Hola a todos,
No quiero entrar en el debate tecnico, donde creo que hay opiniones tecnicas muy validas, ni en el politico, si debemos estar o no controlados.
La cuestion es que vivimos en España y ahora vamos a tener eDNI. Parto de la seguridad de la tarjeta. Mis dudas estan en el uso futuro y el tono del mail en ningun caso es de critica a nadie, simplemente me planteo cuestiones.
a)CRL. Como alguien apostillo va a tener que ser una GRAN, TREMENDA CRL, verdad?. Esta CRL sera publica con lo que podra ser accedida a traves de internet con lo que esta sujeta a ataques tipo DoS. La situacion que puede pasar es como pasa con el correo y las BRL (smtp). Esta gran CRL deberia estar distribuida, ¿no?, entre varios proveedores. ¿Estara todo eso pensado?
b)Lo mismo que la FNMT y la DGP o el MAP han podido pasar las certificaciones correspondientes de seguridad. No voy a entrar a discutir el tema porque entiendo que son necesarias, pero tambien me parecen un buen negocio para las consultoras. ¿Quien certificara las aplicaciones de terceros que hagan uso del eDNI? Caso practico. Quiero entrar en un servidor seguro. El servidor me va a pedir mi certificado. Los certificados son publicos. Nada me impide a mi, darle al servidor que no me esta validando fisicamente, el certificado de otra persona via software sin necesidad de lector, dni, ni nada. Yo puedo cargar en mi navegador el pkcs#11 que quiera. El servidor me pide el certificado del cliente y yo le doy el que quiera. Aqui es donde viene creo yo el problema, que pasa si el servidor no pide una operacion de firma. Eso ya no lo puedo hacer. Lo que quiero decir es que va a aparecer mucho software que valide personas utilizando el CRL publico y si este software no esta bien construido como el caso que he planteado creo que apareceran entonces situaciones que haran que la gente desconfie. ¿Quien certificara ese software? Por si acaso si lo que he comentado no es correcto por favor decidmelo.
Saludos a todos. Gracias.
Duda legal
fontj10 Mayo 2006 - 6:35pm
¿Que tipo de soporte o información se va a dar a la ciudadanía en relación al eDNI y en caso de uso fraudulento que responsabilidad legal tiene el ciudadano?
Open-VA
The fully accessible Open Source digital certificate and signature Validation Authority (VA)
www.open-va.org
Re: Dudas DNIe
Krampo18 Marzo 2006 - 2:44pm
Respecto a la verificación de los certificados revocados o suspendidos, no existirá una CRL como tal, sino que se pondrán (por aquí estarán enlazados) a disposición del público, con acceso gratuito y permanente 24x7, varios servidores a los que se podrán formular consultas OCSP.
Para ello se han establecido lo que se denominan Autoridades de Validación, que serán las que ofrecerán este servicio. Para eliminar "sospechas" de que la Policía pueda estar controlando y registrando cada uso que hagamos del DNIe en base a las consultas OCSP que se efectuen sobre el mismo, esta función siempre la harán entidades ajenas a la propia Policía (FNMT y MAP en principio, y Red.es posiblemente en breve). Y para reforzar más la seguridad del sistema, en estas consultas sólo se facilita el número de serie del certificado, así que la Autoridad de Validación no sabe quién es el titular del DNIe que se está validando.
De todas formas, efectivamente los servidores que ofrecen el servicio de OCSP están sujetos, como bien dices, a ataques DoS, pero ya ves que SÍ está previsto que haya varios servidores distribuidos, para darle más fiabilidad al sistema.
Respecto a la posibilidad de suplantar a alguien en un trámite de "identificación" haciendo uso de su "certificado de identificación", ten en cuenta que el "certificado" propiamente dicho sólo contiene información pública, así que te faltaría la clave privada asociada a ese certificado, puesto que es necesario usarla en cualquier trámite de "identificación/autenticación".
Para más información puedes empezar por la especificación de TLS/SSL. Ese es un tema que también hemos debatido por aquí hace unos días. Microsoft lo explica de forma bastante amena en su página sobre "Client Authentication Process During the SSL Handshake".
El mayor riesgo yo no lo veo en trámites que te soliciten "Identificarte" sino en webs que te pidan "Firmar". Ese es un tema comentado tanto en este decálogo de medidas del seguridad del DNIe como en el artículo "Phishing-Sign: ¿Estoy firmando lo que quiero firmar?".
Saludos.