Estas aquiContenido / DNI electrónico en Mac OS X

DNI electrónico en Mac OS X

Poradmin- Publicado el01 Junio 2009

Por David García

Hacer uso del nuevo DNI electrónico (el eID español) aún no es todo lo fácil que sería deseable.

El proceso de instalación difiere ligeramente según el modelo de lector que tengamos y el sistema operativo donde queramos instalarlo. Por ello, abarcar todas las posibles combinaciones de lector y sistema operativo en un único post se antoja complicado.

Una vez dispongamos del lector la cosa no está ni mucho menos solucionada. Todavía queda instalar los controladores del lector y los controladores del propio DNIe. Es probable que podamos librarnos del paso de instalar controladores para nuestro lector si éste viene soportado por defecto en el sistema operativo, pero de instalar los drivers del DNI electrónico, a día de hoy, no hay quien nos salve.

De momento, los usuarios que más dolor han manifestado son los Mac-eros. Y es que la instalación en Mac OS X es un poco “tricky”. Para arrojar un poco de luz a este tema he confiscado un Mac con OS X y he realizado todo el proceso necesario para tener el DNI electrónico funcionando. Por suerte, es un proceso que la gente del DNI electrónico ha documentado bastante bien, así que seguiremos sus indicaciones para intentar llegar a buen puerto...

 

Descripción del entorno de trabajo

  • Sistema Operativo: Mac OS X 10.5 o OS X10.4.x.
  • Lector probado: LTC31 (USB) de C3PO.
  • Nivel de dolor: Medio.
  • Tiempo de instalación: unos 30 minutos.

 

Paso 1: Consigue un lector de tarjetas

El primer gran problema es hacerse con un lector de tarjetas inteligentes (o “chipetera”) donde poder utilizar el DNI electrónico. Afortunadamente, este problema cada vez lo es menos. Poco a poco, van apareciendo más lectores en el mercado y a un precio cada vez más competitivo.

 

Paso 2: Instala las librerías de OpenSC y los drivers del DNIe

Este proceso está basado en lo descrito en la documentación de instalación disponible en el portal del DNI electrónico, concretamente en el punto 3 “Instalación y configuración de sistemas Mac OS X“.

El proceso es simple; debemos bajar las librerías de OpenSC y los drivers de DNI electrónico e instalarlos en ese orden:

1. OpenSC es un conjunto de librerías para el uso de tarjetas inteligentes en ordenadores. Mac OS X ya lleva por defecto un OpenSC, pero éste no funciona demasiado bien con los drivers del DNI electrónico, así que deberemos actualizarlo. Para instalarlo debemos bajar OpenSC para OS X 10.5 u OpenSC para OS X 10.4. Esta librería se instala del mismo modo que una aplicación normal. Ejecutaremos el instalador y seguiremos los pasos que nos vaya planteando hasta que se nos informe de que la librería se ha instalado correctamente.

2. Drivers DNIe: El siguiente paso es instalar los controladores del DNI electrónico. Para ello, debemos instalarlos del mismo modo que OpenSC. Cuando la instalación acabe nos pedirá reiniciar la máquina, así que le seguimos el rollo y reiniciamos.

 

Paso 3: Comprueba que todo está en orden

Hasta aquí está todo sacado casi de manera literal del manual del DNI electrónico. Ahora viene la parte de comprobar que todo está funcionando correctamente. Un diagnóstico rápido pero no muy fiable, son las luces del lector. Con todo instalado y la tarjeta introducida, la luz del lector LTC31 debería ser verde. Si tu luz es roja o si tu lector solo tiene una luz, conviene realizar un diagnostico mas fiable. Para ello, debes ejecutar desde la consola el comando:

/Library/OpenSC/bin/pkcs15-tool -D

pkcs15-tool es una herramienta que proporciona OpenSC y que permite, entre otras cosas, mostrar el estado de los lectores y de las tarjetas inteligentes conectadas en el sistema. La opción -D insta a esta utilidad a volcar toda la información de los dispositivos conectados. Antes de ejecutar el comando asegúrate de que el lector esta conectado, que la tarjeta está insertada y que has instalado las librerías OpenSC y Drivers DNIe que tocan para tu sistema operativo.

El resultado de ejecutar este comando nos dará pistas sobre si todo funciona o hay algún tipo de problema con la instalación. Si todo va bien el resultado debería ser algo parecido a esto:

my-mac:bin user$ ./pkcs15-tool -D
PKCS#15 Card [DNI electrónico]:
Version        : 1
Serial number  : 063AA3BA682276
Manufacturer ID: DGP-FNMT
Flags          : Login required, PRN generation

PIN [PIN1]
Com. Flags: 0x3
ID        : 01
Flags     : [0x211], case-sensitive, initialized, integrity-protected
Length    : min_len:4, max_len:16, stored_len:16
Pad char  : 0x00
Reference : 1
Type      : ascii-numeric
Path      : 3f00

Private RSA Key [KprivAutenticacion]
Com. Flags  : 3
Usage       : [0xC], sign, signRecover
Access Flags: [0x1D], sensitive, alwaysSensitive, neverExtract, local
ModLength   : 2048
Key ref     : 1
Native      : yes
Path        : 3f003f110101
Auth ID     : 01
ID          : 4130363341413342413638323237363230303830323131313531303536

(...)

He cortado el mensaje porque es muy largo. Verás que una serie de mensajes de error avisando de un Security status not satisfied aparecen numerosas veces. No hay de que preocuparse, estos mensajes son “normales”. Si tu resultado no se parece al mensaje anterior y/o tienes algún mensaje de error tipo : No Readers found o No cards found entonces es que hay algo que no termina de ir bien en la instalación.

Si todo ha salido según lo descrito en el apartado anterior, ya puedes utilizar tu DNI electrónico. Podrás autenticarte usando un mecanismo mucho más robusto que el usuario/contraseña y firmar contratos con las máximas garantías de validez legal. Además, el DNIe te abre la puerta a un número creciente de aplicaciones que hacen uso de él, como banca segura en línea y trámites con la administración (consulta de datos fiscales, vida laboral, puntos del carnet de conducir, padrón, declaración de la renta, etc).

 

One more thing... Instalando los certificados en Firefox

Firefox tiene su propio sistema de gestión de certificados, completamente independiente del que dispone el sistema operativo. Por esta razón, una vez que tu sistema esté preparado para utilizar tu DNI electrónico, también deberás decirle a Firefox que puede hacer uso del DNIe.

Los drivers del DNI electrónico incluyen una página html que “mágicamente” (utilizando javascript) añaden los certificados de tu DNIe al repositorio de Firefox. Para acceder a esta página solo tienes que abrir desde tu navegador la ruta local:

/Library/OpenSC/Share/web/instala_modulo.htm

...y seguir los pasos que te indiquen hasta recibir la confirmación de que los certificados se añadieron de manera satisfactoria.

 

Conclusiones

A día de hoy, instalar un DNI electrónico en Mac OS X no es todo lo fácil que cabría esperar de un dispositivo destinado a ser de uso universal. Aún estamos ante una tecnología nueva (fuera de los cículos más tecnológicos) y es normal que ciertos pasos aún no sean todo lo fáciles e intuitivos que nos gustaría. Por suerte, la gente del DNI electrónico proporciona buenas guías que arrojan mucha luz en el proceso de instalación.

Este post es mi granito de arena para favorecer el uso de esta tecnología tan potente entre los usuarios de Mac. Espero que os sea útil.

David García
http://blog.negonation.com

Etiquetas

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Muchas gracias
Enviado por Iron Worm el 2. Junio 2009 - 6:46.

No es que tenga MacOSX pero al menos esto vale como referencia _fiable_ de cuando lo instale para Mandriva. Juro que lo he intentado decenas de veces, he visto decenas de tutoriales, jautus, etc. pero nunca he conseguido que me muestre la pugnetera ventanita cada vez que inserto el cachirulo; lo dejo para una nueva instalación cuando ponga la 2009.1.

De todas formas, si alguno de Uds. se digna, agradecería una referencia _fiable_ y _comprobada_ de cómo poner el paratejo en Mandriva. Po favó. No es que sin ello me falte el aire pero lo tengo pendiente :D

No trees were killed in the sending of this message. However, a large number of electrons were terribly inconvenienced.

Mientras que no haya unos controladores....
Enviado por Fernando Acero el 2. Junio 2009 - 17:50.

Mientras que no se disponga de unos controladores del e-DNI específicos para Mandriva, mucho me temo que no hay nada que hacer. Los controladores disponibles para Linux al día de la fecha son:

Controladores del e-DNI para Linux

Hace unos meses envié varios correos solicitando información sobre la configuración de Mandriva a la dirección sac(at)dnielectronico(punto)es, pero no he recibido ninguna contestación hasta la fecha.El caso es que en esos correos hice referencia a la Ley 11/2007 y al hecho de que tiene que ser efectiva el 31 de diciembre de 2009.

"Principio de neutralidad tecnológica y de adaptabilidad al progreso de las técnicas y sistemas de comunicaciones electrónicas garantizando la independencia en la elección de las alternativas tecnológicas por los ciudadanos y por las Administraciones Públicas, así como la libertad de desarrollar e implantar los avances tecnológicos en un ámbito de libre mercado. A estos efectos las Administraciones Públicas utilizarán estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos."

Hay tres soluciones al problema:

a) Establecer un "wrapper" que permita la compilación de los controladores por parte de los usuarios sin poner en peligro la "seguridad" del dispositivo. Quizás esta sería la solución ideal.

b) Compilar una versión para las distribuciones más usadas, sin olvidar algunas de las comerciales, como Suse, Mandriva o RedHat. Normalmente, el soporte para las nuevas distribuciones tarda un poco en aparecer, lo que es un problema para las distribuciones que se pueden actualizar de versión de forma más o menos automática, puesto que te puedes encontrar que el e-DNI no te funcione tras actualizar tu distribución por Internet.

c) Crear una distribución "Live" para ir tirando mientras se logra el "wrapper" o una compilación específica.

También dejé un comentario sobre los problemas del e-dni aprovechando esta entrada en el Blog de David Cierco, que es el Director General para el Desarrollo de la Sociedad de la Información, pero tampoco he recibido realimentación al respecto.

Hay que señalar que este problema no es solamente específico del e-dni, por ejemplo, la tarjeta Ceres o algunas tarjetas inteligentes usadas como documentos de identidad regionales, o corporativos, adolecen del mismo problema de soporte.

Un saludo, Fernando Acero

"Copyleft 2009 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Gracias
Enviado por Iron Worm el 3. Junio 2009 - 9:19.

Creo que intenté instalar los drivers y módulos de las equivalentes de Red Hat/Fedora o SuSE de las que están disponibles (ya no me acuerdo), y no me dio ningún problema. Por suerte hay una especie de 'matriz' de comunes entre esas distros al ser unas 'redjatadas'. No me dio problema, digo en principio; la máquina no reportó quejas, si hubo dependencias las resolví, y el cacharro sigue tirando. Pero cuando he intentado utilizar el DNIe en sitios como Cajamandril, agua.

Y no sólo es problema de linux en general; conozco casos en los que las tarjetas lectoras para LexNet daban por locu en el propio Microblando Ventanas... por una cosa u otra. Esto anda un poco verde o al menos sigue siendo delicado.

Se nota que hace un rato largo que lo intenté... ;) Lo que está claro es que cuando actualice el cochino Mandriva le pincharé la tarjeta y que haga el favor el instalador de ponérmelo acorde que ya estoy harto de cienes y cienes de guías :D Apuntaré los que me diste. Muchas gracias.

No trees were killed in the sending of this message. However, a large number of electrons were terribly inconvenienced.

Inusable en linux
Enviado por jonsito el 5. Junio 2009 - 10:55.

Tengo fedora 10, y dentro de cinco dias sale fedora 11...

Pues bien, en el repositorio solo ofrecen drivers para fedora 9... y por cierto, no funciona. Se empeña en usar pcsc-lite cuando tengo configurado mi opensc para que utilice como card-driver openct. No ha habido manera de hacerlo funcionar, no solo desde el navegador, sino desde el propio opensc.

Es auténticamente demencial. De hecho en estos momentos en la lista de opensc hay un hilo sobre las "peculiaridades" del eDNI...

... Aunque teniendo en cuenta que firefox 3 sigue haciendo tonterias con el firmado de documentos y que la e-Administración expañola va a peor (he tenido que hacer la declaración desde un windows emulado con qemu) la verdad no ya no me sorprendo de nada

Problema de documentación para Seamonkey en XP
Enviado por cartoinf el 2. Junio 2009 - 8:24.

Utilizo Seamonkey.

El problema que tuve es que como utilizo varios perfiles (de Seamonkey ) y tengo 2 particiones., el instalador del DNIe me dejo el archivo instala_modulo.htm en una carpeta del disco D sin avisar y me costó un tiempo encontrarlo, porque los estaba buscando en mi carpeta de descargas.

Dejando de lado ese problema, las instrucciones del portal del DNIe son bastante claras.

Sólo que por muy bien documentadas que estén, hay demasiadas personas que quieren que su ordenador funcione como una tostadora.

En Linux cuesta bastante instalarlo
Enviado por lpascual el 4. Junio 2009 - 10:55.

Yo instalé el software hace ya bastantes meses en mi openSuse 10.3. Me costó bastante instalarlo, y no funciona nada fino. Cuando está el lector, a veces se cierra Firefox. Además, es lento, lento, lento (comparado con otras tarjetas, como la de la ACCV, utilizando el mismo lector LTC31 o un Omnikey).

La principal razón de que aún no haya instalado openSuse 11 es que no tengo ganas de volver a pegarme con el software del DNI electrónico (aunque he visto que en la página del DNI electrónico hay versiones más modernas que la que tengo instalada).

Tampoco hubiera estado de más que el software fuera de código abierto. De esta forma se lo podría compilar uno mismo e intentar resolver los problemas que pudieran surgir.

lento o seguro?
Enviado por akas84 el 16. Junio 2009 - 6:59.

El DNIe todos los comandos que envia a la tarjeta, lo hace con los comandos bajo canal seguro, es decir, todas las comunicaciones están cifradas. Es por ello que el funcionamiento de la tarjeta va algo más lento, pero almenos tu pin no circula en claro entre el Sistema Operativo y el lector.

Saludos

Los drivers AMD64 no funcionan
Enviado por Shevek el 10. Junio 2009 - 8:51.

He conseguido instalar todo y funcionando en un miniportatil con Ubuntu. Pero en una distribución debian testing para AMD64, los drivers que proporciona dnielectronico.com no funcionan.

[shevek:~]$ pkcs11-tool -lO
[opensc-pkcs11] ctx.c:362:load_dynamic_driver: dynamic library '/usr/lib64/libopensc-dnie.so': invalid module version
[opensc-pkcs11] ctx.c:462:load_card_drivers: Unable to load 'dnie'.
[opensc-pkcs11] reader-pcsc.c:239:pcsc_transmit: unable to transmit
[opensc-pkcs11] apdu.c:394:do_single_transmit: unable to transmit APDU
[opensc-pkcs11] pkcs15.c:532:sc_pkcs15_bind_internal: unable to enumerate apps: Incorrect parameters in APDU
[opensc-pkcs11] pkcs15.c:794:sc_pkcs15_bind: returning with: Unsupported card
[opensc-pkcs11] pkcs15.c:794:sc_pkcs15_bind: returning with: Unsupported card
[opensc-pkcs11] pkcs15.c:794:sc_pkcs15_bind: returning with: Unsupported card
[opensc-pkcs11] pkcs15.c:794:sc_pkcs15_bind: returning with: Unsupported card
error: PKCS11 function C_OpenSession failed: rv = CKR_TOKEN_NOT_PRESENT (0xe0)

Aborting.

SKS, criptografía de curva elíptica de bolsillo
http://sks.merseine.nu

Version OpenSC?
Enviado por akas84 el 16. Junio 2009 - 7:00.

Que versión de OpenSC has instalado?

Por el error: 'invalid module version', tu versión no coincide con la versión para la cual están compilados los paquetes.

un saludo

Pues por enesima vez, no me funciona :(
Enviado por cegomez el 15. Junio 2009 - 10:22.

Muchas gracias por este artículo, por fin toda la información resumida y puesta en un solo sitio, lastima que no me haya funcionado la istalación.

He intentado en varias ocasiones y con distintas versiones del sistema operativo la instalación de DNIe pero siempre me ha fallado estrepitosamente. Lo he intentado hasta en 3 máquinas distintas siempre con identico resultado.

La parte de la instalación de las librerías de OpenSC y los drivers del DNIe, parece que va bien, la verdad es que ahora no tengo el lector y no he podido completar el paso 3, pero en casa si y pasaba lo mismo.

Al intentar instalar el certificado en firefox, comienza la pesadilla, el html que supuestamente lo instala de manera automática, me da un error y me insta a hacerlo de forma manual, despues de lo cual vuelvo a obtener el mismo error un escueto "No es posible añadir el módulo" Con lo que al final me encuentro en la misma situación que al principio, bueno no, las librerías de OpenSC y los drivers del DNIe los tengo instalados, pero no estoy seguro de que esto me sirva de nada.

Patrocinadores

Kriptópolis alojado en
Zilos-Veloxia Network
Tu mejor defensa:
Bufet Almeida