El investigador tecnológico Nik Cubrilovic hizo público ayer que se encontró con una sorpresa cuando revisaba el código fuente de la nueva extensión'Axis' que la conocida empresa multinacional Yahoo! proporciona para Chrome: nada menos que el fichero del certificado privado que, como todos sabemos, en la infraestructura de clave pública o PKI nunca debe revelarse

En un anuncio enviado el Jueves, un particular que se autodenomina "Comodohacker" afirma que ha dañado la seguridad de StartCom y su competidor GlobalSign, con sede en los Estados Unidos. “Tengo TODOS los correos, backups de la base de datos y datos de clientes” de StartCom, y además añadió que tiene acceso "a todo el servidor", volcados de base de datos y configuración de sistema de GlobalSign. GlobalSign ha dejado de emitir certificados mientras investiga este hecho.

"El problema de los últimos años, es que con el advenimiento de la Guerra contra el Terror que EUA ha llevado a todo el globo terráqueo, nuevas circunstancias cambian la raíz de confianza del mecanismo descrito. El poder ejecutivo estadounidense fue facultado con instrumentos legales que años antes no poseía. Ahora dispone de medios para doblarle el brazo a las empresas u organizaciones que prestan servicios en la red. De esa manera puede demandarles que se presten para espiar las comunicaciones de cualquier individuo..."

Los investigadores Christopher Soghoian y Sid Stamm publican el borrador de un paper en el que acusan que ciertas Autoridades Certificadoras colaboran con los gobiernos, posibilitando a estos descifrar conexiones SSL/TLS

Durante el último congreso del Chaos Computer Club se ha presentado un ataque a la infraestructura de clave pública (PKI) de Internet que se encarga de expedir certificados digitales para sitios web seguros. Como prueba de concepto crearon una Autoridad de Certificación (CA) confiable por la mayoría de los navegadores. Este certificado les permite suplantar cualquier página web, incluyendo bancos y tiendas que usen HTTPS.El ataque se apoya en las ya conocidas vulnerabilidades de MD5.

Un grupo de investigadores ha concluido un estudio dónde se pueden encontrar graves vulnerabilidades en la validación de los navegadores qué utilizan certificación segura mediante SSL/HTTPS. No és irrelevante, puesto que afecta a toda la seguridad de los internautas. Relacionada -> phreedom.org/research/rogue-ca/md5-collisions-1.0.ppt

El proceso de petición de certificados digitales de la FNMT, configura por defecto un nivel de seguridad en las claves privadas que permite "robarlas" sin intervención del usuario

Interesante solucion de autenticacion y portabilidad de certificados digitales, una solucion ideal para evitar los problemas de robo de identidades, antiphishing y antipharming

TrustedX es una plataforma de confianza que, mediante el uso de web services, permite facilitar la integración de los mecanismos de seguridad en los procesos de negocio y cómo simplificar la gestión de las políticas de seguridad en la empresa.

Creado por Phil Zimmermann, Pretty Good Privacy fijó el estándar de la tecnología accesible y segura para proteger y compartir información en la Red y ha sido implementado hasta en las comunicaciones de VoIP (zfoneproject.com/). En inglés. (En castellano podemos leer el artículo de la Wikipedia es.wikipedia.org/wiki/Pretty_Good_Privacy)

Interesantísimo artículo de Fernando Acero en Kriptópolis donde se demuestra que el sistema empleado por la Fábrica Nacional de Moneda y Timbre para implementar el sistema de firma electrónica en España no ofrece ninguna de las garantías que se le deberían suponer "a priori" a este tipo de sistemas.