N/A

El dilema de almacenamiento de claves DPoP en navegadores: el ataque Oracle y la paradoja de la no-extraibilidad

architectural-flaw

causa raíz

Timeline del incidente

N/A · Penetration Tester

Un pentester descubre que las claves DPoP almacenadas como CryptoKey no-extraíbles en IndexedDB pueden ser usadas por un payload XSS para firmar pruebas arbitrarias.

N/A · Análisis de seguridad

Se identifica que la propiedad 'non-extractable' de Web Crypto API solo previene la exportación de la clave, no su uso para firmar.

N/A · Análisis de seguridad

Se reconoce que el subsistema criptográfico del navegador actúa como un 'signing oracle' para un atacante con XSS.

N/A · Equipo de arquitectura/seguridad

Se evalúan soluciones como el patrón Backend-for-Frontend (BFF) y el almacenamiento de claves solo en memoria.

Análisis técnico

El incidente revela una brecha de seguridad crítica en la implementación de DPoP (Proof-of-Possession) en navegadores, a pesar de seguir las recomendaciones de la especificación. La causa raíz no es un fallo en DPoP ni en la Web Crypto API, sino una "paradoja de almacenamiento": la expectativa errónea de que una clave CryptoKey marcada como 'non-extractable' en IndexedDB también sería inmune al uso malicioso por scripts inyectados (XSS). La propiedad 'non-extractable' solo impide la exportación de los bytes de la clave, no su invocación para operaciones de firma.

Esta discrepancia en el modelo mental del desarrollador permite el "Ataque Oracle": un atacante con XSS puede acceder al handle de la CryptoKey almacenada y usar el subsistema criptográfico del navegador como un oráculo de firma. Esto le permite generar pruebas DPoP válidas para cualquier solicitud, eludiendo la protección contra robo de tokens que DPoP pretende ofrecer. Las salvaguardas existentes, como los nonces DPoP, no mitigan este ataque ya que el atacante puede generar pruebas en tiempo real con el nonce actual.

Además, se identifican inconsistencias cross-browser, como la incapacidad de Firefox para almacenar CryptoKey objects en IndexedDB, forzando una postura de seguridad aún más débil. El incidente subraya que, en un entorno de navegador, no existe un mecanismo nativo que haga que una clave sea utilizable para firmar y, al mismo tiempo, segura frente al abuso a nivel de script. Esto lleva a la necesidad de soluciones arquitectónicas como el patrón Backend-for-Frontend (BFF) o enfoques de "memoria-solamente" para mitigar el riesgo.

Remediaciones y action items

✓ Implementar el patrón Backend-for-Frontend (BFF) para mover el material de la clave y la gestión de tokens al lado del servidor, eliminando la exposición en el navegador.
✓ Para despliegues donde un BFF no es factible, adoptar un enfoque de clave solo en memoria (zero-persistence) para limitar el radio de explosión de XSS a una única sesión de navegador no persistente.
✓ Aplicar una Content Security Policy (CSP) estricta (sin 'unsafe-inline', 'unsafe-eval') para reducir el riesgo de inyección de scripts XSS.
✓ Asegurar que los authorization servers soporten la rotación de claves DPoP en la renovación de tokens para permitir el enfoque de "Lazy Re-Binding" en arquitecturas sin persistencia de claves.

Lecciones para arquitectos

→ No confundir la no-extraibilidad de una clave con su imposibilidad de uso malicioso en un contexto de ejecución comprometido.
→ Evaluar el modelo de amenaza completo: las protecciones a nivel de protocolo pueden ser insuficientes si el entorno de ejecución del cliente está comprometido (ej. XSS).
→ El patrón Backend-for-Frontend (BFF) es una estrategia robusta para cambiar los límites de confianza y proteger material sensible de clientes públicos.
→ Considerar la persistencia de claves: las claves de corta duración o solo en memoria pueden reducir el radio de explosión de un compromiso, aunque no eliminen el riesgo inicial.
→ La seguridad de las APIs criptográficas en el navegador requiere una comprensión profunda de sus garantías y limitaciones, más allá de las propiedades nominales.
→ Las inconsistencias cross-browser en las APIs de seguridad pueden forzar compromisos arquitectónicos o posturas de seguridad más débiles.
→ La defensa en profundidad es crucial: CSP, Subresource Integrity y Trusted Types complementan las protecciones criptográficas.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp