[mw] Antenas y certificados para NoCat

Alberto Zamorano Sáiz zeta en inicia.es
Vie Feb 8 11:45:38 CET 2002 

El problema que comentabamos en la reunión de ayer radica en el sistema
de autenticación de NoCatAuth (que por el momento es el sistema de
autenticación propuesto), qué podéis ver en
http://nocat.net/nocatrfc.txt.
Según éste esquema, todo aquel cliente que requiera uno de los dos
accesos con privilegios (denominados Co-op y Owner, para el Public no
hace falta autenticación), debe realizar la autenticación a través de
https lanzando una peticion "https post" contra el Sistema de
Autenticación. Por lo tanto, los clientes deben confiar en éste Sistema
de Autenticación, lo que se traduce en confiar en su certificado.
Cómo sabemos, hay dos formas en que nuestros navegadores confian en un
certificado. O bien ese certificado está firmado por una CA cuyo
certificado se encuentrá por defecto en los navegadores (empresas como
Verisign o Baltimore) o bien nosotros tenemos que añadir
*explicitamente* éste certificado a nuestro navegador. Si no lo hacemos
asi, cada vez que nos conectemos por https al sistema de autenticación
nos aparecerá el mensajito de que "el navegador ha detectado un
certificado, pero no confia en dicho certificado".
Hasta aquí tampoco parece que hubiese demasiado problema. Si nosotros en
madridwireless montamos una CA, que emita el certificado que usa el
Sistema de Autenticación, pues hacemos que todos los cientes se
descarguen el certificado de nuestra CA (nosotros confiamos en esa CA,
aunque el resto del mundo no lo haga), y así, cada vez que un cliente
tira contra el sistema de autenticación, como en nuestro navegador ya
está dicho certificado de CA, pues nuestro navegador no se queja y "en
principio" todo es seguro.
Donde está el problema que planteaba ed0 en la reunión de ayer... pues
ese problema se encuentra en otros dispositivos como PDAs, en las cuales
no pueda ser tan sencillo añadir un certificado de CA. Según comentaba,
en éstos dispositivos, los certificados vienen en el firmware, y no
pueden ser añadidos. Esto trae consigo, que si no tenemos un certificado
firmado por una de las mega-hiper-caras empresas, pues no se podría
añadir nuestro certificado de CA al dispositivo pda. Y éste, no podría
confiar en el certificado del servidor de autenticación. De ahí, señala
ed0 la posibilidad de pedir a una de éstas empresas algún certificado,
digamos para uso interno, un certificado que nunca tendrá validez en
internet, sólo en nuestra red. 
Habría que investigar el tema de los certificados en las PDAs, pero yo
soy tambien partidario de que montemos nuestra propia CA. El acceso por
PDA autenticandonos como usuarios privilegiados para acceso a Internet
es un caso muy concreto, y que en principio no debe ser uno de los
objetivos de la red wireless. Veo mucho más interesante tener nuestra
propia CA, emitir certificados tanto para nodos, como para
administradores de esos nodos, como para clientes, pudiendo realizar
entre nosotros acciones de htts, emails firmados, etc... Vamos, todas
las posibilidades que nos ofrece el esquema de clave pública.
Bueno, pido perdón por la parrafada. 
Un saludo,
Zeta  

- 

El vie, 08-02-2002 a las 08:39, David González escribió:
> ed0 wrote:
> 
> > La duda que planteaba es si alguien conoce una
> > CA cuyo certificado venga incluido en los navegadores habituales y que emita
> > certificados gratuitos contra dominios privados (por ejemplo
> > www.nodo87.madridwireless.es.pri). Este es un tema casi anecdótico y
> > pensando quizás en un futuro _cercano_, pero si alguien sabe algo del tema
> > estaría bien que lo comentara.
> 
> Pero para usar los certificados hay que tener conexión permanente a Internet. Yo
> no puedo decir nada porque no sé cómo lo lleváis localmente. A lo mejor, en las
> reuniones comentáis que por cojones la gente tiene que dar acceso a Internet.
> 
> Yo veo esto como unas redes de área metropolitana y el acceso a Internet es algo
> anecdótico o accidental. Por eso estoy de acuerdo con deal en que los CA se
> deberían gestionar internamente. Como casi todo.
> 
> Saludos.
> --
> David González: braben en teleline.es
> Clave pública: http://www.terra.es/personal5/braben/pgp-sign.asc
> http://www.zaragozawireless.org
> Por favor, escriba sus mensajes de correo sin formato (HTML).
> 
> 
> _______________________________________________
> madridwireless mailing list
> madridwireless en sindominio.net
> http://sindominio.net/cgi-bin/mailman/listinfo/madridwireless

Más información sobre la lista de distribución madridwireless