Tenía un certificado de usuario tipo C2A expedido por la FNMT que el pasado mes de septiembre caducó. El año pasado (2016) tuve que renovar mi DNI y al hacerlo me dieron uno de los nuevos DNIe 3.0, así que me dije "me compro un lector de DNIe y me ahorro problemas". ¡Qué equivocado estaba! Hoy he tratado de usar por primera vez mi DNIe para hacer una consulta en la web del Catastro... ¡Y no ha habido manera!
|
etiquetas: dni 3.0 , agenda digital , gobierno de españa , democracia
1. Los navegadores se comunicaban hasta ahora mediante applets (Java)
2. Muchas navegadores han tirado java.
3. Había otras formas, como plugins NPAPI (muertos desde Firefox 52 y hace más tiempo en Chrome).
4. ActiveX en internet explorer ha muerto con la llegada de Edge.
5. Por el culo te la hinco.
6. Las webextensions (crx en chrome, xpi en firefox, también soporte en Edge) necesitan instalar una aplicación anfitrión que se comunique por NativeMessaging. Es tecnología reciente y la administración pública se mueve lentamente por presupuestos anuales y licitaciones, ya que los informáticos del estado no tienen ni puta idea de como implementar esto por su propia cuenta, por lo general.
7. Ha llegado eiDAS y en España como siempre dando vergüenza ajena por las cárnicas que acaparan las partidas de licitaciones.
8. Por el culo te la entocho.
9. Esto se mueve.
10. Muévete otra vez. Vente y vente de baretas, con la tía Enriqueta.
Por otro lado, los instaladores deberían ser más sencillos de usar, mejor documentación y sobre todo que las implementaciones de cada página web sean decentes y se actualicen si hay cambios en la CA y en las características de los navegadores. Hay gente que todavía no tiene ni puta idea de tecnología NFC además, aunque esta parte se encarga el lector de abstraerla. En teléfonos ya es otro tema y hacer algo por web desde un teléfono todavía es ciencia ficción por debajo de los pirineos.
1. Los navegadores se comunicaban hasta ahora mediante applets (Java)
2. Muchas navegadores han tirado java.
3. Había otras formas, como plugins NPAPI (muertos desde Firefox 52 y hace más tiempo en Chrome).
4. ActiveX en internet explorer ha muerto con la llegada de Edge.
5. Por el culo te la hinco.
6. Las webextensions (crx en chrome, xpi en firefox, también soporte en Edge) necesitan instalar una aplicación anfitrión que se comunique por NativeMessaging. Es tecnología reciente y la administración pública se mueve lentamente por presupuestos anuales y licitaciones, ya que los informáticos del estado no tienen ni puta idea de como implementar esto por su propia cuenta, por lo general.
7. Ha llegado eiDAS y en España como siempre dando vergüenza ajena por las cárnicas que acaparan las partidas de licitaciones.
8. Por el culo te la entocho.
9. Esto se mueve.
10. Muévete otra vez. Vente y vente de baretas, con la tía Enriqueta.
Por otro lado, los instaladores deberían ser más sencillos de usar, mejor documentación y sobre todo que las implementaciones de cada página web sean decentes y se actualicen si hay cambios en la CA y en las características de los navegadores. Hay gente que todavía no tiene ni puta idea de tecnología NFC además, aunque esta parte se encarga el lector de abstraerla. En teléfonos ya es otro tema y hacer algo por web desde un teléfono todavía es ciencia ficción por debajo de los pirineos.
En Linux, instala los paquetes ccid, pcsc-lite y opensc (este último, la versión 0.17.0 o posterior), instala en el navegador los certificados raíz y carga el módulo y... listo.
¡Ah! Y recuerda que para conectar o desconectar el lector USB no puedes tener el navegador abierto.
#0 ya en serio, sabiendo la de problemas de seguridad que aparecen cada dos por tres, usar tu DNI para identificarte a través de la red y que los certificados, que son como tu firma personal, puedan robarlos y usarlos otros para hacer lo que sólo antes se podía hacer de manera presencial, contratos, compra y venta, gestion de bienes etc... es una ruleta rusa.
Yo sugiero que utilices tu DNI digital solo dentro de las administraciones que te permitan usarlo y deja de usarlo de manera remota hasta que se demuestre que no haya problema de seguridad alguno, en mi caso yo no lo usaría ni en esos casos.
Los certificados sin clave privada no sirven para nada. La mejor seguridad es conectar, firmar, desconectar. Y que sea en una máquina segura, preferiblemente con un pinpad.
Otro ejemplo de la inutilidad de esas afirmaciones sería decir que el WPA2 era imposible de interceptar porque la clave RSA era casi imposible de romper, y sin romper la clave se han podido interceptar datos, y ha saber desde cuando se estuvo haciendo hasta que alguien lo puso en conocimiento de las masas.
Vuelvo a decir lo mismo, ¿de que te vale que el método sea seguro si la vía de transmisión de los datos no lo es? o que sea haga con una maquina segura...buuuufff, ¿una maquina segura tu ordenador personal, con o sin pinpad, conectado a Internet? No.
www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_1101&i
Instalar, reiniciar y arreando, DNI electronico operativo tanto en IE11 como en CHROME y FIREFOX
En mi caso tengo windows 10 Creator Fall insider, IE11, FF57 Beta... una combinacion perfecta para que salga mal, y aunque sea raro... nada falla!
para lector de DNI me pille uno en amazon, 12 euros y funciona perfecto, lo he usado para confirmar mi declaracion de renta y tambien para solicitar mi licencia de radioaficionado de este año.
www.amazon.es/Zoweetek®-electrónico-inteligente-electrónica-compati
Yo te preguntaba que querías decir al darle importancia a las cárnicas sobre cualquier otro sector que usase el eiDAS ese y concretamente al respecto de "que acaparan las partidas de licitaciones", ¿licitaciones de o sobre que? de la misma manera que tambien existe el sistema que se basa en certificados y demás historias para vender panga por merluza por ejemplo.
Creía que comentabas que esto pudiera estar pasando con la carne tambien, que con el caso de la carne de caballo por ternera pudiera tener algo que ver con el sistema eiDAS ese; por eso te preguntaba.
Esos amiguetes en realidad son más listos que los obreros porque conocen la ley de contratación administrativa que tiene todo país que se precie, ya que hay mucho calientasillas que realiza siempre la misma operación una y otra vez y le conviente no hacer otra cosa. Esto es en parte porque cambiar el funcionamiento del sector público ha costado un huevo es complejo, y si no, lee a Max Weber. Cualquier país digno de estar en la OCDE sabe que las licitaciones son sagradas, que son básicamente lo que la gente de a pie entiende como "pasta que sacan del gobierno porque son amigos", cuando se debería leer "nosotros tenemos la oferta más barata" para cuando el gobierno necesita comprar algo porque él no lo sabe hacer por cuenta propia. Si esto no lo has aprendido en el colegio es porque vives en un país que no quiere que la gente lo ayude a mejorar y que es mejor que piensen que las carreteras, los programas informáticos y los gintonics del congreso lo hacen empresas de los amiguetes.
Como veo que tienes ganas de aburrirte, puedes comenzar por aquí:
es.wikipedia.org/wiki/Contratación_del_sector_público_(España)
Las cárnicas pillan de esto porque saben pillar de esto, con un presupuesto lo más bajo posible que sirve para pagar al pringao más barato posible.
¡Ah! Y recuerda bloquear determinados paquetes para que no actualicen y se desconfigure todo o directamente sea incompatible.
¡Ah! Y recuerda tener java en la versión correcta (que no es necesariamente la última) para que la firma funcione.
El DNIe me ha traído siempre loco en linux, lo he conseguido configurar y dejar funcionando muchas veces, pero tiempo después cuando me ha hecho falta no he podido usarlo y he tirado de certificado digital.
Lo lamentable es que hayan costado una porrada de millones de euros obligatorios que hemos pagado por cojones en taquilla y que se han repartido los cuñados.
Eso sí, los catalanes unos cabrones.
Lo único que podrían robarte es el PIN, pero sólo podrían usarlo cuando metas en DNI en el lector. Y es un riesgo que se puede evitar si usas un teclado con lector DNIe de clase 2, lo que significa que el PIN va del teclado directamente al DNIe, sin pasar por el cable que lo conecta al ordenador.
El único problema del lector de clase 2 es que has de poner en el DNIe un PIN que puedas teclear con las teclas del teclado numérico.
En Windows se puede hacer que Firefox reconozca los certificados del almacén de llaves de Windows con una clave en about:config pero lo mejor es hacer un despliegue system wide en prefs/js que se suele usar en enterprise.
cc. #6 (visto lo visto, no hay chupada, lo sentimos)
Hay un estandar en fase de borrador que hará que se pueda firmar con el DNIE desde cualquier navegador sin necesidad de plugins ni aplicaciones externas:
www.w3.org/TR/WebCryptoAPI/
Lo que pasa es que se busca otras cosas. Se busca no hacer ningún desarrollo propio para poder hacer contratos y llevarse sus comisiones. Lo que importa es lo bien que se te da hacerle la pelota a los politicos (Ellos son los que mandan.)
Tambien los examenes de oposiciones son de vergüenza, preguntan por las últimas novedades. Cualquiera que se lea las novedades tiene más posibilidades que uno que realmente sepa. Por ejemplo, uno que sepa que el Nashorn es el nuevo motor JavaScript del JDK 1.8, saca más punto que uno que sepa de Java.
Ayer vi a varios que querian apuntarse a una bolsa y el sistema les daba error al intentar hacerlo usando la verificación via SMS... de vergüenza. Los contratos se pagan si funcionan en un navegador deteminado con un Java determinado y un windows determinado.
Eso sí, supongo que mucho habrá que tirar o de debian/ubuntu packages o a compilarlo a pelo, porque concretamente de opensc me sale la 0.14.0-2
Un saludo.
firmaelectronica.gob.es/Home/Descargas.html
Es del estado y parece que funciona bastante bien
¿como de seguro dices que es el DNI 3.0 con la clave privada que solo se crea en el momento en que se usa?
CARACTERÍSTICAS TÉCNICAS DNIe 3.0
Chip:
SLE78CLFx408AP de Infineon Technologies.
Características:
400KB memoria Flash (código + personalización)
8 KB memoria RAM
Dual Interface.
Criptolibrería RSA
CC EAL5+
No estaría de más el reflotar o crear una nueva noticia, te cedo el gusto de crearla.
Tengo un DNIe 2.0 pero vivo en el extranjero y no puedo renovarlo en la embajada porque solo se puede hacer en kioskos de la policía nacional. Además, aquí no lo uso para nada porque ya tengo doble nacionalidad. El sistema de firma electrónica de este país usa un chip no afectado por esta vulnerabilidad, verifiqué todas las claves de la jerarquía para asegurarme. El DNIe 2.0 no lo he probado todavía.
Tengo poco tiempo últimamente, por si quires crear un artículo. Creo que convendría firmar de nuevo con LTA los documentos archivados viejos.
Si quieres probar tu certificado en casa:
keychest.net/roca
keytester.cryptosense.com/
No soy experto en modo alguno en esto de los certificados, creo que tu tienes más conocimientos así que declino la oferta de crear la noticia, que sea otro que tenga más interés o que se haya sorprendido por su creencia en la seguridad del sistema.
Y evidentemente como ya he dicho, ni por asomo se me ocurre usar el DNI de manera electrónica así que no tengo certificado que comprobar, pero gracias por tu sugerencia, ya lo vi en los documentos relacionados de la vulnerabilidad, seguro que alguien postea la noticia pronto.
Como la vulnerabilidad se refiere a nivel software, parece que se puede subsanar con una actualización y no sé si afecta al software para nuestro DNI aunque me imagino que la respuesta es afirmativa.
Para chips TPM (suelen venir en placas base) supongo que será más fácil actualizar el firmware, según el artículo ya van a ir actualizando, pero en cuanto a las tarjetas...