DNie vs Ceres: ¿Seguridad vs Comodidad?

ATENCIÓN: Este sitio ha dejado de actualizarse el 15 de Abril de 2012 y se mantiene como archivo histórico de los contenidos publicados entre 2004 y 2012. Por favor, visita nuestro nuevo sitio para acceder a información actualizada. Muchas gracias.

DNie vs Ceres: ¿Seguridad vs Comodidad?

Mar 13

Por admin |

Considerando los inconvenientes que el uso del DNI electrónico (DNIe) genera en los trámites con la Administración, la mayoría de los expertos en certificación electrónica utiliza -y aconseja utilizar- también otros certificados que facilitan la experiencia con la administración electrónica haciéndola más amigable.

http://www.diariodenavarra.es/20110313/culturaysociedad/una-alternativa-...

11 comentarios sobre DNie vs Ceres: ¿Seguridad vs Comodidad?

Para mí, el problema
usrdxt
14 Marzo 2011 - 9:07pm
no es tanto DNIe vs Ceres, como que funcione alguno de los dos. En más de un trámite ante la Administración ponía que se podía utilizar tanto el DNIe como certificado de la FNMT.

DNIe no funcionaba. Llamada. "Utilice el de la FNMT si lo tuviera". Tampoco funcionaba. Llamada. "Nos están reportando problemas con los sistemas de la Sede Electrónica, por favor, haga el trámite presencialmente".

Más de una, más de dos y más de tres. Como lo cuento.

Pues me gustaría que me ilustraras
bledEX
14 Marzo 2011 - 6:10pm
No veo correcta la queja de que "hay que estar metiendo el pin todo el rato". El pin se requiere exactamente las mismas veces que con el certificado Ceres.

Pues me gustaría que me ilustraras sobre que accesos tiene, tú que sabes más :) (ya, ya, que me pase por los foros de kriptópolis, pues ya lo haré), porque a mí me parece excesivo que cada vez que accede [lo que sea] al DNIe, te pida el PIN. ¿Es comodidad que sólo lo pida una vez para acceder y otra para usar el certificado de firma, esta vez sí, cuando sea necesario? Pues me declaro culpable de comodidad.

Veamos...

jonsito
14 Marzo 2011 - 7:50pm

En la página de verificación del DNIe

http://www.dnielectronico.es/como_utilizar_el_dnie/verificar.html

Para autenticar:
- Al entrar: pide pin
- Seleccionar certificado de autenticación. Solo se pide cuando tienes más de un certificado susceptible de ser usado para autenticar. En mi caso, como tengo también el de la FNMT me presenta la casilla de selección de certificados

Total: 1 pin + 1 selección de certificado

En general al menos en linux para autenticar solo pide pin+selección 1 vez

Para firmar:
- pin (autenticación)
- Selección de certificado de autenticación
- introducción del texto a firmar
- Ventana de aviso de Firefox (crypto.signText())
* selección de certificado de firma (ídem que en el caso anterior si tienes varios certificados disponibles para ser usados como medio de firma)
* introducción de pin para operación de firma
- Ventana de aviso y confirmación de firma

Total: 2 pin + 2 selección de certificado + 1 confirmación

Por si acaso la web es especial, podemos probar con -por ejemplo- la de Hacienda. El resultado es el mismo

¿Es comodidad que sólo lo pida una vez para acceder y otra para usar el certificado de firma, esta vez sí, cuando sea necesario?

Pues a lo mejor es que no sé contar, pero a mi me sale que el pin sólo lo pide dos veces...

Pues será cierto y seré yo.

bledEX
14 Marzo 2011 - 9:29pm

Pues será cierto y seré yo. Fue hace mucho tiempo, pero me resultaba cansino que cada vez saltase unas cuantas veces la petición de PIN y no eran 2.

Ahora no puedo probarlo porque no sé que pasa que no me acepta el DNI el lector. No sé si se ha fastidiado (uno u otro) o yo que sé. He probado en varios PCs y no hay manera.

Seguro, no sé, pero incómodo..., de c.......

Aprovecho que ya has publicado

bledEX
14 Marzo 2011 - 9:59pm

Aprovecho que ya has publicado mi respuesta para aportar el error que me da:

Se rechaza el comando IOCTL y falla IOCTL GET_ATTRIBUTE. A veces también fallaba IOCTL POWER.

¿Cuál ha fallado, DNIe, o lector?

Lector, casi seguro

jonsito
14 Marzo 2011 - 10:49pm

A menos que puedas hacer un "power off" de un programa....

De todas formas, una consideración: En Fedora 14 he tenido problemas con pcsc-lite y libccid: en ocasiones el lector empezaba a fallar y a no reconocer las tarjetas... había que desenchufar y enchufar el lector, relanzar los demonios.... despues de comprar dos o tres lectores (15€ cada uno en correos) se me ocurrió usar los drivers de fedora 15... y resultó que lo que fallaba era la libccid de Fedora 14... y no los lectores :-(. Es pues posible que tengas problemas bien con la versión de pcsc-lite, bien con la libccid

Aprovecho el post para comentarte que a pesar del tono sarcástico tanto de tu primer post como de mi respuesta, si que es posible que en algunos casos te hayas encontrado con que se te pide el pin más de una vez: El driver original que publicó la DGP tenía la mala costumbre de reiniciar el canal seguro cada dos por tres, con lo cual había que iniciar el proceso de establecimiento, que implicaba un reset de la tarjeta, y consiguientemente una nueva petición de PIN...

Con el driver OpenDNIe esto no pasa, aunque sigue teniendo el problema del acceso concurrente al pkcs11 (el problema de los applets de firma en Linux). Si todo va bien y contamos con algo de ayuda, en un mes o dos, tendremos el problema de la concurrencia resuelto.

Vale, entonces quedamos como amigos

bledEX
14 Marzo 2011 - 11:24pm

Vale, entonces quedamos como amigos :P

Aunque yo estoy bajo Windows, así que el fallo no estará en lo mismo. Pero lo que has dicho ya lo he reintentado varias veces. Parando/iniciando el servicio de tarjetas inteligentes de windows, conectando/desconectando el usb, enchufando y desenchufando físicamente...

Si eran los drivers (la petición de PIN interminable), y pasaba bajo Windows igual, porque tú hablas de Linux, te puedo decir que debió de pasarme con la 4.0.0 y/o con la 6.0.0, que son las primeras que utilicé (tengo las 4 versiones guardadas que he ido instalado de la 4 a la 6.0.2). Aunque, vamos, tengo la última y la penúltima, y no sé para qué, pues con estas no he usado nunca el DNIe. Que, ahora que lo pienso, el driver de la DGP es lo único que no he reinstalado, e igual es la última versión la que da el problema porque es la que he usado en el otro equipo :-?

Probaré a reinstalar todo otra vez, incluyendo el driver de la DGP, poniendo otras versiones... a ver si así...

Nada, 1 hora perdida de mi

bledEX
15 Marzo 2011 - 12:42am

Nada, 1 hora perdida de mi vida y reinicios para 1 mes. No se lee el DNIe, ya sea por el chip, ya sea por el lector.

Sea como sea, y volviendo al tema que se trata, a mí no me parece menos seguro el certificado de la FNMT, aunque coincido en lo del keylogger, pero volvemos al mismo punto muerto de siempre. Depende de las prácticas de seguridad de cada uno.

Aunque, en términos absolutos, lo reconozco, el de la FNMT (dada la exportabilidad no posible con el DNIe), sea menos seguro, prefiero este por casos como el mío. Con el DNIe, te falla algo, y, ya no es la molestia (que no funcione, tener que desplazarte una burrada para ir a una comisaría, etc), es hasta el coste (el lector, gasolina).

Estoy de acuerdo con lo que se dice en esta web de comodidad!=seguridad, pero ante este caso, yo no veo con buenos ojos el DNIe. Me irrita.

Resulta curioso...
jonsito
14 Marzo 2011 - 10:45am
Que la Casa recomiende el uso de Firefox. Dice mucho de cómo están cambiando las cosas para bien, y no solo en la FNMT sino en el resto de la administración...

Yo he usado (y sigo usando) el certificado de la FNMT habitualmente en todos aquellos sitios donde la maldita manía de usar applets de firma me impide usar el DNIe. Pero no puedo por menos reconocer que hay que ser muy consciente de lo que se hace:

- Se está usando un dispositivo software, que en caso de equipo comprometido puede ser copiado, y distribuído sin tu conocimiento/consentimiento.
- La "seguridad" del certificado se limita a la propia seguridad de la clave que protege el CertStore. Si te capturan (¿keylogger?) la clave, estás perdido. En el dni la protección es doble: necesitas no solo la clave(pin) sino la posesión física del DNIe
- El uso de CertStores implica consideraciones de seguridad importantes en caso de uso incorrecto: es muy común que en una declaración conjunta de IRPF el certificado del progenitor A y el B y de los vástagos declarantes se almacenen juntos, con lo que cualquiera de la unidad familiar que conozca la contraseña puede acceder a los certificados del resto

Por contra, el uso del DNIe es un auténtico coñazo:
- Primero: necesitas un lector. Hasta que no haya un esfuerzo serio por que todos los PC's vengan equipados con lectores de SmartCards, la difusión del DNIe se verá obstaculizada
- Segundo: necesitas un driver para el lector, y un segundo driver para el DNIe. (En lenguaje linux: pcsc-lite + OpenDNIe)
- Necesitas que las aplicaciones estén correctamente diseñadas para poder manejar el DNIe, caso especialmente sangrante en entornos Linux

No veo correcta la queja de que "hay que estar metiendo el pin todo el rato". El pin se requiere exactamente las mismas veces que con el certificado Ceres.

El problema es que el DNIe incorpora varios certificados, uno para autenticar y otro para firmar, y el "coñazo" para el usuario es tener que ir decidiendo qué tiene que hacer en cada caso. Una aplicación bien escrita, usaría el campo "KeyUsage" del certificado, y solo preguntaría en caso de duda... Y la confirmación de la operación de firma, lejos de ser un problema se ha revelado como algo muy necesario. ¿Que tienes que pulsar "Aceptar" más veces?... pues ojalá todos los males fueran esos

En mi opinión (interesada :) El DNIe es un producto muy bien hecho, realmente cuando nació era el no-va-más de la tecnología en SmartCards. La gente de la FNMT hizo un muy buen trabajo durante su diseño, aunque visto en retrospectiva algunas cosas -como la inclusión del email, o permitir el uso de canales seguros concurrentes- se hubieran agradecido.

De hecho actualmente la única debilidad conocida en cuanto a "seguridad", es la "facilidad de autodestrucción" del dispositivo. Por ejemplo, al (des)conectar el lector con el DNIe insertado la variación de tensión de alimentación puede ser interpretada en ocasiones como un ataque y provocar que el DNIe se autodestruya. No es normal, e indica que el usuario es(soy) un manazas, pero puede ocurrir

En cualquier caso, y como siempre ocurre, en mi opinión el problema es como siempre de cultura tecnológica. Si la gente realmente no sabe lo que tiene entre manos (incluso nosotros los "tésnicos" tenemos problemas), es muy difícil conseguir aceptación. Inteco y Red.es están invirtiendo mucho tiempo y dinero en cursos de formación, tanto técnicos como "populares". Pero queda muuuuucho trabajo, tanto a nivel de Administración como de Ciudadanía

Y en cuanto a recomendar el certificado Ceres frente al DNIe... pues depende de para qué. Cuando legalmente tienen consideración distinta, será por algo. Mi sugerencia es que solo se deben firmar mediante "token software" aquellas cosas que en caso necesario puedan ser revocadas a posteriori. Vamos, usar el certificado como si de una tarjeta de crédito se tratara.

Juan Antonio

... vs Necesidad?
inar
14 Marzo 2011 - 1:47am
Tengo conocidos que han de firmar con FNMT/CERES porque aun tienen el DNI antiguo, y no les entregan el nuevo hasta que el actual caduque.

Obtener el nuevo DNIe

Calario
14 Marzo 2011 - 6:22pm

En caso de pérdida, robo, deterioro, etc. te dan el nuevo y si quieres cambiarlo porque sí, creo que también, pero pagando, claro.

Sobre el autor

admin

Desconectado

Se le vio por aquí: hace 4 días 8 horas

Ingresó: 22/10/2004

Kriptópolis

Criptografía y Seguridad