Estas aquiContenido / Muchas incertidumbres y poca necesidad de un E-DNI
Muchas incertidumbres y poca necesidad de un E-DNI
La Comisión de Libertades Informáticas (CLI) sigue reclamando sin éxito información y debate sobre el nuevo E-DNI que se comenzará a implantar en breve.
El día 2 de diciembre, el Presidente de la Sociedad de la Información y el Conocimiento del Senado, solicitó en un escrito [pdf] dirigido a la Vicepresidencia del Gobierno, que se permitiera a la CLI informar sobre su posición acerca de la implantación del E-DNI. Esta petición se realizó a raíz de la comparecencia del Presidente de la CLI, el Sr. Antonio Farriols y Solá ante la comisión del Senado.
La CLI lleva tiempo intentando aclarar las dudas que puedan tener los ciudadanos sobre este dispositivo, lo que podría ser una buena forma de lograr la confianza de los ciudadanos, algo necesario para fomentar su uso, pero hasta el momento, no se ha logrado nada...
Hay que señalar, que esto no ha ocurrido así en otros países de nuestro entorno, que han implantado o que tienen intención de implantar el E-DNI. En Bélgica, Francia, Reino Unido ó en Finlandia se han creado foros de debate, que han permitido canalizar las opiniones de los ciudadanos ante la implantación del E-DNI. Algo que entiendo necesario y deseable ante un proyecto de esta envergadura y trascendencia. No en vano, Democracia significa "Gobierno del Pueblo" y en nuestro ordenamiento jurídico, se considera deseable y necesaria dicha participación, estableciendo unos cauces que por desgracia, no se están utilizando en este caso. ¿Acaso el E-DNI va a abrir esos canales de participación ciudadana? Mucho me temo que si la Administración o el Gobierno no hace caso a un papel firmado con una entrada de registro, menos caso hará a un correo electrónico con firma digital.
¿Me equivoco en esta valoración?. En mi pueblo hay una rotonda "rotonda asesina" y a pesar de todos mis esfuerzos, escritos y de una pregunta [pdf] en la Asamblea de Madrid, a fecha de hoy, no se ha logrado nada a pesar de los más de 34 accidentes, algunos graves. Si esta es la situación ¿para qué quiero el E-DNI?, pero también ¿para qué quiero descentralización y transferencia de competencias, si el Ayuntamiento o la Comunidad no me escuchan?
Pero volvamos a nuestro tema. No deja de ser sorprendente, que la poca información existente proviene fundamentalmente de comentarios, declaraciones o de notas de prensa procedentes de empresas participantes en el proyecto, existiendo muy poca información institucional. Situación que está provocando muchos "mitos y leyendas" y enormes recelos de los usuarios.
Para los presentes a este foro este asunto no es nuevo y hay muchos comentarios reclamando transparencia, información y debate social sobre el E-DNI. Muchas de las preguntas planteadas por la CLI van mucho más allá de las simples cuestiones técnicas del dispositivo. Son especialmente preocupantes, las que puedan afectar a la privacidad o la libertad de las personas, como la información que contendrá el E-DNI, o si el usuario podrá optar libremente entre la identificación electrónica o la tradicional.
En definitiva, hay muchas dudas que no están teniendo contestación por parte del Gobierno. Para colmo de males, la Ley asociada, como ya se ha visto en este foro, en el que hay cierto nivel de conocimientos tecnológicos, siembra dudas de interpretación, por lo que no quiero pensar en la "percepción" para el ciudadano de la calle. Un ejemplo de esto lo tenemos en la reciente discusión relativa a voluntariedad de la activación inicial del chip. Dudas que si no se aclaran institucionalmente, pueden llegar a ser un grave problema para los usuarios, provocando inseguridad y dejando a la interpretación de los jueces algunos aspectos importantes de este dispositivo.
El otro día hablaba con un diputado y me comentaba la "necesidad de que la sociedad estuviera preparada para la legislación que se desea aprobar". Sinceramente, me cuestiono seriamente si el nivel de alfabetización tecnológica existente actualmente en España, obliga, permite o incluso, aconseja al Gobierno la implantación del E-DNI.
¿Sirve el E-DNI para lograr los objetivos marcados por la "Comisión Soto"?. Creo que hay muy pocos expertos que piensen actualmente que la implantación del E-DNI pueda funcionar como un revulsivo que aumente el comercio electrónico y active la alfabetización tecnológica de los ciudadanos.
Su necesidad se planteó en un momento histórico en el que se hablaba de una Sociedad de la Información, en la que el usuario debía cumplir plenamente con la "filosofía ADSL", es decir, recibir muchos servicios de la Red (a ser posible de pago) y mantener muy poca participación activa. Afortunadamente, en vista de que lo que se muestra más interesante para la sociedad es la participación y la compartición de conocimientos, ya se habla de la necesidad de adoptar tecnologías simétricas, de levado ancho de banda. Por lo tanto, estoy convencido de que hay muchos pasos a dar y muchas teclas a tocar, antes de implantar el E-DNI.
Este concepto consumista/mercantilista de la Red, del que se derivó una ya obsoleta y poco realista LSSI, ha sido plenamente superado por el concepto de la Sociedad del Conocimiento. Conocimiento que implica la integración de la información y la participación de los ciudadanos en la Red y sus contenidos. Ejemplos recientes los tenemos en el Software Libre, la Wikipedia o en los Blogs, que han supuesto una enorme democratización de la tecnología o el conocimiento. En definitiva, el E-DNI no era más que un artilugio necesario para hacer realidad ese concepto consumista/mercantilista de Internet, concepto del uso de la Red como bien se sabe, no ha cuajado en ninguna parte del mundo y que es claramente obsoleto para las fechas que corren.
Con ello, sigo pensando que para las relaciones entre los ciudadanos y la Administración o las empresas, sobraban y bastaban los actuales certificados de la FNMT. Algo relativamente sencillo de obtener/instalar/usar y que cumple con todas las necesidades con un coste mucho menor, tanto desde el punto de vista económico, como tecnológico.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
La dirección actual de la CLI es http://www.asociacioncli.org.
Gracias por la Info.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Gracias por el aviso.
Quizá no sea este el foro más adecuado para discutir estos temas pero a mi entender hace ya tiempo que hemos dejado de vivir en una democracia, hace tiempo que el pueblo ha dejado de tener el poder. Los políticos nos manipulan y guian a su antojo haciéndonos tragar lo que nos imponen. Incluso llegan a multarnos por conceptos que en mi opinion pertenecen a nuestra libertad personal. Nos lo venden como "por nuestra salud", "por nuestra seguridad", ... y yo creo que es por su bolsillo. Efectivamente el concepto de Democracia sería completo si se aplicase lo que en este artículo se comenta, solicitar la opinión del pueblo; pero no solo para este tema, sino para toda ley importante que afecte al pueblo. A día de hoy disponemos de la tecnología suficiente para someter a referendum casi todas las decisiones que el gobierno tome. Con un poco de esfuerzo creo que sería posible desarrollar diversos sistemas de voto seguros, sencillos y rápidos en la obtención de resultados. Sólo entonces nos encontraremos ante un democracia real y no la virtual que tenemos en nuestros dias. Sólo cuando la opinión de los políticos sea un porcentaje frente a la opinión de los ciudadanos, sólo cuando los políticos sean tomados como informadores y consejeros del pueblo y dejen de ser los amos y señores.
Apreovecho para dar la enhorabuena a esta Web, la cual si es totalmente democrática, observad como el administrador pide consejo y opinión a los usuarios; los políticos tendrían mucho que aprender de la gestión de Kriptopolis.
Muchas gracias por tus halagos, pero no creo que la gestión de esta web sea modelo de democracia... probablemente porque tampoco tiene por qué serlo.
Me gusta conocer vuestra opinión y la tengo siempre en cuenta (si no, no la pediría, como es obvio), pero al final siempre soy yo el que hace y deshace a su voluntad lo que creo va a a resultar mejor para el sitio, sus usuarios y -por qué no- para mí.
El caso de los políticos es radicalmente distinto, porque a ellos les elegimos y les pagamos para que nos representen, por lo que no sólo debemos exigir que nos escuchen, sino que además *hagan* lo que les demandamos.
Pero parece que sólo están (al menos, mediana o aparentemente) receptivos a "lo que les demandamos" cada 4 años, y eso supongo que tiene que ver con lo que tú comentas.
Fernando Acero dijo:
Con ello, sigo pensando que para las relaciones entre los ciudadanos y la Administración o las empresas, sobraban y bastaban los actuales certificados de la FNMT. Algo relativamente sencillo de obtener/instalar/usar y que cumple con todas las necesidades con un coste mucho menor, tanto desde el punto de vista económico, como tecnológico.
Siento discrepar de este punto:
En la situación actual de la red (gusanos y troyanos vagando a sus anchas por miles de ordenadores, BotNets a patadas, nuevas vulnerabilidades que permanecen sin parchear durante mucho tiempo, nuevos virus que aparecen a diario y que infectan montones de ordenadores antes de que sus dueños hayan podido/querido/sabido actualizar sus antivirus, ....)
¿cuantos ciudanos tendrían (¿tienen?) expuesta la seguridad de un certificado en soporte software como los que emite la FNMT actualmente?
Aunque la FNMT también produce tarjetas chip, entiendo que tu te refieres a los certificados en soporte software, dado que hablas de "sencillo de obtener/instalar/usar" y de "coste mucho menor ...económico".
Es más, yo siempre me he cuestionado ¿es realmente posible que un dispositivo de firma electrónica basado en soporte software cumpla los requisitos de la Firma Electrónica Avanzada tal como la define el Artículo 3.2 de la Ley de Firma Electrónica?
Fiajos en el requisito de que ...ha sido creada por medios que el firmante puede mantener bajo su exclusivo control
Ahora imaginaos a vosotros mismos ante un juez, en calidad de peritos, como expertos técnicos, y tenéis que responder con vuestro mejor criterio y la mayor sinceridad a la siguiente pregunta del juez:
¿Es técnicamente posible que un tercero haya accedido telemáticamente y de forma ilicita al ordenador del demandante, a través de su conexión ADSL, y le haya usurpado su firma electrónica, tal como se alega en la demanda?
Si pensamos que el "demandante" es un usuario medio, creo que todos deberíamos decir que sí, que técnicamente es posible ¿no creéis?.
Y si admitimos eso...¿podemos admitir que, en la situación actual de la tecnología, no es posible que un sistema de firma electrónica en soporte software cumpla los requisitos exigidos por la normativa para la Firma Electrónica Avanzada?
La conclusión que yo saco es que es muy necesario migrar cuanto antes a un sistema de firmas electrónicas basado en tarjetas chip (sea en forma de eDNI o de otro modo), puesto que da una respuesta muy satisfactoria a todos los problemas de seguridad planteados (no se puede COPIAR la clave privada ni siquiera por un atacante con control completo del PC, es mucho más práctico y fácil "sacar" la firma del PC cuando no se vaya a usar,...)
Saludos.
Estimado Krampo:
Es más, yo siempre me he cuestionado ¿es realmente posible que un dispositivo de firma electrónica basado en soporte software cumpla los requisitos de la Firma Electrónica Avanzada tal como la define el Artículo 3.2 de la Ley de Firma Electrónica?
Sobre el papel es evidente que los certificados "software" cumplen perféctamente con lo que dice el artículo 3.2 de la Ley de Firma Electrónica de 2003 para la firma electrónica avanzada.
2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
Si bien es cierto, que si puedo meter el certificado en mi bolsillo, aumento el control sobre el mismo, no significa que los basados en software no permanezcan bajo mi control. Es más, nada me impide tenerlo en un dispositivo de almacenamiento, como un lápiz USB y hacer lo mismo que con el certficado hard.
De todos modos, al menos en mi caso, para poder firmar un documento, he de usar dos claves, primero la que abre mi contenedor de certificados y después, la que firma.
Ahora bien, el caso que describes afecta por igual a un certificado por hardware. Nada impide que un programa malicioso "capture" tus contraseñas y espere a que metas el E-DNI en el lector para firmar con él lo que quiera y tuviera preparado. Lo único que ocurre, que solamente lo podrá hacer cuando el E-DNI esté insertado en el lector, pero a efectos prácticos el resultado será el mismo.
¿Es técnicamente posible que un tercero haya accedido telemáticamente y de forma ilicita al ordenador del demandante, a través de su conexión ADSL, y le haya usurpado su firma electrónica, tal como se alega en la demanda?
Una cosa es loq ue se alegue en una demanda y otra cosa muy distinta la realidad. Creo improbable que con el acceso remoto al sistema estos chicos hayan logrado usar el certificado para firmar nada. De hecho, como se dice en el enlace que envías, no se pudo probar nada al respecto. Para probarlo solamente habría que buscar el documento presuntamente firmado y cotejarlo con las horas y fechas de los accesos. Documento que no ha aparecido por ninguna parte.
Nadie pone en duda que un sistema hard tiene algunas ventajas sobre el sistema soft, una de ellas es la "imposibilidad", al menos sobre el papel, de copiar la clave privada, pero que se lo pregunten a Canal Plus/Vía digital, si es o no es posible hacerlo. Pero hay tres cosas a tener en cuenta: para copiar un certificado soft es necesario conocer la clave del contenedor y del certificado, copiar un certificado cerrado con su contraseña no implica que se pueda usar por un tercero y no es necesario copiarlo a ningún sitio, para que que se pueda usar de forma fraudulenta si mediante un software adecuado "capturo" las contraseñas necesarias y las uso cuando el usuario lo inserte en el ordenador.
Ahora bien, hemos hablado de las ventajas, pero los sistemas hard también tienen muchos inconvenientes, el primero y principal es la compatibilidad del hard, pero también podemos hablar del sistema multicapa necesario para usarlos y que puede ser complicado de instalar para un usuario medio.
Pero nada nos dice que en un futuro cercano un sistema hard no se demuestre vulnerable y si el plan de implantación es de 3 años, nos podemos parar a pensar en el problema logístico y de seguridad que se nos plantearía, cosa que no ocurre con los sistemas basados en software. Imagina que se hubiera implantado un E-DNI basado en MD-5 hace dos años y como ya ha ocurrido, se demuestra que dicho código es 100.000 veces menos "resistente" que cuado se diseñó ¿nos gastamos otros 30 millones de euros en cambiar todo? y lo que es peor ¿qué hacemos mientras lo cambiamos?.
Los problemas que achacas a los sistemas basados en soft, se reproducen casi igual en los basados en hard. Está claro que con el uso masivo de sistemas operativos no seguros, la cosa está complicada, pero ese problema es independiente del tipo de certificado que uses. Falta cultura de seguridad y eso me lleva a otras de las consecuencias de mi artículo, es necesario andar mucho camino y tocar muchas teclas en España antes de implantar el E-DNI y si me apuras, antes de implantar la cualquier tipo de firma digital. No en vano, de una población de 30 millones, solamente 900.000 usan firma digital y los que la usan, lo hacen de una forma muy limitada.
Lo verdaderamente cierto de todo lo que hablamos es que "ese control exclusivo" implica algo que hemos de tener muy en cuenta. Implica una responsabilidad no compartida por parte del usuario, responsabilidad que puede tener unas dimensiones y consecuencias enormes y que adquiere sobre tecnologías que le han impuesto por real decreto y que no controla en absoluto.
Mucha gente no salta en paracaidas ya que no se fia de que un "pañuelo" con cordones que ha plegado otro, le de la suficiente confianza como para poner su vida en sus manos... y aunque tengo 16 saltos en paracaidas, yo tengo esa misma sensación.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Es más, nada me impide tenerlo en un dispositivo de almacenamiento, como un lápiz USB y hacer lo mismo que con el certficado hard.
No, en realidad no se podría hacer lo mismo. Si yo tengo un troyano de control remoto en tu PC y consigo acceder al mismo cuando tu tienes el certificado software instalado (digamos que lo has importado en tu navegador para firmar algo) te lo puedo COPIAR y, a partir de entonces, lo podré usar cuando y donde me dé la gana.
Si tenías el certificado en tarjeta NO lo podré COPIAR, con lo que los usos fraudulentos son mucho más difíciles (siempre tendré que esperar a que la "victima" introduzca la tarjeta en el PC, estar en ese momento en disposición de "conectarme" a su PC y tener alguna forma de interactuar directamente con la tarjeta).
Otra diferencia importante: Si alguién te "reinstala" el PC y te lo deja limpio de polvo y paja (y usas certificado en tarjeta) yo habré perdido toda posibilidad de suplantarte. En cambio si pude COPIAR tu firma electrónica (en soporte software) me da igual que posteriormente soluciones el problema de seguridad de tu PC, pues yo estoy en condiciones de suplantarte mientras la firma que te copié siga vigente.
Digamos que en un caso (tarjeta) yo siempre sabré donde está EL certificado y en el otro NO, puesto que se pueden efectuar copias.
Lo único que ocurre, que solamente lo podrá hacer cuando el E-DNI esté insertado en el lector, pero a efectos prácticos el resultado será el mismo.
Con los mismos argumentos del principio llego a la conclusión de que el resultado NO es el mismo.
Una cosa es loq ue se alegue en una demanda y otra cosa muy distinta la realidad. Creo improbable que con el acceso remoto al sistema estos chicos hayan logrado usar el certificado para firmar nada.
El link a la notícia era meramente ilustrativo, por tratarse de una notícia fresca y porque me llamó la atención que el "atacado" era un profesor universitario del Departamento de Informática (ya sé que eso no es garantía de que sea un usuario prudente o cauteloso con la seguridad, pero al menos estas cosas no le suenan a chino). En todo caso, estoy seguro de que la inmensa mayoría de los lectores de esta web saben de sobras las posibilidades de los Troyanos-Backdoors y, por tanto, que no sería nada difícil copiar un certificado de firma electrónica basado en software de un PC al que tienes acceso remoto con una de esas "herramientas".
Para probarlo solamente habría que buscar el documento presuntamente firmado y cotejarlo con las horas y fechas de los accesos. Documento que no ha aparecido por ninguna parte.
Ahí te equivocas, si el atacante consigue COPIARTE la clave privada, podrá suplantarte en cualquier momento posterior. No te centres en la notícia enlazada sino en la situación hipotética descrita. Es más, ¿y si no te has ni enterado de que fuiste atacado? Imagina que la porquería que te metió el atacante te dejó el PC tan vulnerable que estaba hasta las orejas de virus (cuelgues, lentitud,...) y tuviste que reinstalarlo todo y ahora no quedan rastros ni pruebas de nada, pero la COPIA de tu firma (SOFTWARE) anda por ahí....
copiar un certificado cerrado con su contraseña no implica que se pueda usar por un tercero...
Cierto, pero estos son los tipos de razonamientos que hacemos desde NUESTRA perspectiva (de usuarios concienciados con -y preocupados por- la seguridad). Al usuario MEDIO le supone un engorro tener que poner el "dichoso PIN" cada vez que tiene que firmar algo. Y no digamos ya si se tienen que firmar cosas con mucha frecuencia (seguramente hasta usuarios mucho más preocupados por la seguridad lo dejaríamos sin PIN). Eso sin contar con la posibilidad de "romper" la clave de protección del certificado (te has copiado el certificado, así que tienes todo el tiempo del mundo y... ¿cómo será de compleja la clave del usuario MEDIO?)
nada nos dice que en un futuro cercano un sistema hard no se demuestre vulnerable ... problema logístico y de seguridad que se nos plantearía, cosa que no ocurre con los sistemas basados en software. Imagina que se hubiera implantado un E-DNI basado en MD-5 hace dos años...
Los chips suelen ser suficientemente versátiles como para usar distintos algoritmos y DENTRO del chip hay un certificado de firma electrónica que se puede sustituir con una facilidad similar a un certificado basado en software (revocamos el primero y generamos o importamos uno nuevo).
Por último, si el problema es tan grave que exige el cambio del soporte físico, yo lo compararía con el descubrimiento de una vulnerabilidad tan grave en un certificado software que exige revocar todos los certificados en curso y exigir un nuevo trámite presencial para la emisión de un nuevo certificado a cada usuario. En ese caso, los problemas de logística son similares (y sino que se lo pregunten a los trabajadores de las comisarías que renuevan los DNIs de toda la vida: y eso que acudimos allí escalonadamente a lo largo de 5 o 10 años)
En resumen, pensando en el usuario medio, el certificado software tiene unos problemas de seguridad importantes que no presenta el chip. En cuanto a los problemas que apuntas de estandarización y facilidad de uso, no creo que duren mucho (todavía recuerdo cuando tenía que llevar encima un disquette de 5'25" con varios drivers distintos para los distintos modelos de teclado español o cuando -según qué lector de CD- no leía los CDR o los CDRW). Estoy seguro de que pronto los PCs se venderán "de serie" con lector de tarjeta chip compatible con el eDNI.
Saludos.
estar en ese momento en disposición de "conectarme" a su PC y tener alguna forma de interactuar directamente con la tarjeta).
El software malévolo lo puede hacer de forma automática y autónoma, es decir no es necesario mantener una conexión para lograr lo que dices.
Sigo viendo improbable este punto, tanto con un certificado hard, como con uno soft esta situación. Lo único que cambia, es el hecho de poder o no poder hacer una copia del mismo, y el que sea necesaria la presencia del E-DNI en el lector para poder hacer un uso fraudulento, si es que se puede hacer lo mismo con uno soft, pero como he dicho, el sistema de contenedor de claves y la clave del certificado soft, hacen de esta posibilidad que comentas algo remoto y no demasiado práctico, esté o no esté el certificado en el navegador. Solamente cambias la presencia del chip en tu bolsillo y la imposibilidad de copia del certificado por un contenedor de claves protegido por un pin, algo que se usa en miles de sitios y situaciones. algunas de alta seguridad, sin que se produzca ningún problema de seguridad.
Pero veamos, que no se pueda sacar o conocer la clave, no significa que no se pueda atacar un dispositivo, lo pone más complicado, pero es posible, como ocurre con la clonación de tajetas de GSM.
Cierto, pero estos son los tipos de razonamientos que hacemos desde NUESTRA perspectiva (de usuarios concienciados con -y preocupados por- la seguridad). Al usuario MEDIO le supone un engorro tener que poner el "dichoso PIN" cada vez que tiene que firmar algo.
Este asunto afecta directamente a los certificados hard, que también usan un pin para la firma. De hecho, el efecto de firmar se asocia en la Ley a la introducción del pin adecuado. Este no es un problema de los certificados soft y que no afecte a los hard.
Los chips suelen ser suficientemente versátiles como para usar distintos algoritmos y DENTRO del chip hay un certificado de firma electrónica que se puede sustituir con una facilidad similar a un certificado basado en software (revocamos el primero y generamos o importamos uno nuevo).
No hay que confundir el certificado con el algoritmo de firma. En la mayoría de los chips criptográficos los algoritmos se encuentran implementados por hard, por motivos obvios de eficacia y velocidad de proceso, por lo que si cae un algoritmo, mucho me temo que hay que cambiar el chip de forma ineludible. Lo que no ocurre con los algoritmos de cifrado, la mayoría de los algoritmos de firma son variaciones más o menos afortunadas de lo mismo, algo que me preocupa mucho.
De nuevo, que se lo pregunten al Canal Satelite/Vía Digital, si es o no es necesario cambiar el chip cuando cae el sistema, ya sea por una vulnerabilidad del algoritmo, o por un fallo en el sello criptográfico o si indispensable poder copiar el certificado para romper el sistema. El Canal Plus tenía acceso remoto para cambiar todas las claves a través de un sistema de distribución muy eficaz, pero a pesar de ello, el problema no era cambiar las claves dos veces por minuto, el problema estaba en el sello criptográfico y posteriormente, el en algoritmo/sistema de encriptación. Que yo sepa, han tenido que cambiar las tarjetas al menos dos veces, es decir, que no hay otra solución en muchos casos.
yo lo compararía con el descubrimiento de una vulnerabilidad tan grave en un certificado software que exige revocar todos los certificados en curso y exigir un nuevo trámite presencial para la emisión de un nuevo certificado a cada usuario
Yo no creo que sea lo mismo exactamente, primeramente el problema del acopio del hardware necesario, que ha de estar diseñado y disponible en el mercado en ese momento y en cantidad suficiente para la demanda (por lo que presumiblemente habrá una ventana de exposición), segundo, la logística de distribución del hardware por toda España es digna de tener en cuenta y tercero, el coste económico de generar un nuevo certificado soft, es mucho menor que el de sustituir 30 millones de tarjetas, de esto último no me cabe la menor duda, cuando el coste de implantación supera los 30 millones de euros.
La revocación y renovación de certificados soft podría hacerse en muy poco tiempo, frente al plan de implantación plurianual que se ha establecido para el sistema hard ¿no crees que si fuera tan rápido/sencillo como cuentas dicho dicho plan no sería necesario?
En cuanto a los problemas que apuntas de estandarización y facilidad de uso, no creo que duren mucho (todavía recuerdo cuando tenía que llevar encima un disquette de 5'25" con varios drivers distintos para los distintos modelos de teclado español o cuando -según qué lector de CD- no leía los CDR o los CDRW)
Para ello, sería necesario cambiar toda la arquitectura de los sistemas criptográficos de todos los sistemas operativos del mercado. Si bien lo veo posible en los sistemas libres, mucho me temo que en los sistemas propietarios, la cosa no será igual de sencilla. Además, ese sistema de capas que hace engorrosa la instalación de todo lo necesario, está establecido por obvios motivos de seguridad y mucho me temo que en este caso, como en tantos otros, la sencillez iría reñida con la seguridad.
En resumen, pensando en el usuario medio, el certificado software tiene unos problemas de seguridad importantes que no presenta el chip.
Auque admito estas ventajas que comentas, no no creo que por el simple hecho de no permitir la copia del certificado y poder guardarlo en el bolsillo, se justifique todo el montaje del E-DNI. Es más, tu mismo admites que el problema no está en la tecnología de los certificados "soft", está en un presunto mal uso que dices que hacen los "usuarios medios" de la misma, lo que bien puede afectar también al E-DNI en la parte que le corresponda. Desde mi punto de vista no deja de ser un sofisma peligroso, el que te basas en algunos hechos ciertos relativo a las tarjetas criprográficas, para sacar conclusiones equivocadas.
No creo que demonizar los certificados soft, esos que se han vendido como completamente seguros durante años por la FNMT y que se siguen vendiendo como tales, sea la mejor forma de justificar un dispositivo basado en hardware y que básicamente, hará lo mismo que los anteriores.
Despúes de todo lo que has dicho, saco en conclusión que la mayoría de los problemas que argumentas afectan por igual a los dos tipos de certificados, los que no son comunes, los achacas a presuntos malos usos de los usuarios, las ventajas parece que se reducen a guardarlo en el bolsillo y a no permitir la copia del certificado, ventajas que casi se cumplen con los certificados soft gracias a los contenedores de claves y luego intentas trivializar asuntos, como el tema de la instalación o la sustitución de tarjetas, que aunque puede que poco probable, no es sencilla, rápida ni económica.
En definitiva, como te he comentado antes, me reitero en mi afirmación de que no vale la pena el E-DNI, al menos en este momento historico y ademas, creo que es una forma de comenzar la casa por el tejado.
Un saludo.
Lo único que cambia, es el hecho de poder o no poder hacer una copia del mismo, y el que sea necesaria la presencia del E-DNI en el lector para poder hacer un uso fraudulento, si es que se puede hacer lo mismo con uno soft, pero como he dicho, el sistema de contenedor de claves y la clave del certificado soft, hacen de esta posibilidad que comentas algo remoto y no demasiado práctico...
No poder copiarlo tiene MUCHA TRASCENDENCIA, como te he argumentado sobradamente en los anteriores comentarios y creo que en eso estamos de acuerdo.
El que tenga que estar la tarjeta en el lector para poder atacarla también: yo lo compararía a lo expuesto a ataques que está un ordenador conectado a internet por ADSL/cable las 24h al día o uno que se conecta mediante dialup en momentos concretos. El TIEMPO DE EXPOSICIÓN a los ataques será mucho mayor "en condiciones normales". Es decir, aunque también se puede eliminar la firma electrónica software del PC cuando no se use, es muy poco práctico (siempre importando y borrando) y todos terminan por no hacerlo (y sería más engorroso cuanto más a menudo se tenga que firmar).
Por cierto, hablando de "borrar" el certificado y de las vulnerabilidades de los sistemas que mencionaste en un anterior post, creo que esto te resultará interesante. ¿Adivinas cuanta gente se va dejando su clave privada (de certificados software) por ahí desperdigada si tener ni idea, debido a esa "decisión de diseño" deliberada de Microsoft?. Eso es otro efecto colateral no deseado posibilitado por el uso de certificados en soporte software ... que no puede pasar con las tarjetas.
Sobre todas las protecciones basadas en contraseñas y pines (que haya que introducir para poder usar la firma), insisto en que son medidas "poco prácticas" que -precisamente por eso- terminan por no usarse en la mayoría de los casos. Estoy seguro de que tú lo haces, pero estamos pensando en un colectivo muy heterogéneo (seguro que conoces mucha gente que no lo hace/haría).
Para mi hay una DIFERENCIA ABISMAL entre no se puede copiar, porque el hardware no lo permite y "si tomas la precaución de proteger las claves con contraseña será mucho más difícil que te puedan copiar la clave". Muchos no harán caso de la recomendación.
Eso sin tener en cuenta que (aunque tomes precauciones) las técnicas de sw malévolo que tu describes para atacar a la tarjeta-chip te permitirían COPIAR el certificado, en caso de estar en soporte sw. Es decir el mismo tipo de ataque produce efectos mucho más dañinos en el certificado sw.
La diferencia fundamental: en el certificado en tarjeta muchas medidas de seguridad son intrinsecas. Es decir, "lo normal" y "lo fácil" (que es lo que la mayoría terminará haciendo) no es tener la tarjeta en el lector las 24h del día, al contrario que en el caso de certificado sw. Introducir la firma en el PC es tan fácil como insertar la tarjeta, en vez de tener que importarla (como en el ejemplo que ponías de tenerla en una llave de memoria USB).
Pero veamos, que no se pueda sacar o conocer la clave, no significa que no se pueda atacar un dispositivo, lo pone más complicado, pero es posible, como ocurre con la clonación de tajetas de GSM.
No creo que el ejemplo sea muy afortunado. Los descubridores de la vulnerabilidad del GSM reconocen en su informe que la lección que hay que sacar es que los diseñadores de GSM se equivocaron en apostar por la "seguridad basada en la oscuridad", cosa totalmente distinta al enfoque de las actuales tarjetas chip, basadas en algoritmos sobradamente conocidos y estudiados. Algo parecido se podría decir del caso Canal Satélite Digital/Via Digital.
Este asunto afecta directamente a los certificados hard, que también usan un pin para la firma. De hecho, el efecto de firmar se asocia en la Ley a la introducción del pin adecuado. Este no es un problema de los certificados soft y que no afecte a los hard.
Totalmente de acuerdo, PERO -una vez más- juegan un papel fundamental las consecuencias del ataque: mi comentario estaba en el contexto de las medidas que impiden/permiten COPIAR la clave privada. En el caso de tarjeta chip da igual que haya pin o contraseña (o que estos hayan sido "capturados"): NO SE PUEDE COPIAR. En cambio, en los certificados sw, si los usuarios no toman precauciones, la posibilidad de copia está servida. Y aunque las tomen sigue siendo técnicamente posible (troyanos, keyloggers,...).
¿no crees que si fuera tan rápido/sencillo como cuentas dicho dicho plan no sería necesario?
No, yo no digo que sea rápido ni sencillo, en el supuesto que haya que recurrir (en un caso extremo) a sustituir todas las tarjetas. Lo que digo es que si hay que reexpedir todos los certificados software (también en un caso extremo) la complejidad y costes también son considerables (aunque menores, en eso te doy la razón). Y, no te engañes, en ambos casos habría una ventana de exposición (o de falta de servicio si se toma la decisión radical de revocar todos los certificados en circulación).
...tu mismo admites que el problema no está en la tecnología de los certificados "soft", está en un presunto mal uso que dices que hacen los "usuarios medios" de la misma, lo que bien puede afectar también al E-DNI en la parte que le corresponda.
Volvemos a estar de acuerdo, pero -de nuevo- las probabilidades de un uso poco prudente son mucho más altas y sus consecuencias son mucho más graves en el certificado sw. El motivo de fondo: la tarjeta-chip es intrinsecamente mucho más segura.
Despúes de todo lo que has dicho, saco en conclusión que la mayoría de los problemas que argumentas afectan por igual a los dos tipos de certificados, ...
No, eso no es así. Copio/pego un fragmento del último párrafo de mi primer post:
...da una respuesta muy satisfactoria a todos los problemas de seguridad planteados (no se puede COPIAR la clave privada ni siquiera por un atacante con control completo del PC, es mucho más práctico y fácil "sacar" la firma del PC cuando no se vaya a usar,...)
Estos 2 problemas NO afectan por igual, por mucho que lo quieras maquillar.
...los que no son comunes, los achacas a presuntos malos usos de los usuarios, ...
La seguridad intrinseca de la tarjeta hace que los problemas afecten de forma exclusiva (copia); de forma mucho más acusada (tiempo de exposición a ataques, debido a la dificultad de "quitar" la firma del PC); o de forma mucho más probable (no poner contraseñas por lo tedioso que resulta andar tecleando una o varias contraseñas cada vez que hay que firmar) a los certificados sw.
Evidentemente hay medidas preventivas que reducen el riesgo, pero en la práctica no se aplicarán en muchos casos (por los malos hábitos de los usuarios y/o por la "engorrosidad" de poner en práctica esas medidas). Tú mismo las has mencionado: proteger con contraseñas reduce las posibilidades de ataque; llevar la firma en una llave USB reduce sustancialmente el tiempo de exposición tanto a uso fraudulento como a copia (pero es un engorro todavía mayor su uso).
las ventajas parece que se reducen a guardarlo en el bolsillo y a no permitir la copia del certificado,
Sí, exáctamente eso es. Eso y todas las consecuencias que eso trae consigo. Me remito de nuevo al párrafo que he copiado arriba procedente de mi primer post.
...ventajas que casi se cumplen con los certificados soft gracias a los contenedores de claves ...
¿Que casi se cumplen?. De eso nada: NO se puede impedir la copia y, en caso de comprometerse la seguridad del PC (con una combinación de troyanos, keyloggers, etc), la copia de la firma software -por muchas contraseñas que tengas puestas en los contenedores- está servida en bandeja.
...y luego intentas trivializar asuntos, como el tema de la instalación o la sustitución de tarjetas, que aunque puede que poco probable, no es sencilla, rápida ni económica.
No, no lo trivializo, pero creo que es un precio que vale la pena pagar (en la mayor dificultad de instalación) y un riesgo que vale la pena asumir (ante la hipotética e improbable posibilidad de tener que reemplazar todas las tarjetas) a cambio de la mayor seguridad conseguida.
...me reitero en mi afirmación de que no vale la pena el E-DNI, al menos en este momento historico y ademas, creo que es una forma de comenzar la casa por el tejado.
Yo en cambio apuesto firmemente por las firmas electrónicas en soporte tarjeta-chip (me trae sin cuidado si es como eDNI o de otro modo).