Comencemos hablando de los certificados S / MIME de las autoridades públicas de certificación.
Cada CA pública con la que me he ocupado pone la dirección de correo electrónico real en el certificado y envía el enlace de confirmación a esa dirección de correo electrónico. Entonces, el propietario de ese certificado tenía acceso a esa dirección de correo electrónico al menos una vez. Esto debería darle cierta seguridad. Sí, podría ser posible interceptar el correo electrónico de confirmación y obtener el certificado ante el propietario legítimo, siempre y cuando el proceso de confirmación no requiera autenticación adicional (como un nombre de usuario y contraseña), lo que la mayoría sí requiere. También podría ser posible robar un certificado y adivinar la contraseña de desbloqueo, pero ese es un problema diferente. También debe confiar en que la CA solo emitió ese certificado a la persona adecuada. Las CA que hacen cosas sospechosas o se violan tienden a desconfiar de los clientes de correo electrónico.
Hay AC que requieren el registro en persona en un lugar seguro con la identificación adecuada. Esos certificados tienden a colocarse en tarjetas inteligentes o dispositivos similares con aplicación de hardware de contraseñas de desbloqueo y un bloqueo de autenticación fallido en el dispositivo.
- ¿Es posible iniciar sesión en una computadora sin contraseña? En caso afirmativo, ¿cuáles son los pasos?
- ¿Cuál es la forma más segura de almacenar información de contraseña en lugar de archivos de configuración?
- ¿Cuál es la mejor manera de almacenar un nombre de usuario y contraseña de iCloud en una base de datos?
- ¿Hay alguna solución para un virus ransomware?
- Cómo convertirse en un ingeniero experto en seguridad de la información
Las claves / firmas PGP son una bestia diferente. Cualquiera puede generar uno, y el destinatario tiene que confiar en que la clave realmente corresponde a la persona que cree que es. Esa confianza se establece mediante intercambios fuera de banda de identificadores de clave (es decir, por teléfono o en persona) o al hacer que personas con claves en las que confía respondan por la nueva clave. Es decir, confío en la clave que pertenece a John, dice que esta otra clave pertenece a Sally, así que confío en que la nueva clave le pertenece a Sally.