Certificado y abuso de claves

4

Hace varios años cometí un error al cargar la clave de certificado de OpenSSL (.pem y .pk8) en una publicación de blog. La clave se usó para firmar la aplicación apk de Android usando la herramienta SignApk.jar. Alguien lo tomó y usó la clave para firmar aplicaciones de malware y la mala historia fue que puse mi dirección de correo electrónico cuando creé ese certificado. Esto generó problemas porque las personas me acusaron de ser el creador de esas aplicaciones.

La pregunta es, ¿cómo puedo recuperar esta situación? algunas personas sugieren la revocación de claves, pero no lo entiendo bien. En lo que respecta a la lectura desde la red, la revocación debe cargarse en una CA, ¿qué CA?

    
pregunta Lorensius W. L. T 17.01.2018 - 16:37
fuente

1 respuesta

6

Certificados en general

Los certificados son complicados, no te culpo. Por mucho, el caso de uso más común de los certificados es para los sitios web de TLS en los que debe enviar una Solicitud de firma de certificado (CSR) a una CA de confianza pública para obtener un certificado que los exploradores acepten. En ese caso, revoca su certificado poniéndose en contacto con la CA que lo emitió originalmente. Esto no se aplica a usted.

Certificados en Android / Google Play

Mi comprensión del modelo de firma de código de Android / Play Store es que usted genera una clave privada de "firma de aplicación" usando el asistente en Android Studio. Luego, Android Studio utiliza esta clave para firmar sus archivos APK, y para cargar su aplicación en Play Store, también necesita cargar su clave pública y asociarla con su cuenta de desarrollador de Play. Desde aquí hay dos modelos: A) esa clave es públicamente visible en su cuenta de Play Developer y los dispositivos de los usuarios finales verifican que la aplicación haya sido firmada por esa clave, o B) la clave generada por Android Studio se usa como " cargar clave ", y Google genera una segunda" clave de firma "en su cuenta en la nube para volver a firmar su APK con. La opción B es probablemente más segura ya que el compromiso de su computadora portátil no significa el compromiso de la clave de firma (asumiendo que las cargas maliciosas en la Play Store pueden revertirse).

Ensucaso,otrapersonatieneaccesoasuclaveprivada,porloquepuedeescribircualquiersoftwarequedeseeypublicarloconunafirmacriptográficavinculadaasuPlayDeveloperAccount(malasnoticiasparausted).

¿Quéhacer?

NoparecequeGoogletengaunmodelopara"revocar" las claves de firma de la aplicación, pero puede eliminar una clave de su cuenta de Play Developer si se comunica con el soporte. Google tiene un artículo de ayuda Administre sus claves de firma de la aplicación , y al final está :

  

Claves privadas perdidas o comprometidas

     

Si está inscrito en la firma de la aplicación Google Play, puede restablecer su clave de carga si:

     
  • Has perdido tu clave privada, o
  •   
  • Su clave privada ha sido comprometida
  •   

Nota: el restablecimiento de la clave de carga no afectará a la clave de firma de la aplicación que Google Play utiliza para volver a firmar los APK antes de entregarlos a los usuarios.

     

Restablece tu clave de carga

     
  • Paso 1: genere una nueva clave privada y cargue el certificado

  •   
  • Paso 2: póngase en contacto con nuestro equipo de soporte

  •   

Ya que necesita ponerse en contacto con el equipo de asistencia de Google de todos modos como parte de este proceso, solo me pondré en contacto con ellos de inmediato para recibir asesoramiento.

    
respondido por el Mike Ounsworth 17.01.2018 - 17:03
fuente

Lea otras preguntas en las etiquetas