Acceso al DNI electrónico en Mandriva 2007 y Windows XP

Enviado por Fernando Acero el 24. Febrero 2008 - 20:00.

Por Fernando Acero

Para este fin de semana tenía previsto configurar el sistema para poder usar las tarjetas criptográficas de Ceres y el e-DNI desde mi Mandriva 2007.

Desgraciadamente, no ha podido ser. El lector que venía con el CryptoKit de la Real Casa de la Moneda (Fábrica Nacional de Moneda y Timbre), viene con un lector de la empresa C3PO, el LTC31, pero en su versión 1. Si fuera versión 2, no habría problema para que fuera reconocido por mi núcleo 2.6.17, pero al ser versión 1, es necesario parchear y recompilar el núcleo. El parche no está disponible en la página Web de C3PO, por lo que lo he solicitado por correo electrónico y me toca esperar, al mismo tiempo que he solicitado información sobre el sitio en el que se puede adquirir en Madrid un lector de C3PO LTC31 en su versión V2...

Aprovechando el tirón configuré mi ordenador corporativo, que muy a mi pesar funciona con Windows XP, para que funcionase con la tarjeta Ceres, el e-dni y la PKI corporativa, a lo que he de decir, que no es tan trivial como sería deseable para un usuario doméstico o con pocos conocimientos. De nuevo, tuve un problema, no pude exportar mis certificados de la FNMT ya que los que uso son de 2048 bits (como cabía esperar) y la tarjeta Ceres del CriptoKit solamente acepta certificados de 1024 bits, algo que no entiendo, puesto que Ceres proporciona certificados de software de 2048 bits. Estuve tentado, aprovechando que está muy próxima la renovación, de cambiarlos por unos de 1024, pero la verdad es que me lo estoy pensando ya que cambiar posibilidad de tarjeta y encima con mal soporte para Linux (al menos para la distribución que uso), por tamaño de clave, no creo que sea una buena idea y menos, en los tiempos que corren y sabiendo lo que ya sabemos.

Cuando digo que el acceso al e-DNI no es algo trivial, ni bajo Linux, ni bajo Windows, no deja de tener connotaciones negativas a la hora de generalizar el uso de la PKI en sus distintos sabores. Básicamente, para usar un sistema de PKI basado en tarjetas inteligentes, tanto en Linux como en Windows, hacen falta varios elementos instalados y configurados adecuadamente en nuestro ordenador:

a) Un lector de tarjetas inteligentes con sus correspondientes controladores.
b) Los controladores de la tarjeta inteligente.
c) Los certificados raíz de la autoridad de certificación.
d) Un software que haga uso de estos certificados, como un navegador, cliente de correo, o un software de firma y cifrado de archivos.

Es evidente, que esto no se configura y se instala en dos minutos y lo más importante, es necesario tener derechos de administración sobre la máquina para poder hacer todo esto, algo que no siempre ocurre. Contrariamente a lo que se pueda pensar, puede que las cosas acaben siendo más sencillas con Linux. Aunque el soporte que se le da desde el proyecto Ceres y el e-DNI para Linux es para muchos usuarios de Linux, claramente insuficiente, sobre todo, para los usuarios de distribuciones como Mandriva o Suse, hay que señalar, que distribuciones como Guadalinex y Linex, incorporan todo este soporte de serie, al menos, en lo que respecta a los controladores específicos para el e-DNI, o la tarjeta Ceres de la FNMT, así como los certificados raíz de las autoridades de certificación correspondientes.

Por ello, solamente habría que disponer de un lector soportado por pcsc-lite, para poder acceder a la PKI desde cualquier ordenador que tuviera una de estas populares distribuciones Linux. Dicho de otro modo, nos bastaría con pinchar el lector en un puerto USB, no necesitando instalar nada ni tener permisos de administración sobre la máquina. Algo que también se extiende de forma muy interesante a las versiones “Live” de estas populares distribuciones Linux y que está en consonancia con lo que ya comenté sobre la necesidad o conveniencia de un entorno seguro de firma.

Dicho lo anterior, dejaremos el soporte del e-DNI para otra aventura posterior, pero de lo que estoy seguro, es que si queremos que funcione y generalice esto de la firma electrónica, es necesario que todo sea lo más sencillo posible para los usuarios. Siendo conveniente, que todo o la mayor parte de lo necesario se encuentre preinstalado y listo para funcionar en los sistemas operativos, a falta en todo caso, de los controladores de lector de tarjetas. Para muestra un botón, varias personas usuarias de Windows XP / Vista, ya me han pedido ayuda para configurar sus sistemas para trabajar con el e-dni y para que les explique cómo utilizarlo, lo que implica que algo falla en todo esto. Dicho esto, si los usuarios no alcanzan a instalar la firma electrónica en sus sistemas, menos comprenderán los riesgos y problemas que conlleva, pero esto es otra historia.

Copyleft 2008 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.
Problemas con gentoo también por anónimo
Esperaré a que me lo envíen los de C3PO por Fernando Acero
Instalar DNIe en gentoo por anónimo
Parche (y mas) por jonsito
Muchas gracias Jonsito por anónimo
Con openSUSE tampoco funciona por anónimo
Yo tuve el mismo problema - Solucionado por anónimo
Mis problemas son con el DNI electrónico por anónimo
Para usar el DNI-e hice lo que te conté por anónimo
Gracias, cualquier ayuda es bienvenida por lpascual
Me lo temía por anónimo
Gracias Julio por la información por anónimo
De todas formas... por anónimo
El lector funciona por jonsito
Acabo de instalar las nuevas versiones por anónimo
Los lectores que yo uso por jonsito
Sobre el DNI-e por anónimo
El certificado debería ser público por jonsito
sobre pam_pcsk11 VS pam_p11 por anónimo
A mí no me funciona con FireFox por lpascual
Sería bueno.. por anónimo
Mandriva por anónimo
Hace tres o cuatro años era imposible por anónimo
Problemas con DNIe por anónimo
Tutorial DNIe en Debian Etch por admin
Verificado: en Windows no funciona por lpascual
Verificado: en Windows SÍ funciona por lpascual
Ya tengo la información de C3PO por anónimo
Algo evidente, el parche tal como está no funciona por anónimo
Fernando, aquí Julio otra vez... por anónimo
Gracias por anónimo
Quiero aclarar algo más por anónimo
Pruebas de Ceres en Fedora 8 por jonsito
Fedora core 6: tampoco va por anónimo
¿Sabeis como va el tema? por anónimo
He enviado una queja por lpascual
DNIE en Fedora 8 (posiblemente 6 y 7) por anónimo
dni electronico por anónimo

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...