Manuales y cursos : Netscape Communicator 4 :

Segurdad en el Navigator

La seguridad de nuestro navegador es importante, de cara a utilizar determinados servicios que Internet pone a nuestra disposición y que están cobrando gran importancia (comprar en una tienda virtual, realizar operaciones bancarias, descargar software, ...). En esta página se responde a algunas cuestiones habituales relacionadas con la seguridad del Communicator.

1. ¿Usa mi navegdor criptografía fuerte?
2. ¿Son seguras las transacciones que utilizan el protocolo SSL?
3. He olvidado la palabra de paso de la base de datos de certificados

1. ¿Usa mi navegador criptografía fuerte?

Como es sabido, el gobierno de los Estados Unidos pone limitaciones a la exportación de productos criptográficos. Estas limitaciones implican que las versiones legales de los navegadores de Netsacpe y Microsoft distribuidas en Europa utilicen claves de cifrado simétrico de 40 bits (en lugar de utilizar claves largas, de 128 o 256 bits, más seguras).

Con la potencia de cálculo adecuada (al alcance ya de grandes organizaciones), se ha demostrado que claves DES de 40 bits pueden romperse en cuestión de días. Por ello, para aplicaciones financieras y determinados organismos públicos, las limitaciones de exportación se han relajado, de modo que los servidores estas organizaciones pueden utilizar criptografía fuerte.

Las versiones 4.x de los navegadores de Netscape y Microsoft soportan la utilización de claves de 128 bits, pero estas funcionalidades están bloquedas, y sólo se activan cuando se realiza una comunicación SSL con un servidor que esté aprobado por el programa Verisign Global Server para ofrecer internacionalmente servicios Web con criptografía fuerte.

En cualquier otro caso los navegadores utilizan criptografía de débil (con claves de 40 bits) aunque el servidor haya sido desarrollado fuera de los Estados Unidos y soporte cirptografía fuerte (por ejemplo, Apache-SSL).

Se puede encontrar más información sobre este tema en la siguiente URL (en inglés): http://www.fortify.net (esta empresa distribuye un plug-in para dar soporte de criptografía fuerte a los navegadores de Netscape y Microsoft).

2. ¿Son seguras las transacciones que utilizan el protocolo SSL?

El protocolo SSL (Secure Sockets Layer) fue creado por Netscape en 1994 e incorporado en la primera versión del Navigator, para dotar de seguridad las comunicaciones TCP/IP. La versión 3 de este protocolo es la más utilizada en la actualidad (Navigator 3.0 o superior e Internet Explorer 3.0 o superior), dotando a los navegadores de mecanismos para garantizar:

• Confidencialidad: la información viaja cifrada (incluyendo los contenidos de los formularios, las cookies y las propias cabeceras HTTP).
• Integridad: si por el camino se produce una modificación de la información, el sistema es capaz de detectarlo.
• Autenticación de servidores (y opcionalmente, de clientes): los servidores poseen certificados digitales emitidos por una Autoridad de Certificación que garantiza que pertenecen a la organización o entidad a la que representan.

Sin embargo, existen algunos aspectos que todavía deben mejorarse:

1. Debido a las leyes de exportación del govierno americano, el software desarrollado en Estados Unidos y exportado a paises extranjeros sólo puede utilizar criptografía débil. Vea el punto ¿Usa mi navegador criptografía fuerte?
2. Para que la información de un formulario viaje cifrada con SSL, la URL del tag ACTION debe comenzar con https://... (esto le indica al navegador que utilice el protocolo HTTP sobre SSL). Un usuario rellena un formulario de una página recibida utilizando el protocolo SSL pensando que es segura. Sin embargo, cuando realiza el submit del formulario, puede estar enviando sus datos en claro.
3. Y después de enviar nuestros datos... ¿qué pasa con ellos? El protocolo SSL asegura el canal de comunicación, pero cuando los datos sean recibidos por el servidor (y probablemente almacenados en una base de datos) están expuestos a múltiples ataques, y su seguridad depende ya de los medios de seguridad que incorpore el servidor.

3. He olvidado la palabra de paso de la base de datos de certificados

El Communicator almacena los certificados digitales en un base de datos, protegida por una palabra de paso que puede establecer el usuario. Si el usuario olvida este password, no puede utilizar su clave privada, lo que impide que pueda firmar mensajes y descifrar los mensajes que reciba encriptados.

Como solución parcial al problema, es posible modificar la configuración del Communicator para que NO solicite la palabra de paso de la base de datos de certificados. Para ello, deben seguirse los siguientes pasos:

1. Cerrar todas las instancias del Communicator que estén abiertas.
2. Renombrar el fichero key3.db del perfil del usuario en cuestión a key3.old.
3. Al reiniciar el Communicator, podrá accederse a la base de datos de certificados sin suministrar un password.

Nota: debe observarse el riesgo que supone dar la posibilidad de utilizar una clave privada sin suministrar palabra de paso. También hay que observar que si la máquina de un usuario está accesible, la operación descrita anteriormente puede ser realizada por terceras personas para utilizar las claves del usuario real.

Más información en http://www.thawte.com/personal/navigator.html.