This version adds adds some features:

• Now it is possible to generate CRLs for all the CAs in the hierarchy, not only the first root CA.
• Now, the dependences between certificate uses and certificate purposes are enforced.
• Now, the CA used for inheriting fields while creating a CSR is remembered, so it is the default selected CA while signing it.
• Just created files now in 0600 mode, so only owner car read them.
• gnoMint now can compile with much stricter compiler parameters (not enabled by default).
• A lot of autotools cleaning, thanks to Stanek Lubos <lubek@users.sourceforge.net>
• Now, certificates (CA and non-CA) can be imported from external files.
• Added Swedish translation, thanks to Launchpad.net collaborators.

There are also several fixes:

• Expired certificates appear only in the first CRL released after the expiration date, according to RFC 5280 (page 13).
• Subject and issuer key id are properly set, according to RFC 5280
• Fixing segmentation fault when the CSR or the CA certificates have NULL fields.
• Fixing problem: only the first certificate in database could sign CSRs in password-protected databases.
• Fixing problem: now expiration time is properly set (there was a problem related with the difference between UTC and localtime).
• Some other segmentation faults are fixed too.

You can get the tarball from sourceforge mirrors: http://prdownloads.sourceforge.net/gnomint/gnomint-0.5.4.tar.gz?download

Movidas que se me pasan por la cabeza…

Desenmarañando el RFC-5280 (que es el que actualmente rige para todo lo relacionado con la parte más técnica de los PKI (Public Key Infraestructure) me he encontrado con la parte de los Usos posibles de los certificados (concretamente, de las claves). 

Para aclararme definitivamente sobre el tema, he traducido la sección 2.1.3 del RFC “Key Usage”. Aquí la dejo, para quien pueda servir.

2.1.3 Usos de la clave

La extensión de usos de clave (key usage) define el propósito (esto es, cifrado, firma, firma de certificados…) de la clave contenida en el certificado. La restricción de uso podría emplearse cuando una clave que podría usarse para más de una operación vaya a ser restringida (no entiendo demasiado bien esta frase en inglés tampoco). Por ejemplo, cuando una clave RSA debiera ser empleada sólo para verificar firmas en objetos que no sean claves públicas de certificados y CRLs, los bits de firmaDigital y/o noRepudio debieran estar activos. Así mismo, cuando una clave RSA debiera emplearse exclusivamente para la gestión de claves, el bit cifradoDeClaves debiera estar activo.

Las ACs conformes a esta norma DEBEN incluir esta extensión en los certificados que contengan claves publicas que vayan sean usadas para validar firmas digitales sobre otros certificados de clave pública o CRLs. Cuando esté presente, las ACs conformes a esta norma DEBERÍAN marcar esta extensión como crítica.

id-ce-usoDeClave OBJECT IDENTIFIER ::= { id-ce 15 }

UsoDeClave ::= BIT STRING {
     firmaDigital               (0),
     noRepudio                  (1)), -- ediciones recientes de X.509 han renombrado
                             -- este bit como confirmaciónDeContenido
     cifradoDeClave             (2),
     cifradoDeDatos             (3),
     acuerdoDeClaves            (4),
     firmaDeClaveDeCert         (5),
     firmaDeCRL                 (6),
     soloCifrado                (7),
     soloDescifrado             (8) }

Los bits de UsoDeClave se usan como sigue:

El bit de firmaDigital se activa cuando la clave pública del titular se emplea para verificar firmas digitales, distintas de las de los certificados (bit 5) o CRLs (bit 6), como aquellas empleadas en un servicio de autenticación de entidades, un servicio de autenticación de orígenes de datos y/o un servicio de integridad.

El bit de noRepudio se activa cuando la clave pública del titular se usa para verificar firmas digitales, distintas de las de los certificados (bit 5) y CRLs (bit 6), empleadas para proporcionar un servicio de no repudio que proteja contra el hecho de que la entidad firmante intente rehusar, falsamente, haber realizado alguna acción. En el caso de conflicto ulterior, una tercera parte confiable puede determinar la autenticidad de los datos firmados.  (Debe destacarse que ediciones recientes de X.509 han renombrado este bit como confirmaciónDeContenido)

El bit de cifradoDeClave debe activarse cuando la clave pública del titular vaya a usarse para cifrar claves privadas o secretas, por ejemplo, para transporte de claves. Por ejemplo, este bit debe establecerse cuando una clave pública RSA vaya a ser empleada para cifrar una clave simétrica para el descifrado de datos, o una clave privada asimétrica.

El bit de cifradoDeDatos debe activarse cuando la clave pública del titular vaya a usarse para cifrar, directamente, datos de usuario sin emplear un cifrado simétrico intermedio. Debe destacarse que el empleo de este bit es extraordinariamente raro; casi todas las aplicaciones emplean el tranporte de claves o el acuerdo de claves para establecer una clave simétrica.

El bit de acuerdoDeClaves se activa cuando la clave pública del titular vaya a ser empleada para la negociación de claves. Por ejemplo, cuando una clave Diffie-Hellman vaya a emplearse para la gestión de claves, se deberá activar este bit.

El bit de firmaDeClaveDeCert se activa cuando la clave pública del titular se emplee para verificar firmas en certificados de clave pública. Si el bit firmaDeClaveDeCert está activo, el bit cA de la extensión de restricciones básicas (sección 4.2.1.9) DEBE también estar activo.

El bit firmaDeCRL se activa cuando la clave pública del titular se emplea para verificar firmas de listas de revocación de certificados (como CRLs, delta CRLs, o ARLs).

El significado del bit soloCifrado no está definido si el bit acuerdoDeClaves no está activo. Cuando los bits soloCifrado y acuerdoDeClaves están activos, la clave pública del titular sólo puede emplearse para cifrar datos al realizar una negociación de claves.

El significado del bit soloDescifrado no está definido si el bit acuerdoDeClaves no está activo. Cuando los bits soloDescifrado y acuerdoDeClaves están activos, la clave pública del titular sólo puede emplearse para descifrar datos al realizar una negociación de claves.

Si la extensión de usoDeClave está presente, la clave púlbica del titular NO DEBE emplearse para verificar firmas de certificados o CRLs a menos que los bits correspondientes de firmaDeClaveDeCert o firmaDeCRL estén activos. Si la clave pública del titular sólo debe emplearse para verificar firmas en certificados y/o CRLs, los bits de firmaDigital y noRepudio NO DEBERÍAN estar activos. Sin embargo, los bits firmaDigital y/o noRepudio PODRÍAN estar activos junto con los bits firmaDeClaveDeCert y/o firmaDeCRL si la clave pública del titular se fuera a emplear para verificar firmas en certificados y/o CRLs además de en otros objetos.

Combinar el bit de noRepudio en la extensión de usoDeClave con otros bits puede tener implicaciones de seguridad dependiendo del contexto en el que se vaya a emplear el certificado. Otras distinciones entre los bits de firmaDigital y noRepudio podrán ser indicadas en políticas específicas de certificados.

Este perfil no restringe las combinaciones de bits que pueden establecerse en una instacia de la extensión usoDeClave. Sin embargo, en los RFC3279, RFC4055 y RFC4491 pueden encontrarse los valores apropiados para la extensión usoDeClave en distintos algoritmos. Cuando la extensión usoDeClave aparezca en un certificado, al menos uno de sus bits DEBE estar establecido a 1.

He montado la web http://www.salvemoslospitufos.com para más información. Por favor: si conocéis a alguien de algún medio de comunicación, indicadle el problema, ya que estamos ante un caso en que el Ayuntamiento de Madrid actúa como el perro del hortelano: ni come ni deja comer.

Su nombre es cosasfrikis.es. Hemos inaugurado hoy.

Echadle un vistazo y si os gusta algo, plantearos comprarlo.

Cualquier queja, comentario, o sugerencia, por favor,  enviádnosla también.

Hasta ayer, gnoMint servía para gestionar pequeñas autoridades de certificación “domésticas”, entendiendo como tales las necesarias para montar una web protegida por SSL (aunque haga chillar al navegador de turno), montar una VPN doméstica o de pequeña o mediana empresa.

Con los cambios hechos, ahora gnoMint ya puede comenzar a servir para gestionar una autoridad de certificación más “seria”, ya que ahora ya soporta la firma de solicitudes de certificación creadas de manera ajena al programa. También permite el establecimiento de políticas por defecto para la generación de certificados.
El programa todavía tiene características de seguridad conocidas y no deseadas, como que las claves privadas se guardan en claro, sin cifrar, dentro de la base de datos SQLite. Esto, para la mayoría de personas que corren un servidor web seguro y desatendido, no debería representar un problema (al fin y al cabo, las claves privadas de los certificados SSL se deben encontrar así en el servidor web).

Pues lo dicho, que probéis esta versión, y que corráis la voz. A ver si desterramos el uso de OpenSSL desde línea de comandos para gestionar CAs (que es engorrosísimo).

Más información en http://gnomint.sf.net.

The new gnoMint web can be found at http://gnomint.sf.net

It’s a basic Drupal installation, with a standard theme, but I think that the important thing in gnoMint is the software, not the web.

gnoMint is a tool for an easy creation and management of Certification Authorities. It allows a fancy visualization of all the pieces that conform a CA: x509 certificates, CSRs, CRLs… Currently, this first v0.1.0 allows the creation of CAs, CSRs and Certificates. It can export both public and private parts of them into PEM formatted files.

This is the first public release. It has known bugs, and it is not feature-completed yet. However, gnoMint is now perfectly usable for managing a CA that emits certificates able to:

• Authenticate people or machines in VPNs (IPSec or other protocols);
• Secure HTTP communications with SSL/TLS secured web servers;
• Authenticate and cipher HTTP communications through web-client certificates;
• Sign and/or crypt e-mails

For compiling it, its dependencies are:

• GTK+
• Gnome
• SQLite 2 or better
• libGnuTLS 1.0.14

You can get the tarball from sourceforge mirrors: http://prdownloads.sourceforge.net/gnomint/gnomint-0.1.0.tar.gz?download

Please send bugs, comments and/or questions to our mailing list: gnomint-users@lists.sourceforge.net

«Benedicto XVI: la teoría de la evolución es irracional»

Unico lugar de la noticia en donde se pronuncia la palabra “evolución” cerca de la palabra “irracional”:

«Joseph Ratzinger se preguntó qué cosa existe en el origen y añadió que hay sólo dos respuestas: o la ‘Razón creadora, el Espíritu que hace todo y fomenta el desarrollo’ o la ‘irracionalidad, que sin razón alguna, produce un cosmos ordenado de manera matemática, al hombre y a la razón’.
Según el Papa, esta última sería sólo un resultado casual de la evolución, ‘en fondo una cosa irracional’.»

De entrada, salta a la vista una pésima y confusa traducción, en la que queda por determinar qué es la “cosa irracional”… Podría ser la evolución, o la razón. Pero lo que nunca podría ser sería la Teoría de la Evolución, de la cual no se habla en toda la homilía…

Para salir de dudas, acudamos a alguien que parece sabe traducir alemán algo mejor: la agencia Zenit.

«A final de cuentas queda una alternativa: ¿qué existe desde el origen? La Razón creadora, el Espíritu que todo lo mueve y genera el desarrollo, o la Irracionalidad que, carente de toda razón, produce extrañamente un cosmos ordenado de manera matemática e incluso al hombre, su razón. Ésta, sin embargo, no sería más que un resultado casual de la evolución y, por tanto, en el fondo algo que no es razonable».
Por lo tanto proponemos un segundo titular: «Benedicto XVI: no es razonable el que la razón sea resultado casual de la evolución»

Ya que, si lo que deseaba la agencia EFE es sacar titulares con mezclas extrañas entre fe y ciencia, sería más entretenido acudir a titulares más variados. Por ejemplo: «Prestigiosos científicos descubren que el universo enterito se creó en 144 horas, produciéndose un extraño parón las 24 horas siguientes”»

Recomendamos encarecidamente el segundo titular, emplazando a la agencia EFE a que contrate a nuevos traductores de alemán, o a alguien que entienda ligeramente de lo que está traduciendo.

En resumen, como titular a mi reflexión, la frase: “¿Por qué algunos todavía siguen enfrentando ciencia y fe?”
Para documentarme, he leído el artículo de la Wikipedia sobre la Evolución biológica. Tras ello, me cuesta aún más entender cuál es el origen de la discusión. Porque… ¿de qué estamos hablando? ¿De ciencia? Lo que dice la página de la Wikipedia sobre la evolución no contradice en nada mis creencias (que, según creo, son las mismas que me ha transmitido la Iglesia Católica Apostólica Romana). Más que nada, porque cualquier explicación adicional que yo pudiese dar para explicar los motivos por los que se pudiera producir cierta mutación (que, según tengo entendido, tiene un gran componente de azar) se saldría del plano científico. La ciencia puede hablar de la (escasa o no) probabilidad de que cierta mutación se produjera. De los motivos por los que dicha mutación se haya producido. De la mejora final en la especie producida por la mutación que hará que ese gen modificado sobreviva en las generaciones y/o se imponga…

La fe no se enfrenta a la ciencia (al menos, no la fe católica: no hablaré aquí de creacionistas trasnochados, o de protestantes anticientíficos). ¿Qué es lo que nos dice la fe al respecto de la creación/evolución? Lo que a mi me han enseñado (o, al menos, lo que he entendido con mis muy modestos conocimientos teológicos) es que Dios Padre, a través del Verbo, creó el Universo. Y dentro del Universo y además de todos los otros seres, al ser humano. Y al ser humano, le otorgó cierta dignidad especial, ya que estaba hecho a imagen y semejanza de Dios. De hecho, la segunda persona divina, el Hijo Unigénito, se encarnó de María, convirtiéndose así en la única imagen material y terrena de Dios: una imagen humana. (Estoy hablando de Jesús de Nazaret).

Y esto, ¿cómo cuadra con la movida evolutiva? La ciencia nos explica (o nos explicará, o nos ofrece teorías que pueden explicar) el cómo se hizo el Universo y los seres tal y como los conocemos ahora; los mecanismos que desencadenaron el que el australopiteco se convirtiera en homínido. Pero la ciencia no puede determinar el por qué se produjeron estos cambios. Quizá no sea su cometido. Afirma que muchos de estos cambios se produjeron por azar. Lo cual es muy correcto y es todo lo que, a día de hoy, podrá decir la ciencia.

Alguna vez oí en una conferencia que la construcción de moléculas de aminoácidos a partir de elementos simples sería tan poco probable como el hecho de que al hacer estallar un avión lleno de materiales de construcción pretender que los restos, al llegar al suelo, formaran una casa habitable. ¿Existe esa posibilidad? Sin lugar a dudas, existe. También es posible que un mono aporreando una máquina de escribir escriba el Quijote. La probabilidad es mínima, pero está ahí.
También es muy baja la probabilidad de que se cumplan todas las condiciones necesarias para que la vida exista en el universo: temperatura, luz, atmósfera… Sin embargo, aquí estamos. Vosotros, leyendo estas líneas. Yo, escribiéndolas.

Vamos, que lo que yo me creo es que Dios es el Señor del azar. Y ahí donde entra el azar, es donde Dios actúa. Y es así cómo Dios creó esta Tierra y no otra. Creó a los hombres así, y no de otra manera.

Pero esta explicación se sale de lo que es ciencia. Jamás debería ser considerada ni enseñada como tal. En todo caso, podrá ser enseñada como un comentario añadido a la ciencia, como un complemento a la misma, en un ambiente donde los padres hayan decidido educar en esta fe a sus hijos.