Microsoft en la buena línea, aunque se tropieza consigo misma
El pasado 16 de enero recibí un correo-e de Microsoft (como cualquier persona que haya tratado que Microsoft distribuyera un certificado de una Autoridad de Certificación (CA), no es que sea yo especial), indicando los nuevos requisitos que deben cumplir las Autoridades de Certificación (caso concreto de Prestadores de Servicios de Certificación) para que Microsoft distribuya sus certificados.
Cabe aclarar que, si bien antaño Microsoft distribuía certificados de Autoridades Raíz y Autoridades Intermedias, ahora ya sólo admite certificados raíz, y las intermedias que distribuye ya sólo lo hace por compatibilidad hacia atrás.
También me gustaría aclarar que yo no soy muy partidario de que vengan precargadas Autoridades de Certificación en los navegadores, pues directamente «confiamos» en los certificados emitidos por éstas, sin que nadie nos pregunte, si bien es práctico pues de lo contrario nos pasaríamos el día teniendo que aceptar explícitamente la confianza en estas autoridades y si para gente del mundillo de la firma electrónica esto es un engorro, para profana en la materia provoca temblores, sudores fríos, palpitaciones y otros síntomas asociados al miedo (a lo desconocido)
Dicho esto, lo que desde mi punto de vista es más relevante de estos nuevos criterios es:
- Han consultado con el CA Browser Forum, o lo que es lo mismo, han buscado consenso entre los expertos y los fabricantes
- Se aclara que a partir del 1 de enero del 2.011 las claves de los certificados de Autoridades Intermedias y Entidades Finales (EE) deberán ser de 2.48 bits (RSA) -> un paso adelante en términos de seguridad a nivel criptográfico, al menos!
- La afirmación anterior se matiza, pues si los certificado de EE se generan en tarjeta criptográfica (o token), no todos estos dispositivos tienen la capacidad de generar claves de 2.048 bits, y lo que pueden, evidentemente son más caros. Esto indica una gran sensibilidad por el mercado, en el que hay distribuidos a nivel mundial millones de estas tarjetas y token que no pueden generar claves de tal tamaño. Cambiar todos estos elementos es inviable enconómicamente en un solo año.
- Y el traspaso al algoritmo SHA-2. Si bien desde distintos foros se empieza a recomendar migrar a esta algoritmo de hash (por ejemplo, la especificación técnica ETSI TS 102 176-1 V2.0.0 (2007-11) Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric algorithms, ya en el 2.007 recomendaba que los nuevos productos utilizasen SHA-2 y cataloga SHA-1 como no apto en seis -6- años tras la publicación de la especificación), pues su hermano menor (SHA-1) cada día parece más débil, sólo unas pocas iniciativas, como el DNIe, se lo han tomado en serio. Y Microsoft no mete demasiada prisa en esto, no en vano, su sistema operativo Windows XP no lo soporta.
Aquí es donde Microsft se tropieza consigo misma. No puede ser excesivamente exigente en lo referente a algoritmos de hash, porque sus sistemas no los soportan. Y como Windows Vista ya no se contempla como una alternativa a Windows XP, hasta que no haya un despliegue importante de su nuevo Windows 7, no estarán en disposición de tales exigencias.
De todas formas, y como resumen, me parece una buena actuación de Microsoft promover proactivamente un aumento en la seguridad, contando con otros players de la arena y considerando el impacto económico en los clientes.
1 comentario.
[…] En la actualidad, aunque no es un requisito, es recomendable tener vigente una auditoría WebTrust o una sobre la ETSI y Microsoft sólo carga certificados raíz. […]