#9:
Aún hay algo más que debería incluir el artículo.
¿Qué pasa cuando borras un certificado digital de un equipo Windows?
La propia web de Microsoft admite que cuando borras un certificado digital su clave privada no se borra.
Queda en el directorio de appdata pero ya no aparece en la lista porque no está la parte pública.
Otro punto interesante es ¿Cómo de exportable es un certificado no exportable?
En los sistemas de Microsoft, hay un flag que determina si un certificado es exportable. Para saltarse ese flag es tan fácil como cargar una DLL intermedia en el entorno de usuario que se salte la comprobación de ese flag, y Windows te dejará exportar la clave privada.
De manera que tras borrar un certificado, puedes llegar a exportar la clave privada aún siendo no exportable, luego sólo hay que incorporar la parte pública y ya tienes el certificado completo.
Pero sobre esto hay muchos más problemas asociados.
Por ejemplo, un programa corriendo en entorno de usuarios puede hacer hijacking de sesión criptográfica del CSP de otro proceso (esto ha cambiado en las últimas versiones de Windows) y por tanto hacer uso ilegítimo de un certificado.
Pero PKCS11 tampoco es mejor en ese sentido...
Todo un mundo esto de los certificados.
#13:
#3 Yo pienso que está bien que además de noticias, publicar how-tos técnicos que puedan ser de interés y si además llegan a portada, mejor, así hay más difusión.
¿Qué pasa cuando borras un certificado digital de un equipo Windows?
La propia web de Microsoft admite que cuando borras un certificado digital su clave privada no se borra.
Queda en el directorio de appdata pero ya no aparece en la lista porque no está la parte pública.
Otro punto interesante es ¿Cómo de exportable es un certificado no exportable?
En los sistemas de Microsoft, hay un flag que determina si un certificado es exportable. Para saltarse ese flag es tan fácil como cargar una DLL intermedia en el entorno de usuario que se salte la comprobación de ese flag, y Windows te dejará exportar la clave privada.
De manera que tras borrar un certificado, puedes llegar a exportar la clave privada aún siendo no exportable, luego sólo hay que incorporar la parte pública y ya tienes el certificado completo.
Pero sobre esto hay muchos más problemas asociados.
Por ejemplo, un programa corriendo en entorno de usuarios puede hacer hijacking de sesión criptográfica del CSP de otro proceso (esto ha cambiado en las últimas versiones de Windows) y por tanto hacer uso ilegítimo de un certificado.
#18 Correcto. La idea es crear una "cuenta de servicio" de Windows y después hacer funcionar cierta aplicación o cierto site web con esta cuenta de servicio. La idea es aportar cierta seguridad extra aislando la aplicación a los derechos de una cuenta de servicio, que por defecto son limitados. Ahora volviendo al mundo de los certificados, puedes asignar un certificado solo a las cuentas de servicio.
#3 Yo pienso que está bien que además de noticias, publicar how-tos técnicos que puedan ser de interés y si además llegan a portada, mejor, así hay más difusión.
#3 porque estoy hasta las pelotas de noticias políticas, las cuales nuestra opinión sea cual sea es totalmente irrelevante en la vida real. Lo que se diga a favor o en contra vale cero para cualquier político.
#14 Vi la imagen, pero no es muy explicativa que digamos.
¿Solo es accesible vía servicio? ¿Qué quiere decir eso?
¿Algún ejemplo práctico?
Lo único que se me ocurre es que sea para almacenar los certificados de un servidor web o algo así...
Comentarios
En la casa de un hacker ruso.
Aún hay algo más que debería incluir el artículo.
¿Qué pasa cuando borras un certificado digital de un equipo Windows?
La propia web de Microsoft admite que cuando borras un certificado digital su clave privada no se borra.
Queda en el directorio de appdata pero ya no aparece en la lista porque no está la parte pública.
Otro punto interesante es ¿Cómo de exportable es un certificado no exportable?
En los sistemas de Microsoft, hay un flag que determina si un certificado es exportable. Para saltarse ese flag es tan fácil como cargar una DLL intermedia en el entorno de usuario que se salte la comprobación de ese flag, y Windows te dejará exportar la clave privada.
De manera que tras borrar un certificado, puedes llegar a exportar la clave privada aún siendo no exportable, luego sólo hay que incorporar la parte pública y ya tienes el certificado completo.
Pero sobre esto hay muchos más problemas asociados.
Por ejemplo, un programa corriendo en entorno de usuarios puede hacer hijacking de sesión criptográfica del CSP de otro proceso (esto ha cambiado en las últimas versiones de Windows) y por tanto hacer uso ilegítimo de un certificado.
Pero PKCS11 tampoco es mejor en ese sentido...
Todo un mundo esto de los certificados.
#9 Todo lo que dices, lo veo muy interesante y útil. 👍 👍
Podrías poner un comentario en el post del autor y así todos los que lo visiten que no sean vía meneame, podrían aprovechar la información.
#9 ¿Pero tú no eras el tipo aquél que no sabía escribir español?
#16 le devolveré la cuenta a su legítimo dueño cuando acabe el procés.
#17 Alguien dijo por aquí hace poco que los trolls más activos eran los sysadmins nerds. Empiezo a pensar algo similar al respecto...
#20 sysadmin?
No me acerco al hierro desde hace décadas.
#18 Correcto. La idea es crear una "cuenta de servicio" de Windows y después hacer funcionar cierta aplicación o cierto site web con esta cuenta de servicio. La idea es aportar cierta seguridad extra aislando la aplicación a los derechos de una cuenta de servicio, que por defecto son limitados. Ahora volviendo al mundo de los certificados, puedes asignar un certificado solo a las cuentas de servicio.
Aquí tienes mas info de cómo crear las cuentas de servicio, etc: https://technet.microsoft.com/en-us/library/810e6d22-fb4c-4d0b-9649-1892d1942e03
Excelente articulo, este es el año de Windows en tu escritorio.
se puede acceder al registro desde MS-DOS ?
#6 https://norfipc.com/comandos/comandos-batch-modificar-registro.html
Puede alguien explicarle a un inculto como yo por qué esta noticia es portada? Desde el respecto, sorry
#3 Así era menéame hace 11 años.
#4, pues visto así Menéame va a mejor
#3 Quizás es por que lo han enviado al sub de tecnología y ahí ha recogido karma suficiente para llegar a la portada.
#3 Porque en teoría Menéame ed un sitio colaborativo de noticias tecnológicas, es decir, de informática. Aunque eso cada vez es menos frecuente.
#3 Yo pienso que está bien que además de noticias, publicar how-tos técnicos que puedan ser de interés y si además llegan a portada, mejor, así hay más difusión.
#3 porque estoy hasta las pelotas de noticias políticas, las cuales nuestra opinión sea cual sea es totalmente irrelevante en la vida real. Lo que se diga a favor o en contra vale cero para cualquier político.
No entiendo la utilidad de los certificados "A nivel de servicio"...
#8 el 90% de las veces que se usa la expresión "a nivel de" se usa mal.
Esto lo sabe el 30% de la gente.
#8 "A nivel de servicio" es cuando instalas un certificado y solo es accesible vía un servicio de Windows.
De hecho, cuando creas una MMC de certificados (primera imagen de post), aparece: cuenta de usuario, cuenta de equipo o cuenta de servicio.
#14 Vi la imagen, pero no es muy explicativa que digamos.
¿Solo es accesible vía servicio? ¿Qué quiere decir eso?
¿Algún ejemplo práctico?
Lo único que se me ocurre es que sea para almacenar los certificados de un servidor web o algo así...