¿Cuáles son los beneficios e inconvenientes del elemento HTML5 Keygen?

9

A partir de enero de 2013, ¿cuáles son los posibles beneficios e inconvenientes del elemento HTML5 Keygen?

    
pregunta random65537 13.01.2013 - 16:08
fuente

1 respuesta

12

Pros

  • Puede mejorar la seguridad al autenticar (además de un dispositivo multifactor)

  • Si se usa como un "certificado de cliente", puede hacer que los ataques MITM sean mucho más difíciles

  • La etiqueta Keygen se implementa en la mayoría de los navegadores que no son IE, lo que hace que sea muy fácil de implementar

  • Funciona independientemente del permiso del administrador. Con IE, los controles ActiveX se pueden desactivar y las configuraciones de IE y del navegador pueden hacer que la generación de claves sea imposible en sistemas con un control estricto. En esta situación, el Keygen actual en los navegadores que no son IE a menudo es el único método sin errores para generar y utilizar certificados de cliente

Contras & Deficiencias

  • Los certificados no son fácilmente transportables entre sistemas (para algunos, esto es un "pro")

  • La clave privada no se almacena en una ubicación estándar

  • La UI es confuso y difícil de entender

  • Requiere que el usuario seleccione la longitud de clave adecuada de una lista. La mayoría de los usuarios no están equipados para tomar esta decisión.

  • Mala experiencia del usuario cuando se le pide al usuario que descargue el certificado. Un mejor enfoque tendría la presentación de claves y la respuesta del certificado integradas en el mismo control. ( posible solución también esta en SO )

  • <keygen> no proporciona un mecanismo para administrar la caducidad de certificados

  • No se ha implementado hash de longitud de clave estándar o hash en los navegadores

  • Falta el soporte de algoritmo

    (RSA, DSA, ECC, etc.)

  • La selección del tamaño de clave debe provenir del formulario, no seleccionable por el usuario.

  • La firma se basa en MD5 ( que puede ser mitigada por un desafío basado en el tiempo )

  • Falta el indicador de keygen no exportable

  • Falta el indicador de keygen protegido por hardware

  • Falta la protección de contraseña

  • El certificado está limitado a aplicaciones basadas en RSA

  • El formulario HTML podría modificarse localmente y la seguridad de la generación de claves se reducirá en consecuencia / a>

  • Si se inscribe en un Microsoft Certificate Server, el único CertType compatible es "server" a través de API DCOM

  • El formato utilizado por no es estándar y solo proporciona un subconjunto de protocolos ya establecidos como PKCS10 , < a href="http://tools.ietf.org/html/rfc5272"> CMC , y CRMF . Esto evita que se admitan certificados no basados en RSA, extensiones para información adicional del cliente y custodia de claves

  • No se admite en IE debido a una mejor compatibilidad con CertEnroll y el problemas descritos aquí

respondido por el random65537 13.01.2013 - 16:08
fuente

Lea otras preguntas en las etiquetas