijo una frase que me quedó inconclusa en el mail original:<br></div></div><div><br></div><div><span>"Pero, si yo quisiera transmitir mensajes con una longitud
muy reducida, tal que los mensajes son apenas más largos que
esa clave asimétrica, no tendría sentido desde ese punto de
vista introducir</span>" el cifrado simétrico.<br></div><div><br></div><div>Lo que andaría buscando es alguna falla evidente en lo anterior, RFC o protocolo existente que lo implemente o cualquier reflexión.<br></div><div><br></div><div>Saludos y gracias<br></div><div><br></div></div><div class="ydpa4635e4bsignature"><div style="font-family:courier, monaco, monospace, sans-serif;font-size:13px;">--<br>Carlos Pantelides<br>@dev4sec<br>https://github.com/cpantel<br><div>https://seguridad-agile.blogspot.com/</div></div></div></div>
<div><br></div><div><br></div>
</div><div id="ydpc5d795eyahoo_quoted_9975293508" class="ydpc5d795eyahoo_quoted">
<div style="font-family:'Helvetica Neue', Helvetica, Arial, sans-serif;font-size:13px;color:#26282a;">
<div>
On Wednesday, May 29, 2019, 1:34:44 PM GMT-3, Fernando Gont <fgont@si6networks.com> wrote:
</div>
<div><br></div>
<div><br></div>
<div><div dir="ltr">On 29/5/19 07:56, Carlos Marcelo Martinez Cagnazzo wrote:<br clear="none"><br clear="none"><br clear="none">Mas que mala suerte es meterse en problemas. :-)<br clear="none"><br clear="none"><br clear="none"><br clear="none"><br clear="none"><br clear="none"><br clear="none"><br clear="none">-- <br clear="none">Fernando Gont<br clear="none">SI6 Networks<br clear="none">e-mail: <a shape="rect" href="mailto:fgont@si6networks.com" rel="nofollow" target="_blank">fgont@si6networks.com</a><br clear="none">PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<div class="ydpc5d795eyqt0792014600" id="ydpc5d795eyqtfd37286"><br clear="none"><br clear="none"><br clear="none"><br clear="none"><br clear="none">_______________________________________________<br clear="none">Seguridad mailing list<br clear="none"><a shape="rect" href="mailto:Seguridad@lacnic.net" rel="nofollow" target="_blank">Seguridad@lacnic.net</a><br clear="none"><a shape="rect" href="https://mail.lacnic.net/mailman/listinfo/seguridad" rel="nofollow" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a></div></div></div>
</div>
</div></body></html>