Bookmarklet para formularios web para firma electrónica

Nivel: avanzado

Lugar: Salón 4

Día: 24-05-04

Horario: 12:00pm - 2:00pm

Descripción

Algo que muy pocos parecen haber notado es que al momento colocar la llave privada (y su contraseña) en un formulario web, la llave privada queda comprometida. No hay garntía de que la llave privada no será enviada al servidor y quede al alcance de personas no autorizadas como el webmaster, el sysadmín....
Se intenta aprovechar el DOM (utilizando Javascript) para modificar la estructura (y comportamiento) de los formularios de la página, de forma que los algoritmos que requieren nuestra llave privada los podamos correr fuera del navegador y solo poner el resultado.
Ejercicios:
  • Análisis del HTML donde está el formulario para firma electrónica
  • Obtención de los scripts con los algoritmos para la firma electrónica
  • Descubrimiento de variables (y sus valores) en las etapas del proceso de firma
  • Localización del reto criptográfico en los formularios
  • Identificación del algoritmo utilizado para la firma
  • Identificación de los parámetros de OpenSSL para la línea de comando
  • Reemplazo de los campos para el certificado, llave privada y contraseña por un input que contenga la cadena original
  • Agregar un párrafo con instrucciones para el firmado desde la línea de comando
  • Reemplazo del campo escondido del formulario por una textarea para pegar ahí la firma resultante
  • Colocar todo en un bookmarklet


Requerimientos

Llevar su propia FIEL, tener instalado el comando openssl

Semblanza

QFB de la Universidad La Salle.
Programador desde 1985.
Dedicado completamente a Linux y el Software Libre desde 1997.
Actualmente es director de tecnología de 1101 (once cero uno), compañía 100% mexicana que ayuda a organizaciones medianas y grandes con el despliegue y estabilización de su infraestructura de nube híbrida y privada.
También colabora con INFOTEC en la incorporación de distintas tecnologías del Software Libre para procesos productivos de la Administración Pública Federal.
Fue director de tecnología en el Sistema Internet de la Presidencia de la República entre 2001 y 2003
Desarrollador del modelo de seguridad por virtualización entre 2003 y 2017, basado en Linux-vserver y GR Security.
Desde 2001 ha impartido conferencias sobre software libre en distintas ciudades de México.

Ponente

Sandino Araico Sánchez

1101