Certificato Digitale

jsb · Newbie Joined: Jun 06, 2009 Posts: 6

Un fornitore cui per accedere ed effettuare ordini occorre installare un certificato digitale pretende di esser lui stesso a installare presso di noi questo certificato inserendo lui stesso a nostra insaputa la password necessaria per l'esportazione. A parte l'assurdità delle ragioni che giustificano questo comportamento e a parte che ho già negato mille volte l'autorizzazione, siccome vuole convincere il titolare che le mie sono paranoie, volevo sapere con precisione se possibile le controindicazioni di una concessione del genere e i pericoli cui si va incontro.
Grazie mille e ciao
jsb

Leviatano · Newbie Joined: Sep 25, 2006 Posts: 63 Location: ROMA

Se fossi in te continuerei a negargliela l'autorizzazione!
Prima di tutto perché se afferma quanto ci hai spiegato o non capisce una mazza di Certification authority oppure è un hacker che vuole bucarvi i sistemi...Spiegaglielo al tuo capo che il certificato pubblico in se e per se può essere pubblicamente scaricato in quanto possiede solamente la chiave pubblica di crittografia e non costituisce un pericolo per la sicurezza.
La cosa importante è la chiave privata usata per decrittare ma quella non è di dominio pubblico!! Una volta che l'utente viene autorizzato e riconosciuto come legittimo utilizza quella chiave per decifrare; A questo servono infatti i certificati.
Non è che se proteggo il certificato con una password per impedirne l'esportazione stò al sicuro e se l'esporto corro dei pericoli. Diffidate di queste persone...oppure approfondite il discorso magari non vi siete capiti bene...

jsb · Newbie Joined: Jun 06, 2009 Posts: 6

Ciao e intanto grazie, ho avuto giusto un colloquio con queste persone.
Il discorso è il seguente, certificato rapidssl.com e mi ha detto questa cosa per me stranissima.
Loro hanno acquistato un solo certificato e di conseguenza per forza hanno a disposizione una sola password per tutti i loro clienti, se dovessero mettere una password per cliente dovrebbero acquistare un certificato per un nuovo cliente, sono ignorante e qui mi perdo. Cosa significa ?

Leviatano · Newbie Joined: Sep 25, 2006 Posts: 63 Location: ROMA

ciao,

allora io ritengo, da quello che mi hai detto, che questi tizi hanno delle idee un po' confuse, fatti spiegare bene...prima di procedere.
Prima di tutto cosa c'entra che hanno acquistato un solo certificato?
E' logico che hanno acquistato un solo certificato...hanno un server web da proteggere per cui si sono rivolti alla rapidssl per ottenere un certificato digitale da installare sul webserver, ma non significa che devono proteggerne il download anche perché se non viene scaricato e installato nel browser non vedo come tu possa utilizzarlo!? E' la prima volta che sento di un certificato da proteggere con password per impedirne il download...non so che dirti...a me è capitato di acquistare un certificato per server dalla Verisign Italia(fatti un giro sul loro sito), dove puoi anche provare un ambiente di test per 30 giorni. Ma non è che dovevamo installare delle password per creare tunnel ssl col server.

Ad ogni modo in ambienti dove esiste una PKI funzionante gli unici certificati a non cambiare sono quelli della root ca e intermediate ca.
L'intermediate ca non ce l'hanno tutti però ha una sua importanza per mantenere l'affidabilità della certificate chain. I certificati degli host devono essere invece distinti uno dall'altro, questo te lo dico per chiarirti alcuni concetti generali sui certificati digitali.

Proverei a farmi spiegare bene cosa intendono per password poiché non mi sembra che utilizzino una procedura allineata agli standard che ci sono in giro...

jsb · Newbie Joined: Jun 06, 2009 Posts: 6

Credo di aver capito cosa hanno fatto.
1) Hanno acquistato un certificato per il sito accesso ssl, protocollo https etc
2) Si sono posti un problema originale. Come possiamo fare ad impedire che qualche cliente ceda le proprie credenziali alla concorrenza che così può scorazzare nel nostro sito ? Semplice, installando noi il certificato ed impedendone l'esportazione. Come ? Legando il tutto ad un certificato personale di firma digitale. Siccome acquistare 500 firme per 500 clienti gli costava un occhio della testa, ne hanno acquistata una sola per tutti i clienti.
E per forza di cose per impedire l'esportazione non debbono far sapere in giro la password.

Gli ho scritto per chiedere se hanno fatto così. Ma in questo caso legalmente è una firma valida sul documento visto che è lo stesso certificato per un sacco di gente ?

Leviatano · Newbie Joined: Sep 25, 2006 Posts: 63 Location: ROMA

beh se hanno fatto così è abominevole!
Allora se qualcuno si collega da qualche altra postazione e il sito gli richiede di scaricare il certificato ogni volta dovete chiamare il fornitore per farvi installare il certificato sulla nuova postazione????????!! A questo punto immagina se percaso ti trovi fuori sede, all'aeroporto per esempio: devi consultare rapidamente il sito del fornitore per cercare dei prodotti.....e devi chiamare il fornitore che con la sua fida password ti installa il certificato!! Guarda non so se devo ridere o piangere...é una cosa assurda secondo me.
Ripeto, come già ti ho spiegato all'inizio il certificato pubblico DEVE poter essere scaricato senza password, liberamente in quanto non costituisce alcun pericolo di sicurezza. E' la chiave privata che va invece custodita morbosamente in quanto se viene rubata quella sei costretto a revocare il certificato e produrne uno nuovo. Questa è la procedura in materia di certificati digitali. Prova a vedere cosa ti dicono, ma secondo me non sanno spiegarti nemmeno loro cosa stanno facendo...

jsb · Newbie Joined: Jun 06, 2009 Posts: 6

Riporto la loro risposta sostituendo il nome del fornitore con PincoPalla
Con questo metodo di autenticazione possiamo autenticare i nostri clienti
web basandoci su qualcosa "che il cliente ha", una chiave installata dal
cliente utilizzata per accedere al nostro server, chiave in suo possesso,
ma a lui non nota.
...................
Tecnicamente parlando, PincoPalla da al cliente un certificato personale
associato ad una chiave privata.
L'accesso alla chiave privata del certificato personale è protetto da
password.
In questo modo il certificato è molto più sicuro della vecchia password
standard, soprattutto perché un hacker dovrebbe possedere entrambi i pezzi
dell'autenticazione: la chiave privata che corrisponde al certificato come
pure la password di accesso alla chiave privata; questa password non è
trasmessa in rete ma solo usata localmente nel computer del cliente per
decriptare la chiave privata che è inserita una sola volta nella “vita” da
PincoPalla.
Questo è il sistema più economico in letteratura per evitare che qualche
nostro cliente fornisca la password del portale.PincoPalla.it alla concorrenza
perché la chiave di accesso al sito PincoPalla è nel Pc del cliente ma per
accedervi occorre una password che solo PincoPalla conosce...

Per quanto riguarda la richiesta che mi aveva posto alla
certificazione/firma digitale degli ordini o di tutta l’attività svolta sul
nostro sito, come può ben capire non esiste nessuna …certificazione/firma
digitale sugli ordini ne su altra attività.
Ci limitiamo al riconoscimento della macchina (Pc), del cliente, e
limitiamo il riconoscimento al solo accesso al nostro sito web.

Leviatano · Newbie Joined: Sep 25, 2006 Posts: 63 Location: ROMA

Quest'ultimo post è più chiaro. Vorrei spiegarti alcune cose:

Allora, quanto affermato da loro non è sbagliato, ovvero è possibile proteggere il certificato personale con la chiave rsa privata tramite una password. E questo accade sia in applicazioni client-server sia per proteggere nodi di rete, ad esempio VPN criptate. Ma c'è differenza tra proteggere l'autenticazione privata da quella pubblica. Quella pubblica NON DEVE essere protetta, non ha senso.
Inoltre da quello che ti scrivono si evince che loro emettono un certificato dedicato per l'utente comprensivo di chiave privata da proteggere con password. Quindi sembrerebbe che per ogni cliente emettano un certificato digitale, mi segui? Allora perché ti dissero che utilizzavano una password unica cosicché non avrebbero dovuto richiedere l'emissione di nuovo certificato dalla CA? Non è chiaro...se usano un certificato unico per tutti i clienti protetto da password come fanno ad attestare l'autenticità dell'accesso se 3000 clienti usano lo stesso certificato?
In più rimane il problema dell'altra volta. Il meccanismo della protezione della chiave privata con password risulta utile in ambienti dove la comunicazione criptata permane e non viene variata. Ad esempio:
scenario: VPN ROMA-MILANO i peer sono due router con ip statico. Quì ha senso proteggere con chiave privata poiché tanto i router sono fissi, nessuno li sposta e tutti transitano attraverso loro. Pertanto la vpn viene creata e tutti i nuovi pc che utilizzano quel tunnel usufruiscono della crittografia. Nel tuo caso installando il certificato in locale sul pc, ti impedisce di poter utilizzare altre macchine per l'accesso al sito. Se ad un certo punto ti si rompe il pc sei fregato...se sei ad una riunione all'estero non puoi accedere non possedendo la chiave privata.
Mi sembra un processo troppo macchinoso secondo me, non ho mai sentito nessuno che gestisce la sicurezza dei certificati digitali in questo modo.

Lev

jsb · Newbie Joined: Jun 06, 2009 Posts: 6

Hai compreso perfettamente. Chiave privata con password condivisa fra tutti gli utenti a conoscenza esclusiva del fornitore, se si rompe il pc devi chiamarli per attivare un altro pc. Questo lo dicono esplicitamente ed è un loro scopo controllare quali pc si connettono, per distinguere l'autenticità si basano sull'autenticazione utente-password.
Quello che mi domando io è :
Se domani questi impazzissero e usassero impropriamente la mia chiave (la chiave comune) utilizzando i miei dati (user e password che anche qui indovina un po' conoscono loro o meglio in questo caso anche loro e non posso variare) come funziona legalmente ? Per la legge ho firmato digitalmente un documento ? Per me sì.

Leviatano · Newbie Joined: Sep 25, 2006 Posts: 63 Location: ROMA

Capisco le tue paure e le condivido in quanto mi occupo di sicurezza e ci tengo affinché la gente stia sempre in guardia ma alla fine la sicurezza al 100% non ce l'avrai mai. Con questo non dico che devi sottoscrivere un contratto con queste persone! La decisione spetta solamente a voi...

comunque in teoria quello che dici è fattibile, visto che conoscono loro meglio di te tutti i tuoi parametri di collegamento(password del certificato compresa che tu non sai). Tuttavia in tutti i fornitori online c'è questo rischio, questo per completezza di informazione. Chiunque riesca a impossesarsi di user id e password specie se trasmessa in chiaro sulla rete può creare un bel po' di problemi. Non voglio allarmarti troppo, ma voglio rispondere più chiaramente possibile alla tua domanda che riporto di seguito:

-------------------------------------------------------------------------------
jsb ha scritto:
"Quello che mi domando io è :
Se domani questi impazzissero e usassero impropriamente la mia chiave (la chiave comune) utilizzando i miei dati (user e password che anche qui indovina un po' conoscono loro o meglio in questo caso anche loro e non posso variare) come funziona legalmente ? Per la legge ho firmato digitalmente un documento ? Per me sì."

jsb · Newbie Joined: Jun 06, 2009 Posts: 6

Volevo ringraziarti. Ciao e grazie mille