Versions Compared

Old Version 11

changes.mady.by.user Ivan Rodriguez

Saved on

compared with

New Version 12

changes.mady.by.user Ángeles Díaz

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Table of Contents
minLevel1
maxLevel6
outlinefalse
typeflat
separatorbrackets
printablefalse

Generación del token

El token digital Token Digital se implementará utilizando el algoritmo TOTP (Time based One-Time Password), de acuerdo a con la especificación RFC 6238, que usará una semilla cifrada mediante AWS Cloud HSM. Para el proceso de generación se tiene en cuenta:

Identificador de acceso de la clave

Se usará el User Id que maneja actualmente Spin. Es un tipo de dato UUID, para su transmisión se usará su valor como cadena de texto y para la generación de tokens su valor como arreglo de bytes con longitud de 128 bits

Clave para generar OTP

La clave o semilla para ser usada por el algoritmo debe tener las siguientes características:

  • Aleatoriedad: Uso de generador de números aleatorios seguros.

  • Longitud: 256 bits

  • Unicidad: (Validar) Garantizar que no haya 2 semillas iguales

  • Secreto: Confidencialidad durante la generación y transmisión

  • Almacenamiento seguro: La clave se cifrará mediante AWS Cloud HSM y se almacenará una vez cifrada en MongoDB

  • Revocabilidad: Implementación de métodos para refrescar o eliminar la clave.

Algoritmo de cifrado para HMAC

...

  • Se deben ocultar todas las rutas referentes a acceso a consolas, portales de administrador, recursos de archivos, así como los reedireccionamientos a los mismos.

  • Se deberá usar software que sea estrictamente requerido. Durante el desarrollo de herramientas o software, se deberán desactivar los componentes y bibliotecas que no se requieran.

  • Se deberán realizar verificaciones y evaluaciones de software de terceros, incluyendo frameworks de desarrollo o bibliotecas de software populares.

  • Se deben ejecutar los intérpretes con el nivel de privilegios mínimo.

Aprobación y consideraciones para subir código a respositorios de SPIN

Documento

VoBo

Aprobador

Fecha

View file
name

...

Evaluación Seguridad Digital-may2023 token-service (1).xlsx

View file
name20230515_VoBo Seguridad.pdf
View file
nameVoBo Seguridad + Checklist.pdf

Cecilia Martínez

25/05/2023

View file
nameEvaluación Seguridad Digital-may2023 token-service (2).xlsx

View file
name20230831_VoBo Checklist Seguridad - Vulnerabilidad.pdf

Monserrat Ayar

31/08/2023

Vulnerabilidades encontradas

Vulnerabilidad por CSRF(Cross-site request forgery)

Identificada al implementar la configuración y uso de Apykey como medio de autenticación entre servicios en el servicio Aggregation Service:

...

esta Esta vulnerabilidad fue revisada con el equipo de desarrollo de Spin ya que al implementar el ApiKey en todos sus servicios presentan el mismo problema. Se llego a la conclusión que se podía mantener como un falso positivo ya que los servicios están en una subnet privada y son accedidos por medio de un balanceador privado, por lo que solo pueden ser consumidos por los servicios de Spin.

Vulnerabilidades por licencias

Estas vulnerabilidades son identificadas en los diferentes jar de librerías de terceros como las de Spring, Tomcat, Lockbag, etc:

...

estas Estas son librerías ampliamente usadas y de momento se acordo verlos como falsos positivos, pero se quedó que en cuanto se actualizara la base de datos de Snyk y si siguen saliendo se evaluara la exclusion o remediación de estos.