Necesidad (o conveniencia) de un entorno seguro de firma y autentificación para el e-DNI

Enviado por Fernando Acero el 29. Diciembre 2007 - 23:02.

Por Fernando Acero

Con más de 1.200.000 e-DNI expedidos y con una creciente cantidad de servicios de la Administración y de las empresas accesibles a través de Internet con el e-DNI, los desafíos son muchos y es el momento de plantearnos algunas cosas, como la seguridad, con el rigor que merecen.

EL PROBLEMA

El e-DNI tiene una certificación Common Criteria” EAL 4 + según el "Protection Profile" europeo para tarjetas inteligentes. Asimismo, gozan de certificación "Common Criteria" todas las aplicaciones (software) que se ejecutan en el e-DNI. Por otra parte, se ha establecido la posibilidad de certificar a los prestadores de servicios en los que intervendrá el e-DNI con los niveles "Common Criteria" EAL-1 y EAL-2 (para que sea más asequible a los prestadores de servicios), lo que sin duda nos dará una mayor tranquilidad. Pero todavía falta un factor en la ecuación para que la seguridad sea completa: el entorno de usuario en el que se genera la firma o se autentifica e usuario...

Si atendemos a las declaraciones de José Luis Díez Aguado, director técnico del proyecto de DNI electrónico, podemos estar preocupados. En aquella ocasión dijo algo tan grave y preocupante como que "el DNI electrónico sólo podrá piratearse si el ordenador no es seguro". A mi no me cabe la menor duda, de que esta afirmación ha sido sacada de contexto y que Díaz quería decir otra cosa, A pesar de que el ordenador esté comprometido, sería muy difícil, si no imposible, “piratear” el e-DNI, en el sentido que todos entendemos por "piratear". Yo creo que lo que Díez quería decir, es que si el ordenador está comprometido nada garantiza que no se acabe firmando lo que no se quiere, o lo que no se debe, lo que es un serio problema, sobre todo por cargar la prueba y las tintas en el lado del usuario.

No me cabe la menor duda, de que el aumento de los servicios telemáticos y la generalización del uso del e-DNI, aumentará el riesgo y la rentabilidad de del malware específico, en especial, los troyanos, backdoors, adware, phishing o las nuevas variantes de la ingeniería social, por lo que debemos poner los medios para evitar o minimizar estos riesgos.

En un reciente estudio de Panda Labs, se determinó que "los troyanos representaron un 75% del nuevo malware aparecido en el tercer trimestre de 2007". El nuevo malware puede hacernos ver lo que no es cierto mediante la generación de código html o javascript dinámico.

Si ahondamos más en la situación, tenemos otro preocupante estudio sobre la “Seguridad de la Información y Confianza de los Hogares Españoles”, esta vez realizado por el INTECO. Dicho informe dice que "el 72% de los ordenadores domésticos que acceden a Internet, están infectados con algún tipo de código malicioso, con el objetivo de infiltrarse en el ordenador, o dañarlo sin el conocimiento de su dueño".

Llegados a este punto, está claro que la seguridad no es el punto fuerte de los Españoles y repetiré algo que ya he dicho en otra ocasión:

También nos debe abrir los ojos un informe del SANS Institute [PDF] sobre los 20 riesgos más importantes a la seguridad en Internet, "los usuarios que son fácilmente engañados y las aplicaciones creadas a medida", se encuentran en los dos primeros puestos y se conforman de este modo, como los principales objetivos para los atacantes. Hispasec reconoció en un estudio reciente y a pesar de como están las cosas por el mundo, que "la seguridad no es una prioridad para los usuarios", o quizás, podemos decir que "la seguridad sigue sin ser una prioridad para los usuarios". Puede que esta postura de los usuarios sea el fruto no deseado de la cultura lanzada por algunas empresas de software, de que la "informática es apta para todo el mundo" y de que "todo es sencillo y automático cuando realmente no han hecho o logrado que eso sea así", convirtiendo el "user friendly software" en "red hot chili suicidial challenge". Gracias a ello, los usuarios solamente se acuerdan de la seguridad de sus sistemas cuando les limpian la cuenta y desgraciadamente, estos afectados son cada día más numerosos."

 

LA POSIBLE SOLUCIÓN

Para muchos de nosotros, el panorama no puede ser más pesimista y es muy fácil pensar en que el problema no tiene solución. Al fin y al cabo, el problema involucra a los usuarios y a sus circunstancias personales y tecnológicas, lo que es un mundo. He pensado mucho en ello y veo casi imposible que los ciudadanos se conciencien y obtengan los conocimientos suficientes, como para que puedan evitar todos los riesgos y amenazas actuales. No en vano, estos usuarios no son informáticos, ni deberían serlo, para usar un e-DNI con seguridad. Por ello, es necesaria una solución tecnológica, que además, sea lo más independiente posible de los conocimietos de los usuarios, de la configuración de sus sistemas, del software de seguridad disponible en sus ordenadores y del posible estado de infección de sus sistemas.

Creo que la solución podría estar en la tecnología "live", que permite arrancar un sistema completo desde un DVD CD-ROM o desde dispositivo USB, sin necesidad de instalar nada en el sistema. La idea, que ya se trató por primera vez durante el primer VotoBit en la Universidad de León, allá por el lejano año 2003, es la de crear un entorno seguro de firma y autentificación para el usuario, basada en tecnología "live". Dicho entorno al ser fijo se podría certificar mediante “Common Criteria”, de forma similar a como se ha hecho con el e-DNI y se piensa hacer con los prestadores de servicios que lo requieran para sus aplicaciones que hagan uso del e-DNI, cerrando así el círculo de seguridad entre todos los elementos involucrados en el uso del e-DNI.

El usuario solamente tendría que bajar la ISO de la página oficial del e-DNI (o solicitar un CD/DVD a la Administración), comprobar su HASH, grabar un CD/DVD, arrancar con él su sistema, configurar la red (lo que se puede hacer mediante un asistente paso a paso), conectar su hardware (que si está homologado sería reconocido y configurado automáticamente por el entorno seguro de autentificación y firma), introducir su e-DNI y ponerse a trabajar. Un sistema rápido, que nos permite usar el e-DNI sin tener que instalar nada en el ordenador y que tampoco deja rastro cuando dejamos de trabajar con él, algo muy conveniente cuando estamos fuera de casa, o el ordenador no es nuestro.

Este sistema garantizaría, que cada vez que se arranque el ordenador por el usuario, el sistema estaría limpio como una patena de malware, y los riesgos asociados serían casi nulos. Incluso en el caso de una infección accidental, solamente estaría comprometida una única sesión. Bastaría con apagar y encender el ordenador para dejar todo como el principio, sin software de limpieza adicional, sin tener que formatear el sistema y en pocos segundos, lo que ya es bastante si consideramos todo lo que significa normalmente limpiar un sistema de malware. Es evidente también, que el coste de desarrollo y actualización de este entorno seguro de autentificación y firma, sería mínimo dado en el estado del arte de las disribuciones "live" en la actualidad.

Dicho entorno seguro, también se puede dotar de todo aquello que necesite para conectarse y trabajar en Internet con el e-DNI y para mejorar su seguridad. Al mismo tiempo, se pueden añadir otros posibles elementos de valor añadido, como sistemas de comprobación de integridad (semáforo de uso), uso de firmas SHA-2, servidores de DNS certificados, protecciones anti- phishing, cifrado fuerte en las conexiones y en la memoria, navegador con configuraciones optimizadas para la seguridad, etc.

El abanico de posibilidades es inmenso, incluso para los proveedores de servicios, que podrían añadir su software y operativas específicas en el CD una vez certificadas. Por ejemplo, se podría usar este entorno como software de base para el desarrollo de cajeros automáticos, software específico para determinados servicios, como la banca a través de Internet, o para el desarrollo de dispositivos de hardware que usen el e-DNI. En definitiva, podemos dotarle de todo lo que se quiera y se considere necesario para la seguridad y para facilitar el uso del e-DNI por parte de los usuarios. Este entorno seguro de firma y autentificación, podría disponer de menús, o de asistentes sencillos y accesibles, para usuarios no expertos, o con problemas de discapacidad, de forma que pudieran realizar las operaciones básicas con su e-DNI, como firmar un documento, autentificarse ante un servicio, con una facilidad que ahora no tienen.

Pero esta solución también nos puede proporcionar otras ventajas adicionales. Por ejemplo, reduciría la necesidad detener distintas versiones de los controladores para distintos sabores de Linux (algo que nunca ha estado completamente resuelto hasta el momento, por el problema evidente de tener que contemplar todos los casos y las versiones de los sistemas operativos, y proporcionaría un entorno común, estándar y certificado para probar el hardware asociado al e-DNI, los controladores y los servicios de terceros. Algo que también reduciría de forma importante la necesidad de soporte técnico por parte de todos los agentes involucrados (Administración y empresas), lo que implica ahorros en tiempo, personal y sobre todo, en dinero.

Esta solución no implicaría una sustitución de las existentes en la actualidad, con las distintas versiones existentes para los distintos sistemas operativos, pero proporcionaría a los usuarios un entorno seguro de autentificación y firma, de forma cómoda, rápida y eficaz, con una total garantía de funcionamiento. Como he dicho, he estado pensando mucho sobre este tema y he sopesado varias opciones, pero sinceramente, dados los hechos y las circunstancias que he comentado antes, creo que ésta es la mejor de todas las soluciones posibles.

"Copyleft 2007 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Ideas y problemas

Enviado por ayanes el 30. Diciembre 2007 - 2:22.

Hola Fernando la solución propuesta goza de gran elegancia, exceptuando algunos puntos de usabilidad.

Utilizar una live-cd supondría tener que concienciar al ciudadano de a pie que cada vez que tenga que firmar electrónicamente un documento deberá reiniciar y cambiar su entorno de trabajo para realizar dicha acción; ya que como bien comentas buscamos la exclusividad en la sesión; pero seamos sinceros ¿cuanta gente reiniciaría para usar un supuesto entorno seguro?, este mismo concepto es aplicable a la gente que usa banca electrónica; si la gente no utiliza una live-cd para gestionar sus cuentas bancarias, me cuesta creer que lo vayan hacer para firmar documentos ( por mucho que debieran).

Una solución puntual y tal vez algo compleja ( pero más segura, por la seguridad física que requeriría ) sería ofrecer puntos de firma electrónica, es decir equipos asegurados y revisados para firmar documentos. Un ejemplo sería un equipo instalado en puntos públicos protegidos (¿comisarías, bibliotecas, ...?) donde con tu E-DNI se creara una sesión única y que permitiera firmar los documentos adjuntos que traigas en un pendrive ( puede sonar utópica la idea, pero puestos a buscar algo seguro..). Cierto es que perderíamos la ventaja de "firmar desde casa", pero recordemos que tampoco podemos sacar dinero por nuestra "diskettera", debemos ir a un cajero para ello.

Por otro lado y a decir verdad lo que mas me preocupa es que la firma del E-DNI siga usando SHA1. Según la documentación técnica del E-DNI la doble firma de SHA1 & SHA256 era por motivos de compatibilidad con los sistemas operativos vigentes cuando se creo el E-DNI, véase Microsoft Windows o lo que es lo mismo o se usaba SHA1 o nadie exceptuando la gente con Vista (y lógicamente la gente sistemas operativos libres) iba a poder firmar. Si mal no recuerdo dicha documentación hablaba de que la firma mediante SHA1 "caducaría" dos años después, es decir, ¡mañana!. Que dicho periodo se dejaba para que se implementarán soluciones para el uso de SHA256 en los sistemas operativos que fuera necesario.

Seamos claros mañana es 31 de Diciembre ¿soportan ya todos aquellos sistemas operativos que hace 2 años NO lo hacían la firma con SHA256?

La respuesta esta a la espera.

Un saludo, Adrián Yanes.

"Copyleft 2007 Adrián Yanes Martínez. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved"

Impracticable

Enviado por anónimo el 30. Diciembre 2007 - 11:32.

La "solución" propuesta es una idea friki, sólo utilizable por ciudadanos frikis.

A ver qué haces cuando llega la hora de imprimir y el CD no te ha reconocido la impresora porque es una de esas solo-for-windows de 30 euros en el carrefour :(

Es una forma de verlo

Enviado por Fernando Acero el 30. Diciembre 2007 - 20:40.

Estimado anónimo, es una forma de ver las cosas, pero creo que actualmente no hay ninguna forma de garantizar un entorno seguro de firma y autentificación completamente certificado EAL para los ciudadanos que no sea esta. Podría haber soluciones basadas en software propietario adicional, pero como siempre, al ser software añadido a un sistema con sus circunstancias particulares, la seguridad no sería absoluta y solamente se podría certificar parte.

También creo que es obligación de la Administración proporcionar esta posibilidad a los usuarios. Otra cosa será que la quieran usar, pero como es lógico, nadie les puede obligar y al fin y al cabo, si firman lo que no deben es y será su problema. El mundo de las evidencias electrónicas es lo suficientemente complejo como para podamos decir sin lugar a dudas, que si un usuario "no friki" tiene problemas por ser inseguro su sistema, también tendrá muy complicado demostrar el origen fraudulento de una firma arrancada con engaños o no deseada.

De todos modos, el uso actual del e-DNI con la instalación de todo su software y hardware necesario no deja de ser bastante "friki" en muchas ocasiones, sobre todo, cuando el software se "niega" a reconocer ciertas cosas. La "live" traería esos problemas resueltos de "serie". La "live" no le va a exigir más que configurar su red, que una vez conocida la "receta" puede hacerlo con toda facilidad, incluso podría guardar dicha configuración en un archivo cifrado en un pendrive o en un directorio LDAP. Al fin y al cabo, para conectarse a la Red también ha tenido que configurar su ordenador antes, por lo que es presumible que conoce los parámetros y sabe la forma en la que lo tiene que hacer.

Respecto a la compatibilidad con determinado hardware, todos, absolutamente todos los sistemas que conozco tienen una lista de hardware reconocido, la "live" tampoco es una excepción. Aunque también es cierto que puede reconocer todo lo que el fabricantes de hardware quieran. Como he dicho, esta "live" podría sentar el estándar de compatibilidad de los sistemas y del software para la firma electrónica, lo que sería bastante interesante para todos los sectores involucrados, que podrían proporcionar y certificar sus productos de hardware y software en este entorno de seguridad.

De todos modos, si se te ocurre una idea mejor para garantizar en casa de un "no friki" un entorno seguro de firma y autentificación, estamos dispuestos a escucharte.

Un saludo, Fernando Acero

"Copyleft 2007 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Pues entonces...

Enviado por anónimo el 30. Diciembre 2007 - 22:03.

actualmente no hay ninguna forma de garantizar un entorno seguro de firma y autentificación completamente certificado EAL para los ciudadanos que no sea esta

Vale, pues entonces sigue sin haber ninguna, porque la que tu propones es absolutamente irrealizable en la práctica.

Yo es que niego la mayor: creo que el eDNI es un error de partida, porque no está el horno de la seguridad para esos bollos.

Y de aquellos polvos, estos lodos.

¿Estás seguro?

Enviado por Fernando Acero el 30. Diciembre 2007 - 22:29.

"es absolutamente irrealizable en la práctica"

Estoy de acuerdo con todo lo que dices, excepto en esta afirmación, que creo que es demasiado drástica y no basada en la realidad y en las posibilidades actuales de la tecnología. Además, creo que la Administración debería proporcionar un entorno seguro para el que lo quiera usar.

Pero como he dicho antes, ¿tienes alguna propuesta mejor?.

Un saludo, Fernando Acero

"Copyleft 2007 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Propuesta??

Enviado por anónimo el 30. Diciembre 2007 - 23:43.

Pero como he dicho antes, ¿tienes alguna propuesta mejor?

Disculpa pero a mí no me paga nadie para hacer propuestas ni buscar soluciones. Simplemente las critico porque no creo en que los servicios públicos, ni el voto, ni otras muchas cosas, hayan de pasar por Internet porque es la moda. Y la evidente falta de una solución factible me confirma en mi creencia.

A mi tampoco me paga nadie...

Enviado por anónimo el 31. Diciembre 2007 - 11:58.

Vaya, estimado anónimo, a mi tampoco me paga nadie por hacer propuestas ni buscar soluciones. Mis propuestas las hago, como muchos de los que asistimos a este foro, para mejorar lo que hay, para aportar nuestro granito de arena a todo esto. Como comprenderás estás es una postura mucho más complicada y positiva para la humanidad, que la de criticar sin justificar o la de destruir sin aportar.

Por supuesto, eres libre de ello, pero también debes ser consciente de que los demás no somos culpables de que hayas tomado esa decisión tan trascendental para tu vida.

Un saludo, Fernando Acero

Todo es relativo

Enviado por Fernando Acero el 30. Diciembre 2007 - 20:24.

Hola Adrián:

Gracias por tu contestación y he de decir que lo que dices tiene bastante sentido común. De este tema ya había comentado algo en Menéame ayer. Todos estamos acostumbrados a notar en nuestras carnes que la seguridad está reñida con la comodidad. Es decir, cuanto más seguridad menos comodidad. Sin embargo, el control absoluto que nos proporcionan los sistemas libres nos pueden ayudar a paliar este problema de alguna forma. Como he dicho, podemos añadir bastante valor añadido al "live" CD como para que valga la pena arrancar con él para hacer determinadas operaciones a través de Internet. Es un tema de usabilidad pura y dura que se debería explotar al máximo para que la "live" fuera atractiva.

Otro tema a explorar sería la de poder disponer de directorios LDAP controlados por el e-DNI, de forma que el usuarios pudiera acceder a su "configuración personalizada" como dirección de e-mail, servidores de correo, archivos, etc, y todo ello convenientemente cifrado, al meter el e-DNI en la "live", ahorrando así, gran parte de la configuración necesaria. Esto que acabo de decir, se me acaba de ocurrir pensando en el tema, pero creo que puede ser incluso un área de negocio para algunas empresas una vez que exista un estándar disponible. Con esto solamente quiero señalar las enormes posibilidades que se abren con la tecnología "live", como he dicho, podemos meter y certificar áreas de negocios completas para ser usadas con el e-DNI, por ejemplo servicios bancarios.

Respecto a lo que dices de tener lugares "seguros" para firmar, es otra posibilidad que además, puede ser muy necesaria. No siempre tienes un ordenador a mano y en un futuro será necesario realizar operaciones a través de Internet. Incluso para este dispositivo disponer de una "live" certificada en CD-ROM o en memoria "ROM" sería muy interesante, así podría iniciarse el entorno en pocos segundos para que el siguiente usuario tuviera la certeza de que el sistema está limpio. Mi opinión sobre tu propuesta es que es una excelente idea, siempre que sea un complemento a todas las demás. Cuantas más opciones "seguras" haya mejor, tanto para ser usadas en casa como para ser usadas fuera, poco a poco los usuarios se darán cuenta de que es conveniente recurrir a estas opciones en lugar de ir con una mano delante y otra detrás.

Respecto a la firma con SHA-256 tienes razón, el e-DNI tenía la compatibilidad con la SHA-1 para poder operar con los sistemas operativos de una empresa americana que todavía no estaban preparados para trabajar con SHA-256. El fracaso en la implantación del Vista sin duda ha complicado el panorama y se hace necesario parchear todos los sistemas antiguos para que puedan firmar con SHA-256. Ahora bien, en consonancia con tu preocupación no tengo noticias de que se haya solucionado este problema, aunque también es verdad, que al no ser usuario de esos sistemas, era un tema que tenía un poco olvidado. Gracias por sacarlo a relucir puesto que con los avances del amigo Scolnik, la firma SHA-1 puede tener los días más contados de lo que parece. En este sentido, si alguno de los presentes tiene información actualizada sobre este asunto, le agradecería mucho que lo comentase ya que en Internet no he encontrado demasiado al respecto.

"Copyleft 2007 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

máquinas virtuales Creo que la

Enviado por anónimo el 3. Enero 2008 - 12:30.

Hola Ayanes,

Creo que la solución que das es más bien un complemento al uso del e-DNI. Si es dificl que alguien reinicie su equipo, más dificil veo que salga a la calle en busca de un punto de firma.

Para evitar los reinicios, se podrían usar máquinas virtualizadas. Hay varias empresas que tienen software gratuito donde poder ejecutar estas máquinas virtuales. Incluso se pueden descargar imágenes ya creadas con sistemas operativos totalmente configurados. Yo mismo uso uno que bajé ya configurado para estos fines.

En fin... es sólo una idea más.

Juanjo Cuadrado

Virtualización no es lo mismo que seguridad

Enviado por anónimo el 4. Enero 2008 - 11:15.

Hola Juanjo, lo primero que tenemos que saber, es que la virtualización no es lo mismo que un sistema seguro, si el host está comprometido, que por las estadísticas que tenemos, lo más probable es que lo esté, de nada nos sirve virtualizar nada.

Los "quioscos" de firma creo que son una necesidad, un servicio público que incluso podría estar integrado con los cajeros automáticos, si se llegase a un acuerdo para ello. No siempre se tiene un ordenador con lector de tarjetas y que además tengamos la seguridad de que no está comprometido, para poder usar nuestro e-DNI, podemos suponer que se nos rompe el ordenador de casa, ¿vamos a un ciber con una mano delante y otra detrás?, sin saber el que lo ha usado antes, el que lo usará después, el estado de seguridad de la máquina, o su configuración.

El escenario tiene migas y más ahora, que se ha decidido que el e-DNI se puede usar como tarjeta de crédito, es decir, que hay recompensa económica para el que consiga la contraseña y tenga acceso físico al e-DNI.

Un saludo, Fernando Acero

1234siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...