Archivos PEM ¿son seguros?

[link_zda]

Hola,

Estoy intentando desarrollar los cfd con los dll de OpenSSL,
algunas de las dudas que me surgen con este metodo y espero me puedan ayudar
son las siguientes:

- OpenSSL sólo permite el formato PEM y el SAT propocionar el CER, la
duda aquí es ¿son menos seguros los formatos PEM y va a ser necesario
únicamente generarlos cuando los ocupe y borralos inmediatamente después de
utilizarlos? o es prácticamente la misma seguridad tener el CER y el PER y puedo tener
ambos archivos en el disco duro sin ningún problema.

Saludos

[Dado]

Hola,

Estoy intentando desarrollar los cfd con los dll de OpenSSL,
algunas de las dudas que me surgen con este metodo y espero me puedan ayudar
son las siguientes:

- OpenSSL sólo permite el formato PEM y el SAT propocionar el CER, la
duda aquí es ¿son menos seguros los formatos PEM y va a ser necesario
únicamente generarlos cuando los ocupe y borralos inmediatamente después de
utilizarlos? o es prácticamente la misma seguridad tener el CER y el PER y puedo tener
ambos archivos en el disco duro sin ningún problema.

Saludos

Hola, pase tu mensaje a este foro de "OpenSSL" ya que aqui se discute este tema.

Bueno, solo por aclarar el asunto:

La LLAVE PRIVADA (*.KEY) viene en formato DER y ademas viene protegida por contraseña, a partir de ese *.KEY y la clave de acceso de llave privada se genera el PEM ya desprotegido. Con ese PEM y la cadena original se genera el sello digital. Checa este hilo

Y si, tienes toda la razon, ese archivo PEM debe estar muy bien protegido, si cae en manos ajenas pueden falsificar facturas en tu nombre.

Recomendacion? vaya! depende de muchos factores, por ejemplo, tienes empleados que vayan a facturar? si es asi tendrias que darle tu clave...o ir al mostrador para darla tu mismo por CADA FACTURA, otro.....cuantas facturas haces al mes? si son pocas si puedes darte el lujo de dar la clave y generar el PEM por cada factura, pero si son unas 100 va a ser muy incomodo.

Talvez puedes "esconder" ese PEM en una base de datos, o en el disco duro, aqui hay muchas opciones, pero si, lo importante es que tengas en la mente que ese PEM es importante y que no debe estar a la mano.

[jomx]

Hola a todos.

Soy nuevo por estos rumbos y espero poder contribuir a esta noble tarea de esclarecer los misterios del CFD/CFDI.

Este hilo es un poco viejo, pero igual y la respuesta sirve a alguien

Según yo, la llave privada puede estar en formato PEM de forma encriptada, por lo que debiera ser tan segura como en el archivo key que entrega el SAT. Les cuento: la primer versión de mi sistema para CFD funcionaba haciendo llamadas al ejecutable de openssl (como el de muchos, por lo que puedo ver). Problema, no podía generar el sello a partir del archivo .key. Solución, convertir el archivo a PEM, con el propio openssl, con el comando:

openssl pkcs8 -inform DER -passin pass:LaContraseniaDeTuKey -in llavePrivada.key | openssl pkcs8 -topk8 -passout pass:LaMismaUOtraContrasenia -outform PEM -out llavePrivada.pem

El parámetro -passout indica que el archivo de salida va a estar encriptado con la contraseña indicada (que puede ser la misma del key o se puede indicar una nueva). Esto genera un archivo llavePrivada.pem que está codificado en base64 (si no me equivoco ) cuya primer línea es:

-----BEGIN ENCRYPTED PRIVATE KEY-----

Osea, mi certificado (llave privada) está protegido con contraseña. Con este archivo es con el que he estado sellando mis comprobantes y el SAT los reconoce como válido. Cada vez que lo uso, tengo que indicar la contraseña sino openssl no lo puede utilizar.

Saludos

[Dado]

Gracias por tu comentario jomx, tienes razon tambien el PEM puede estar bajo una clave, asi por lo menos le agregas un nivel de proteccion al archivo.