En el reciente problema del certificado raíz de Dell (consulte enlace ), la clave privada fue incluida con el certificado. Esto es desconcertante para mí, y tengo problemas para creer que un "error" se pueda cometer en un entorno de desarrollo estructurado.
¿Hay algún motivo válido para incluir una clave privada en un certificado raíz?
Necesita la clave privada de un certificado de CA si desea firmar otro certificado. Este es el caso de los servidores proxy de intercepción de SSL, como lo ofrecen varios productos antivirus y también el infame Superfish software de inyección de anuncios.
El problema principal es si un atacante puede recuperar fácilmente la clave privada para que pueda ser utilizada (junto con el certificado) dentro de un hombre en el ataque central. Este suele ser el caso si se utiliza el mismo certificado y la clave en varias instalaciones del mismo software, como lo hizo Superfish. Los productos antivirus de intercepción SSL en lugar de eso, crean un certificado y una clave únicos para cada instalación y, por lo tanto, no se ven afectados por el problema.
También necesita la clave privada si el certificado debe usarse para la autenticación del cliente, es decir, si la computadora debe identificarse de forma segura dentro de las conexiones TLS / HTTPS. Pero en este caso, por lo general, solo tiene un certificado de hoja que no se puede utilizar para emitir nuevos certificados. Al contrario de eso, los certificados utilizados en los certificados de Superfish y eDellRoot son certificados de CA, es decir, se pueden usar para emitir nuevos certificados y, por lo tanto, se pueden usar para ataques de personas en el medio.
Según esta página:
En algunos casos, es posible que desee exportar un certificado con su cuenta privada. clave para almacenar en medios extraíbles o para usar en una computadora diferente.
En lo que respecta a Dell, diría que lo hicieron por accidente.
Realmente no entiendo la gran idea detrás de esto, pero parece que los servicios de la Fundación Dell ejecutan un servidor HTTP localmente. Y cuando consulta ese servidor (a través de una JSON-API ) responderá con la "Etiqueta de servicio" de la computadora. (Que es un identificador único / número de serie para el hardware de Dell).
Y publicación en el blog del grupo hacker Lizard Squad (archivado aquí ) continúa:
Dell Foundation Services inicia un HTTPd que escucha en el puerto 7779. En general, las solicitudes a la API expuesta por este HTTPd deben ser solicitudes firmadas con una clave RSA-1024 y escritas con SHA512.
Por eso necesita un par pubkey / privkey. (Creo .) Pero esto no explica en absoluto, por qué necesitaría almacenar ese par como CA, de todas las cosas. Nuestra razón por la que tendría que almacenarlo en el administrador de certificados de Windows en absoluto.
Apreciaría más explicaciones.
Lea otras preguntas en las etiquetas certificates man-in-the-middle rootkits