Proteger el almacén de claves Java con una contraseña débil, ¿cuál es el riesgo?

7

A mi entender, el almacén de claves de Java contiene información de certificados, pero esta información es pública (es decir, otros certificados de máquinas en los que desea que confíe la máquina local).

¿Hay algo más aparte de esto que me estoy perdiendo? ¿Cuál sería el riesgo de proteger el almacén de claves con una contraseña débil?

Actualizar

Acabo de darme cuenta de que podría estar refiriéndome al almacén de confianza en esta pregunta. Al parecer, el almacén de claves también incluye claves privadas. Si puede confirmar esto, entonces puedo ver fácilmente cuál sería el problema de usar una contraseña débil para protegerla.

    
pregunta user1301428 02.07.2014 - 10:49
fuente

3 respuestas

3
  

el almacén de claves de Java contiene información de certificado

Para ser más precisos, contiene claves públicas o pares de claves. (clave pública y privada). El almacén de claves está protegido por una contraseña y cada clave privada también están protegidas por una contraseña. Sin embargo, usted puede cambiar o eliminar contraseñas. Tu decides. Un almacén de claves de Java es como un almacén de claves separado de un navegador web, es decir,

Mozilla -> Edit -> Preferences -> Advanced -> Certificates,
Chrome -> Settings -> Advanced Settings -> HTTPS/SSL

Un administrador de certificados de tales gestiona sus certificados, las claves públicas de las personas, los certificados del servidor o de la Autoridad de certificación que también son claves públicas. Se almacenan en el almacén de claves de un navegador.

  

pero esta información es pública (es decir, otros certificados de máquina que   quieres que la máquina local confíe)

Las claves públicas son solo claves que no necesitan ninguna protección, son las claves publicas Las claves privadas no son públicas y están protegidas por una contraseña.

Usted decide cuándo usar las llaves y cuando las roban no es fácil extraer información de. Por lo tanto, un almacén de claves es un complemento de seguridad.

Pero generalmente habla sobre el nivel de confianza, o Métricas de confianza .

Para hacer esto necesita saber, que las claves privadas pueden teóricamente También se adivina, por lo que su seguridad no es del 100%. Una supercomputadora de hoy listada en Top500 Supercomputer Sites con 33,862.7 Tera Flops / s podría restringir su clave privada. En teoría, su computadora / computadora portátil puede ser robada o su almacén de claves puede ser robado y sus contraseñas pueden ser leídas por un trojan .

Terminará preguntando qué tan alto es el riesgo de que mi almacén de claves sea robado y desencriptado y qué puedo hacer para evitarlo. Esto también suele ser una cuestión de esfuerzo y precio.

Si su riesgo es alto, entonces necesita almacenar su almacén de claves en un disco separado (es decir, un dispositivo de memoria), usar contraseñas complejas largas y usar una máquina protegida especial para conectarse.     

respondido por el user36486 13.07.2014 - 18:46
fuente
4

Si está hablando sobre el almacén de confianza, el riesgo no es que alguien vea o robe los certificados en el almacén de confianza. El riesgo es que alguien agregue un certificado en la tienda en el que no desea confiar. La tienda debe estar protegida primero por los permisos del sistema operativo. La contraseña es una protección adicional.

    
respondido por el user93353 02.07.2014 - 11:44
fuente
1

Creo que es importante tener una contraseña segura cuando se mantiene una cadena de certificados en el almacén de claves para realizar una autenticación del lado del cliente. Algunos servidores, es decir: los servidores bancarios necesitan la autenticación del cliente para establecer una conexión confiable: "compruebe que usted es el cliente que creo que es". Querrá colocar estos certificados en el almacén de claves para que otras aplicaciones no puedan obtenerlos. Estoy pensando en términos de una plataforma móvil como Android, por ejemplo. Pero corrígeme si me equivoco.

Los certificados públicos generalmente no se almacenan en almacenes de claves, según mi experiencia.

Espero que sea de ayuda.

    
respondido por el 4oxer 02.07.2014 - 11:22
fuente

Lea otras preguntas en las etiquetas