Nel recente problema del certificato radice di Dell (vedi link ), la chiave privata era inclusa nel certificato. Questo è sconcertante per me, e ho difficoltà a credere che un simile "errore" potrebbe essere fatto in un ambiente di sviluppo strutturato.
C'è un motivo valido per includere una chiave privata in un certificato di origine?
È necessaria la chiave privata di un certificato CA se si desidera firmare un altro certificato. Questo è il caso con i proxy di intercettazione SSL come forniscono vari prodotti antivirus e anche il famigerato Superfish software di iniezione pubblicitaria.
Il problema principale è se la chiave privata è facilmente recuperabile da un utente malintenzionato in modo che possa essere utilizzata (insieme al certificato) all'interno di un uomo nell'attacco centrale. Questo è in genere il caso se lo stesso certificato e la stessa chiave vengono utilizzati su più installazioni dello stesso software, come fatto da Superfish. Intercettazione SSL I prodotti antivirus invece creano un certificato e una chiave univoci per ogni installazione e quindi non sono influenzati dal problema.
È necessaria anche la chiave privata se il certificato deve essere utilizzato per l'autenticazione del client, ad esempio se il computer deve identificarsi in modo sicuro all'interno delle connessioni TLS / HTTPS. Ma in questo caso di solito hai solo un certificato foglia che non può essere utilizzato per emettere nuovi certificati. Contrariamente a ciò, i certificati utilizzati nel certificato Superfish e eDellRoot sono certificati CA, cioè possono essere utilizzati per emettere nuovi certificati e quindi possono essere utilizzati per gli attacchi man in the middle.
Come per questa pagina:
In some cases, you may want to export a certificate with its private key to store on removable media or to use on a different computer.
Riguardo a Dell, direi che l'hanno fatto per sbaglio.
Non capisco davvero la grande idea che sta dietro, ma sembra che Dell Foundation Services esegua localmente un server HTTP. E quando interroghi quel server (tramite una JSON-API ) risponderai con il "Service Tag" del computer. (Che è un identificativo univoco / numero di serie per l'hardware Dell.)
E post del blog dal gruppo di hacker Lizard Squad (archiviato qui ) continua:
Dell Foundation Services starts a HTTPd that listens on port 7779. Generally, requests to the API exposed by this HTTPd must be requests signed using a RSA-1024 key and hashed with SHA512.
Ecco perché hai bisogno di una coppia pubkey / privkey. (I pensa .) Ma questo non spiega affatto, perché è necessario archiviare quella coppia come CA, di tutte le cose. Il nostro motivo per cui dovresti memorizzarlo nel gestore certificati di Windows.
Apprezzerei ulteriori spiegazioni.
Leggi altre domande sui tag certificates man-in-the-middle rootkits