-
Informacion general sobre certificados
Hola,
Como veo que hay algunas dudas sobre el tema de los certificados de los Cm, me he atrevido a explicar lo que yo he podido ir averiguando sobre este tema, para intentar compreder como funciona. Si alguien ve alguna información errónea o incompleta, le animo a que por favor me corrija. Todo esto es información pública y yo solo he hecho una recopilación centrándome en el tema de los CM.
Como todos sabeis, los ISP necesitan identificar un CM cuando este se conecta a su red para saber que tipo de servicio tiene asignado (si es que tiene alguno). Una vez identificado el CM le mandan descargar el archivo de configuración correspondiente al servicio que tenga asignado. Esta identificación del CM la hace por medio de la .
Cuando el ISP tiene habilitado el BPI+ , obliga a los a comprobar que el CM posee además de la mac, los certificados correspondientes a esa MAC.
Los certificados usados en los CM son del tipo , y lo que hacen es lograr una cadena de confianza hasta el certificado raíz.
De las claves y certificados que podemos encontrar en un CM, los que son importantes para identificar el CM ante el , son estos:
- Private (Parte privada de la pareja de claves RSA) Cada Cm tiene su propia pareja de claves RSA.
- Public RSA (Parte pública de la pareja de clavs RSA) Cada Cm tiene su propia pareja de claves RSA.
- Root_cert (certificado raíz de confianza) cambia si el CM es para Docsis o Eurodocsis.
- Ca_cert (Certificado de autoridad certificadora) Cambia para cada fabricante, pudiendo tener algún
fabricante más de una entidad certificadora.
- Cm_cert (Certificado del CM) Cambia para cada Cm.
Este gráfico intenta mostrar la estructura interna de un certificados de un CM y su relación con el certificado de la entidad que lo ha firmado:
Estudiando la relación entre los certificados vemos que lo que nos haría falta para poder crear un certificado legítimo ( bueno mejor dicho válido) sería la clave privada de la entidad certificadora.
Para conocer esta clave la única forma ( además de que alguien que la conozca la revele), sería factorizar la clave pública y según tengo entendido hoy por hoy, no es viable factorizar una clave RSA de 2048 bytes en un tiempo razonable.
Los certificados autofirmados o self signed, son unos certificados que solo firma el emisor de los mismos, tienen la misma estructura interna pero sin lograr la cadena de confianza. En la gran mayoría de los CMTS estos certificados no son válidos. Estos certificados son los que el haxorware es capaz de crear.
Aquí se puede ver un ejemplo con bytes de un certificado CA y sus áreas (sacado de la )
Si abrimos con editor hexadecimal cualquier certificado Ca que hayamos sacado de un CM, nos aparecerá algo parecido a esto:
Aquí se puede ver un ejemplo con bytes de un certificado CM y sus áreas (sacado de la especificación CM-SP-BPI+-C01-081104):
-
Gracias / Me Gusta - 26 Gracias, 1 Me Gusta, 0 Me Disgusta
elbarto,
Siryu24,
marcosss88,
chubbychub,
el2chueco,
castellonero,
Airle,
cmf,
greveimmortal,
grpc22,
jagus,
vshica,
glaciarsv,
vikosolis,
rhas,
fantasma1,
jako-pr,
geobaja,
nicaISA,
Juniior Lorraine,
chalemon,
gerabesck,
dnhacker,
morcego.chacal,
misaji,
phrsh agradecido(s) por este post
-
Muchas , está interesante. ¿Sabe en qué momento del inicio del modem se hace la certificación? Usted dice: "Esta identificación del CM la hace por medio de la MAC." preguno: ¿Cuál MAC? Lo digo por que una cablera aquí hizo unos cambios y estoy tratando de averiguar qué cosas verifican.
Última edición por el2chueco; 25/04/2010 a las 07:08
-
Hola,
El proceso que lleva a cabo la comprobación de claves y certificados es el bpi y normalmente es lo último que se hace antes de que el CMTS registre el CM.
La mac que comprueban es la que manda el CM en el paquete "dhcp discover", o sea la hfcmac que es para la que esta hecho el certificado del CM.
Última edición por macorn; 25/04/2010 a las 07:22
-
Gracias por la respuesta, no se si pueda ayudarme, soy bastante novato en esto y trato de descifrar que parte del certificado cambio la cablera aquí y por qué ahora no me puedo conectar, si le interesa ayudarme puede leer este post: , para ver que cosas son probables que haya cambiado la cablera, de antemano.
-
Hola brothers, tengo mediana experiencia o poca en esto... mi CM es un 5100 y ya me fabrique mi cable blackcat e hice copias de mi firmware original... mi CM esta legal, asi que mi m@c es valida ...ahora dep[ues de haber leido durante mas de 15 dias de todo, estoy algo confundido... que hago ahora?... instalo el firmware 5100mod? o el sigmax2?... luego de eso que sigue?... necesito cambiar la m@c o puedo ponerle un cert de una velocidad mas alta sin cambiar mi m@c original? ... por favor agradecere su orientacion... ....
-
En lo personal, te recomiendo mas el 5100MOD, el sigma tiene backdoors, puede ser detectado casi por cualquier cablera y es ligeramente menos configurable aunque no por eso es un mal firm.
Yo no existo... Yo Soy
Piensa oh patria, querida, que el cie_elo, un cablero en cada hijo te dió, u_un cablero en cada hijo te dió...
-
brother, agradezco tu atencion... intentare con 5100mod espero que funcione y si no me ire x otro firm que no se afecte con la update de la isp.. el chiste es poder trabajar con certis... tu como vas?... tienes 5100 funcionando?...
-
Si amigo, yo tengo mi modem funcionando, pero estoy muy lejos de tu lugar de residencia y ademas uso otra cablera.
Los certificados los puedes extraer con el ipfullview 3 que es de lo mas completo y con el 4 tambien, le puedes meter certificados de SB5100 de SB5101 de SB5120 SB4200 y SBG900, el ipfullview casi en todas las descargas incluye un pequeño tutorial o si no puedes mirarlo aqui mismo en el foro, saludos.
Yo no existo... Yo Soy
Piensa oh patria, querida, que el cie_elo, un cablero en cada hijo te dió, u_un cablero en cada hijo te dió...
-
EL, intentare el ipfullview 3 (a ver donde lo hallo xq aki no puedo acceder a las descargs, x lo de las limitaciones supongo... )
pero bueno amigos... despues de un largo dia de testeo, lecturas, botanas y mucha soda, la leccion del dia de hoy es...
aki en mexico la isp puso una seguridad q hace update los firms a SB5100-2.3.8.0 o SB5100-2.3.9.0 , lo cual hace inviable usar programas como el clonacertis ... pero no todo es gris, hay que cambiar el firm a uno que no se actualice y que permita trabajar con certs..
kiza muchos de uds esto ya lo sabian, pero para kienes komo yo camos picando piedra desde el principio para hallar las soluciones, aki aporto mi grano de arena...
por cierto si alguno de uds tiene un certificado que pudiera compartir conmigo para hacer pruebas, se lo agradecere mucho, yo compartire con uds todos los avances que vaya teniendo....
saludos
-
- Poder de reputación
- 0
JODER......Mejor no lo pudiste explicar. Gracias, me despejaste muchas dudas.
-
Tremenda Informacion es bueno tener algo de conocimiento con todo Esto de Los certificados por la info. Y saludos
-
como uno saca los setificados
-
-
-
thank you for posting. I learned a lot (:
-