macorn
08/03/2010, 17:47
Hola,
Como veo que hay algunas dudas sobre el tema de los certificados de los Cm, me he atrevido a explicar lo que yo he podido ir averiguando sobre este tema, para intentar compreder como funciona. Si alguien ve alguna información errónea o incompleta, le animo a que por favor me corrija. Todo esto es información pública y yo solo he hecho una recopilación centrándome en el tema de los CM.
Como todos sabeis, los ISP necesitan identificar un CM cuando este se conecta a su red para saber que tipo de servicio tiene asignado (si es que tiene alguno). Una vez identificado el CM le mandan descargar el archivo de configuración correspondiente al servicio que tenga asignado. Esta identificación del CM la hace por medio de la MAC (Solo usuarios registrados pueden ver los linksón_MAC).
Cuando el ISP tiene habilitado el BPI+ , obliga a los CMTS (Solo usuarios registrados pueden ver los links) a comprobar que el CM posee además de la mac, los certificados correspondientes a esa MAC.
Los certificados usados en los CM son del tipo X509 (Solo usuarios registrados pueden ver los links), y lo que hacen es lograr una cadena de confianza hasta el certificado raíz.
De las claves y certificados que podemos encontrar en un CM, los que son importantes para identificar el CM ante el CMTS (Solo usuarios registrados pueden ver los links), son estos:
- Private RSA (Solo usuarios registrados pueden ver los links) (Parte privada de la pareja de claves RSA) Cada Cm tiene su propia pareja de claves RSA.
- Public RSA (Parte pública de la pareja de clavs RSA) Cada Cm tiene su propia pareja de claves RSA.
- Root_cert (certificado raíz de confianza) cambia si el CM es para Docsis o Eurodocsis.
- Ca_cert (Certificado de autoridad certificadora) Cambia para cada fabricante, pudiendo tener algún
fabricante más de una entidad certificadora.
- Cm_cert (Certificado del CM) Cambia para cada Cm.
Este gráfico intenta mostrar la estructura interna de un certificados de un CM y su relación con el certificado de la entidad que lo ha firmado:
Solo usuarios registrados pueden ver los links
Estudiando la relación entre los certificados vemos que lo que nos haría falta para poder crear un certificado legítimo ( bueno mejor dicho válido) sería la clave privada de la entidad certificadora.
Para conocer esta clave la única forma ( además de que alguien que la conozca la revele), sería factorizar la clave pública y según tengo entendido hoy por hoy, no es viable factorizar una clave RSA de 2048 bytes en un tiempo razonable.
Los certificados autofirmados o self signed, son unos certificados que solo firma el emisor de los mismos, tienen la misma estructura interna pero sin lograr la cadena de confianza. En la gran mayoría de los CMTS estos certificados no son válidos. Estos certificados son los que el haxorware es capaz de crear.
Aquí se puede ver un ejemplo con bytes de un certificado CA y sus áreas (sacado de la especificación CM-SP-BPI+-C01-081104 (Solo usuarios registrados pueden ver los links))
Si abrimos con editor hexadecimal cualquier certificado Ca que hayamos sacado de un CM, nos aparecerá algo parecido a esto:
Solo usuarios registrados pueden ver los links
Aquí se puede ver un ejemplo con bytes de un certificado CM y sus áreas (sacado de la especificación CM-SP-BPI+-C01-081104):
Solo usuarios registrados pueden ver los links
Como veo que hay algunas dudas sobre el tema de los certificados de los Cm, me he atrevido a explicar lo que yo he podido ir averiguando sobre este tema, para intentar compreder como funciona. Si alguien ve alguna información errónea o incompleta, le animo a que por favor me corrija. Todo esto es información pública y yo solo he hecho una recopilación centrándome en el tema de los CM.
Como todos sabeis, los ISP necesitan identificar un CM cuando este se conecta a su red para saber que tipo de servicio tiene asignado (si es que tiene alguno). Una vez identificado el CM le mandan descargar el archivo de configuración correspondiente al servicio que tenga asignado. Esta identificación del CM la hace por medio de la MAC (Solo usuarios registrados pueden ver los linksón_MAC).
Cuando el ISP tiene habilitado el BPI+ , obliga a los CMTS (Solo usuarios registrados pueden ver los links) a comprobar que el CM posee además de la mac, los certificados correspondientes a esa MAC.
Los certificados usados en los CM son del tipo X509 (Solo usuarios registrados pueden ver los links), y lo que hacen es lograr una cadena de confianza hasta el certificado raíz.
De las claves y certificados que podemos encontrar en un CM, los que son importantes para identificar el CM ante el CMTS (Solo usuarios registrados pueden ver los links), son estos:
- Private RSA (Solo usuarios registrados pueden ver los links) (Parte privada de la pareja de claves RSA) Cada Cm tiene su propia pareja de claves RSA.
- Public RSA (Parte pública de la pareja de clavs RSA) Cada Cm tiene su propia pareja de claves RSA.
- Root_cert (certificado raíz de confianza) cambia si el CM es para Docsis o Eurodocsis.
- Ca_cert (Certificado de autoridad certificadora) Cambia para cada fabricante, pudiendo tener algún
fabricante más de una entidad certificadora.
- Cm_cert (Certificado del CM) Cambia para cada Cm.
Este gráfico intenta mostrar la estructura interna de un certificados de un CM y su relación con el certificado de la entidad que lo ha firmado:
Solo usuarios registrados pueden ver los links
Estudiando la relación entre los certificados vemos que lo que nos haría falta para poder crear un certificado legítimo ( bueno mejor dicho válido) sería la clave privada de la entidad certificadora.
Para conocer esta clave la única forma ( además de que alguien que la conozca la revele), sería factorizar la clave pública y según tengo entendido hoy por hoy, no es viable factorizar una clave RSA de 2048 bytes en un tiempo razonable.
Los certificados autofirmados o self signed, son unos certificados que solo firma el emisor de los mismos, tienen la misma estructura interna pero sin lograr la cadena de confianza. En la gran mayoría de los CMTS estos certificados no son válidos. Estos certificados son los que el haxorware es capaz de crear.
Aquí se puede ver un ejemplo con bytes de un certificado CA y sus áreas (sacado de la especificación CM-SP-BPI+-C01-081104 (Solo usuarios registrados pueden ver los links))
Si abrimos con editor hexadecimal cualquier certificado Ca que hayamos sacado de un CM, nos aparecerá algo parecido a esto:
Solo usuarios registrados pueden ver los links
Aquí se puede ver un ejemplo con bytes de un certificado CM y sus áreas (sacado de la especificación CM-SP-BPI+-C01-081104):
Solo usuarios registrados pueden ver los links