El triste estado de los drivers del DNI-electrónico

 

 

Enviado por naw el 24 Mayo 2010 - 12:13pm

Por naw

Si vamos a la página del DNIe podemos ver que hay cosas bastante mejorables.

Para empezar, no hay versión cifrada bajo HTTPS. Si intentamos acceder obtendremos un timeout. De este modo, no podemos tener garantías de que el contenido al que queremos acceder es realmente al que estamos accediendo. Esto es especialmente grave siendo la página de donde debes descargar los drivers.

En el caso de que alguien con aviesas intenciones hiciera un ataque man-in-the-middle podría manipular el archivo que nos vamos a descargar de forma que bajasemos una versión troyanizada del mismo que firmase cosas que nosotros no queramos firmar. Un ataque man-in-the-middle puede parecer atípico, pero no es imposible. Además, puesto que las firmas realizadas con DNI electrónico tienen validez legal, toda precaución me parece poca...

"Afortunadamente" en la web hay archivos .sign que permiten realizar la comprobación de que los ficheros son los correctos. Y pongo afortunadamente entre comillas, porque no es un proceso al alcance del usuario de a pie. En el caso de Linux, podríamos admitir este sistema (aunque el certificado raiz no esta incluido por defecto, así que habría que buscarse la vida para verificar la cadena de certificación) puesto que los usuarios suelen ser avanzados. Pero en el caso de Windows (el sistema usado por casi todo el mundo) esto no es realista. La solución ideal sería usar el propio sistema firmado de código que trae Windows pero, al menos hasta hace unas semanas, este no es el caso y lo que podemos ver es un mensaje en que se nos pregunta si queremos ejecutar el software de un publicador desconocido.

Por otro lado, la versión para Unix del driver sólo está disponible compilada. Los desarrolladores de OpenSC, para desincentivar la creación de módulos cerrados, obligan a que los módulos sean compilados para cada versión de OpenSC. Esto provoca que, o bien haya que usar versiones antiguas de OpenSC, o bien haya que recurrir a inventos.

Aparte de eso también podemos ver que las versiones para las distribuciones que tienen soporte no son precisamente modernas: para Ubuntu la última versión es para Karmic cuando Lucid salió hace casi un mes. Esperemos que no siga el camino del de Fedora, cuya última versión es para Fedora 10, mientras que Fedora 11 salió en Junio de 2009 y Fedora 13 sale en un par de días. Eso por hablar de las distribuciones que están soportadas.

En MacOS X, por lo que veo, también hay problemas ya que pide una versión obsoleta de OpenSC.

Lo primero que hice fue mandar un mail a las direcciones de correo de la web. Hace bastante de eso, y por ahora no he recibido respuesta, así que sirva este texto para ejercitar mi derecho al pataleo.

Por cierto, el certificado raíz del DNIe sigue sin estar incluido en Mozilla, al igual que el de la FNMT.

Para acabar, una curiosidad, en al menos uno de los drivers se han dejado los archivos internos de subversion.

‹ OCSP consulta Leer Clave Privada DNIe desde MHP 1.2 (SRT 5510 mhp) ›

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
naw's picture

Bueno, pues ha sido escribir esto y recibir un mail

Enviado por naw el 24 Mayo 2010 - 10:51am.

Bueno, pues ha sido escribir esto y recibir un mail de ellos:

Agradecemos sus comentarios y coincidimos con usted en los extremos que plantea. En breve están previstas acciones que sin duda disminuirá los efectos que describe en su atenta carta, entre ellas la identificación de la página web mediante un certificado de servidor expedido por la PKI del DNIe, la publicación de un manual con los comandos APDU necesarios para acceder al DNIe a bajo nivel y el código fuente de los módulos pkcs#11. Esta información permitirá que los responsables de las distribuciones GNU/Linux mantengan actualizadas las dependencias tras los cambios de versión de los productos implicados.

En resumen, la web estará accesible mediante HTTPS (firmado con el certificado raiz del DNIe), las especificaciones para comunicarse con el DNIe se publicarán, y el código fuente se liberará.

Creo que es la mejor noticia que podía oir.

otroestafadoporeldnie's picture

Me suena haber preguntado lo mismo hace un año

Enviado por otroestafadopor... el 24 Mayo 2010 - 1:31pm.

Me suena haber preguntado lo mismo hace un año o año y medio y haber recibido la misma respuesta, no es por desmotivar, pero creo que es un abuso por parte de la gente que gestiona lo del dnie lo mal que lo han estado haciendo hasta ahora.

A ver si al final fuese verdad y liberasen fuentes y comandos, sería un grandísimo avance. Si además intentan incorporar los certificados con una mejora en la política de certificación podríamos estar a la vanguardia europea en algo por primera vez en la historia (en Finlandia ya sé lo de los móviles con sim que soporta firmado pero aqui hay lo mismo con movistar y vodafone segun la fnmt).

jonsito's picture

Al menos te han respondido

Enviado por jonsito el 24 Mayo 2010 - 1:53pm.

Porque yo todavía estoy esperando respuesta a los dos correos que les mandé pidiendo instrucciones sobre cómo recibir el código fuente del OpenSC-0.11.7-7 que incluyen en el tgz que distribuyen para Fedora 10...

Porque dicha versión nunca ha sido publicada ni por OpenSC ni por Fedora, y según su changelog contiene modificaciones que la hacen incompatible con el OpenSC-0.11.7 original, y que según la LGPL tienen obligación de poner a disposición del que la solicite.... y que para más recochineo, en su /usr/share/doc/opensc incluyen una copia de la LGPL...

Y ojo, que no estoy hablando del modulo propietario, no. Estoy hablando del OpenSC que distribuyen junto al modulo propietario en el paquete para Fedora 10.

Como dicen por ahí: "El primer pirata: Gobierno de España"

Gegen die Dummheit kämpfen selbst die Götter vergebens - Schiller

naw's picture

Me han respondido

Enviado por naw el 24 Mayo 2010 - 2:55pm.

Me han respondido los del Servicio de Atención al Ciudadano, anteriormente (hace casi dos meses) me había dirigido a la oficina técnica, que era el email que venia en la sección de drivers.

De la oficina técnica no he obtenido ninguna respuesta. Del servicio de atención al ciudadano me han respondido en 12 días.

Hace 4 semanas el desde OpenSC se envió un mail para hablar de la licencia, y no parece que hayan obtenido respuesta.

usrdxt's picture

En realidad...

Enviado por usrdxt el 24 Mayo 2010 - 3:35pm.

es lamentable cómo se lleva el ámbito de las TIC en la Administración.

Hace un año, una persona allegada se inscribió en un proceso selectivo de la AGE a través de la web del 060. Con su DNIe, pago de tasas telemático ante la AEAT, pero no pudo completarlo por incidencias en el registro telemático de la presidencia (no otorgaba la respuesta adecuada para certificar su instancia electrónica).

Mandó un email y le respondieron que ese día se estaban sufriendo incidencias. Las incidencias llevaban 3 semanas ocurriendo y siguieron así al menos otras 2. Total: más de 1 mes (donde se convocaron muchas oposiciones, recordemos el plazo estandar de 20 días para instancias) con el registro inoperativo, aunque en ningún sitio de la web se advertía de tal hecho.

Si no puedes dar un servicio, no lo ofrezcas o avisa de lo que se puede y de lo que no, es así de simple, que no cuesta tanto :(

Ese mail huele más a respuesta semiautomática que a otra cosa (y podría contar un par de anécdotas al respecto que son para mear y no echar gota)

Calario's picture

Está muerto

Enviado por Calario el 25 Mayo 2010 - 9:05am.

El DNI electrónico es un exquisito cadáver al que hemos matado entre todos.

No se ha apostado por él en los lugares en los que se debería haber hecho: bancos, empresas de suministros y servicios, administraciones públicas.

Se ha cuestionado su seguridad, que es sobrada para la mayor parte de sus aplicaciones, al mismo tiempo que se están transmitiendo mensajes alarmistas sobre los delitos tecnológicos.

Se ha percibido como una amenaza en determinados sectores y no se ha hecho nada para cambiar esa percepción.

Se ha hecho un esfuerzo mayor en establecer un marco legal de carácter obligatorio que en "abonar el terreno".

Hace un par de años que me choque con varios muros y no hay mucho que se pueda hacer. Una lástima.

naw's picture

El comercio

Enviado por naw el 25 Mayo 2010 - 11:02am.

Se ha cuestionado su seguridad, que es sobrada para la mayor parte de sus aplicaciones, al mismo tiempo que se están transmitiendo mensajes alarmistas sobre los delitos tecnológicos.

Se duda de su seguridad, y hasta cierto punto es normal. No por un problema intrínseco del DNIe, sino por un problema general del comercio electrónico. El DNIe, al igual que otras tecnologías como HTTPS, no protege la comunicación entre el usuario y el banco, sino que protege la comunicación entre el el PC del usuario y el servidor del banco. Podemos asumir que el servidor del banco es seguro (no nos queda otra), pero asumir que el ordenador del usuario es seguro es harina de otro costal. Y si el ordenador del usuario esta comprometido, es probable que se pueda engañar al usuario para que firme cualquier cosa. Si bien es cierto que, aún así, el DNIe sería más seguro que el certificado de la FNMT puesto que la clave privada no sale de la tarjeta.

En España, en septiembre de 2009, el 56,2% de los ordenadores estaban infectados (35.4% ordenadores troyanizados). Con un panorama así, animar al uso del comercio electrónico al público en general me parece arriesgado.

No digo que el DNIe no sea un avance ni sea importante, pero me parece que solo parte de la población está capacitada para usarlo. En este aspecto, me parece positivo que se hagan jornadas de formación sobre el DNIe (en las que creo que se regala el lector). Pero me da que no se hablará mucho de seguridad informática en esas charlas.

Otro problema también es que formar a la gente en el uso del DNIe, regalar lectores (no sé hasta que punto la gente estará dispuesta a pagar los 15€ que costará el lector), adaptar las páginas web (de la administración y los bancos) cuesta dinero, y la situación económica no está para muchos gastos ahora mismo. Aparte de que no sé si las empresas tendrán muy claro que la inversión les resulte rentable.

Si además añadimos que hay que la seguridad informática es un aspecto en constante evolución y que requerirá formación continua, los costes se incrementarán (tanto en dinero como en tiempo requerido para la formación). Y, a menos que se plantee muy bien, la gente puede que le coja miedo a los tramites electrónicos y que opten por la opción segura de siempre, hacer los tramites presencialmente.

Además ¿hasta que punto estará la población dispuesta a invertir tiempo en formarse? Los usuarios avanzados, a los que les gusta la tecnología, seguramente estén dispuestos y, de hecho, ya tendrán conocimientos de seguridad más que aceptables. Pero con la población en general me temo que la cosa va a ser muy diferente, recursos tienen a su alcance, pero dudo que los conozcan o que se quieran tomar la molestia.

Calario's picture

Capacitados para lo que queremos

Enviado por Calario el 26 Mayo 2010 - 9:55am.

No sé, no sé. Mucha gente se ha informado y formado para poder ver GolTV, por no hablar de la cantidad de gente que se ha formado e informado para saltarse los sistemas anticopia de diversa índole, desde consolas de vídeo juegos hasta señales de televisión por satélite.

Vamos, que la gente es muy lista, o al menos lo es si está motivada, y no se está motivando a la gente para que use el DNIe.

Por otro lado, la movilidad es algo imparable, y por ese camino deberían ir los tiros.

En lugar de pensar en que el DNIe se use (sólo) en casa (ordenadores de dudosa seguridad) se podrían poner ordenadores públicos para realizar las gestiones. Y no se trata de descubrir la pólvora, porque los bancos ya hacen esto desde hace décadas.

Vamos, que si una buena parte de la población usa con naturalidad teléfonos móviles, ordenadores, navegadores, sistemas multimedia, tarjetas bancarias, realiza reservas de entradas, viajes y hoteles, o gestiones bancarias telemáticamente, la poca penetración del DNIe no creo que haya que buscarla ahí, por muy socorrido que sea el argumento.

BitFarmer's picture

Es bastante inseguro

Enviado por BitFarmer el 26 Mayo 2010 - 10:35am.

Siento decir que a mi, el DNIe, me parece algo bastante inseguro.

Cuando vas a sacártelo, te lo dan sin PIN, y tienen una maquina a la salida para fijarle uno. Si yo te robo la cartera con el DNIe dentro, es casi seguro (al 90%) que no tiene clave (pregúntale a tu abuela si le puso clave), así que me voy a la comisaria, y en sus narices meto el DNIe robado en la maquinita y le pongo de PIN 1111.

Bingo, todo el sistema criptográfico a la basura y yo puedo hacer lo que quera en nombre del susodicho, con *plena validez legal* y sin que un grafólogo pueda decir que falsifique la firma... porque no lo hice. La existencia de estas máquinas ES un grave talón de Aquiles para todo el montaje.

Dejando aparte troyanos, keylogers, ordenadores cuánticos o algoritmos de hash semi-obsoletos como el SHA1, el problema son los usuarios, NO están preparados para tener algo así de potente, simplemente.

algundiarecordaremiusuario's picture

No es que te lo den sin PIN

Enviado por algundiarecorda... el 26 Mayo 2010 - 1:52pm.

No es que te lo den sin PIN, es que no te dan el sobre con el PIN aleatorio que se ha generado, por eso tienes que PARA PODER USARLO, ir a la máquina PONER TU HUELLA DACTILAR en el lector y entonces o bien se generan las llaves o bien se fija una nueva contraseña.

Es decir, si te encuentras un dnie, NO podrás usarlo (si no tiene PIN tampoco porque entonces NO estará activado) y para activarlo hace falta la huella dactilar del usuario.

Otra cosa es si a tu abuelita le cortas el dedo, ahí ya no te digo nada, pero entrar en una comisaría con un dedo humano cortado (un índice) se me antoja un poco más peligroso que falsificar una firma manuscrita. Pero oye, tu mismo, es tu abuela!