<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Courier;
panose-1:2 0 5 0 0 0 0 0 0 0;}
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"Times New Roman \(Cuerpo en alfa";
panose-1:2 2 6 3 5 4 5 2 3 4;}
@font-face
{font-family:"Helvetica Neue";
panose-1:2 0 5 3 0 0 0 2 0 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.EstiloCorreo18
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style></head><body lang=ES link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>Los emails no llegan porque creo que esta lista aún no tiene resuelto el tema del DMARC?<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'>A mi me llegan muchos correos de LACNOG como SPAM por fallo de DMARC …<o:p></o:p></span></p><div><p class=MsoNormal><span lang=ES-TRAD style='font-size:10.5pt;color:black'><br>Saludos,<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'>Jordi<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'><o:p> </o:p></span></p></div><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='font-size:12.0pt;mso-fareast-language:EN-US'><o:p> </o:p></span></p><div><div><p class=MsoNormal style='margin-left:35.4pt'>El 29/5/19 18:58, "Seguridad en nombre de Carlos Pantelides" <<a href="mailto:seguridad-bounces@lacnic.net">seguridad-bounces@lacnic.net</a> en nombre de <a href="mailto:carlos_pantelides@yahoo.com">carlos_pantelides@yahoo.com</a>> escribió:<o:p></o:p></p></div></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><div><div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Hola Carlos MM<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>No me ha llegado tu mail completo, pero <o:p></o:p></span></p></div><div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>> Dicen por ahí que inventar usos propios y particulares de criptografía<br>> es en general de mala suerte.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Es el motivo rector de mi consulta.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Carlos MM<o:p></o:p></span></p></div><div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>>>> Sobre las Rogue CAs , estoy muy de acuerdo en que es un problema serio,<br>>>> pero uno puede usar SSL con certificados propios <br><br>Fernando G<br>>>Asi es. No vi cual era el escenario de despliegue. Si es algo privado,<br>>>es posible establecer uno su (unica(s)) CA. DE acuerdo a la escala, mas<br>>>o menos esfuerzo.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Aunque no haya ningún problema con las CA, TLS, lo que sea, el hecho es que pueden haber sistemas intermedios que reciban la información sensible sin necesidad, muestro el escenario de despligue en fixed font:<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>+-------+ +------------+ +-----------+ +--------------------+<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>|Cliente|---TLS(1)--->|WAF en Cloud|---TLS(2)--->|Backend WEB|----TLS(3)---->|Sistema Autenticador|<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>+-------+ +------------+ +-----------+ +--------------------+<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>(1) el certificado del dominio público, por ejemplo "www.servidor.com"<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>(2) otro certificado pero B2B, por ejemplo "api.midominio.com"<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>(3) certificado interno de la organización, por ejemplo "sa.interno"<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Fíjense que salvo el cliente y el Sistema Autenticador no necesitan conocer las credenciales del usuario y sin embargo las tienen disponibles. La protección frente al compromiso de cualquiera de los tres certificados es un efecto colateral, mis adversarios son el WAF y el Backend.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>En realidad el Cliente no necesita conocerlas, pero no puede evitarlo.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>La implementación que pienso es que el Sistema Autenticador genera un par público/privado y se guarda obviamente el privado, le pasa al Backend la clave pública que se la pasa junto a la librería al Cliente, este cifra los datos sensibles con la clave pública y este cyphertext que nadie entiende pero todos transmiten llega al Sistema Autenticador que lo abre y usa.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Y de paso corrijo una frase que me quedó inconclusa en el mail original:<o:p></o:p></span></p></div></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>"Pero, si yo quisiera transmitir mensajes con una longitud muy reducida, tal que los mensajes son apenas más largos que esa clave asimétrica, no tendría sentido desde ese punto de vista introducir" el cifrado simétrico.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Lo que andaría buscando es alguna falla evidente en lo anterior, RFC o protocolo existente que lo implemente o cualquier reflexión.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'>Saludos y gracias<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div></div><div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:Courier'>--<br>Carlos Pantelides<br>@dev4sec<br>https://github.com/cpantel<o:p></o:p></span></p><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:Courier'>https://seguridad-agile.blogspot.com/<o:p></o:p></span></p></div></div></div></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Courier New"'><o:p> </o:p></span></p></div></div><div id="ydpc5d795eyahoo_quoted_9975293508"><div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Helvetica Neue";color:#26282A'>On Wednesday, May 29, 2019, 1:34:44 PM GMT-3, Fernando Gont <fgont@si6networks.com> wrote: <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Helvetica Neue";color:#26282A'><o:p> </o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Helvetica Neue";color:#26282A'><o:p> </o:p></span></p></div><div><div><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Helvetica Neue";color:#26282A'>On 29/5/19 07:56, Carlos Marcelo Martinez Cagnazzo wrote:<br><br><br>Mas que mala suerte es meterse en problemas. :-)<br><br><br><br><br><br><br><br>-- <br>Fernando Gont<br>SI6 Networks<br>e-mail: <a href="mailto:fgont@si6networks.com" target="_blank">fgont@si6networks.com</a><br>PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<o:p></o:p></span></p><div id=ydpc5d795eyqtfd37286><p class=MsoNormal style='margin-left:35.4pt'><span style='font-size:10.0pt;font-family:"Helvetica Neue";color:#26282A'><br><br><br><br><br>_______________________________________________<br>Seguridad mailing list<br><a href="mailto:Seguridad@lacnic.net" target="_blank">Seguridad@lacnic.net</a><br><a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><o:p></o:p></span></p></div></div></div></div></div><p class=MsoNormal style='margin-left:35.4pt'>_______________________________________________ Seguridad mailing list Seguridad@lacnic.net https://mail.lacnic.net/mailman/listinfo/seguridad <o:p></o:p></p></div><br>**********************************************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
http://www.theipv6company.com<br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<br>
<br>
</body></html>