Antes que nada y como información general para aquellos lectores no familiarizados con Linux en ese sistema para hacer funcionar los documentos de identificación electrónicos usamos el programa Opensc y el navegador Firefox. Alternativas populares como Chrome no soportan el DNIe.
|
etiquetas: dnie 3.0 , linux , desventuras , opensc
Por que a los bancos les interesa mucho que uses la tarjeta de crédito, mientras que a la administración muy probablemente se la pela que uses el DNIe o no.
La de millones que llevan gastado en el intento de implantación del DNI-E con una tasa de utilización ridícula dan mucho que pensar, pero como es dinero público no pasa nada, como siempre: El DNI electrónico es un fracaso: Sólo se usa en el 0,02% de los trámites www.meneame.net/story/dni-electronico-fracaso-solo-usa-02-tramites
Yo no tengo un DNI 3.0 de estos para probar, pero sí un certificado FNMT (aparte de DNI más antiguo que funciona al menos en Fedora y Debían(Ubuntu), hasta en MacOSX! (Usar los programas y drivers de FMNT en vez de los de dnielectronico.es)) pero volviendo al certificado, para renovarlo no hay que ir a Hacienda, se hace online, así que a ver si el que ha escrito esto no se entera de según que cosas.
Se gastan una pasta increíble en algo que no funciona y siguen insistiendo en lo mismo una y otra vez en hacerlo mal.
Yo también estoy convencido de que hay intereses en eso.
[...]Si el certificado que quiere ahora renovar lo obtuvo identificándose con otro certificado digital o ya fue renovado anteriormente, no podremos emitirle un nuevo certificado sin que acredite su identidad presencialmente en una de nuestras Oficinas de Registro. En estos casos para solicitar su certificado consulte el apartado [...]
Diría que es increíble que pase eso si no tuviera ya asumido donde vivo.
Sí, yo también creo que el exceso de celo con la seguridad es realmente una cagada mayúscula. Yo también desistí porque había veces que el navegador pedía el PIN cada pocos segundos. Me ha llegado a pasar, lo juro.
Y sobre lo de la seguridad, lo que más me jode es que las tarjetas bancarias, de las cuales dependen temas de dinero, son mucho menos seguras: el PIN es mucho más corto y además puedes pagar con ellas en internet usando solamente los numeritos de la tarjeta, la fecha de caducidad y un código de seguridad. Si los bancos, que son super maniáticos con esas mierdas, son menos seguros. ¿Por qué coño la administración no flexibiliza un poco?
Y aparte, el proceso de configurarlo es un PUTO COÑAZO. No es automático (creo recordar que tenías que añadir tú mismo la autoridad de certificación para poder usarlo), requiere reinicio, etc. Y eso cuando ya instalado no falla como una puta escopeta de feria. Si además quieres que funcione en Linux, más difícil todavía. Y si además quieres usarlo para firmar correos, tienes que instalar más plugins y extensiones en Thunderbird o equivalente. Un coñazo.
En fin, que yo para la Seguridad Social y Hacienda uso el sistema Cl@ve. Mucho más sencillo y seguro que, a pesar de ello, es medianamente seguro sin complicar tanto la vida al usuario.
Es solo un ejemplo de la ineficacia electrónica de este país.
Si encuentras información más actualizada sobre la utilización del DNI-E estaré encantado de leerlo, creo que será tan ridícula que no tienen la decencia de publicarlo.
¿Qué tiene de malo? Funciona en cualquier navegador, es casi tan seguro como el DNIe (y si lo guardas en un PKCS#11 es absolutamente igual), es rápido y sencillo de usar... Perfecto, vamos. La única pega es que caduca "pronto" (¿4 años?).
www.ine.es/jaxi/Datos.htm?path=/t25/p450/a2010/l0/&file=08028.px
El porcentaje de trámites en los que se usa el DNIe es del 4.7% (que como he dicho antes, sigue siendo bajo pero es varios órdenes de magnitud superior al de 2014), y el de otros certificados digitales es del 13%.
Y sí, la Administración Pública aún tiene que adaptarse mucho para que puedas hacer de todo desde casa telemáticamente, pero tampoco es justo pintarlo como que todo es una mierda y que no funciona nada porque en los últimos años se están facilitando mucho las cosas (hace casi un año salió todo el tema de Cl@ve, que facilita el tema de autenticarse desde casa) y cada vez se pueden hacer más cosas sin tener que ir presencialmente a los sitios.
cc #13
#11 No entiendo bien a qué se refiere ese párrafo. Si tu certificado FNMT ha caducado, puedes utilizar sin problema el DNIe para acreditarte y renovarlo, o en su defecto para solicitar uno nuevo, que para el caso es lo mismo.
#15 Y bloquearlo o anularlo, algo que mucha gente desconoce y viene muy bien en casos de robo.
1. Hay páginas que aceptan el DNIe como modo de autenticarse y el de la FNMT no.
2. Al ser un certificado software es menos seguro que el DNIe, que es un certificado hardware y no puede exportarse del chip del DNI (puede que sea más incómodo pero también aporta seguridad).
Piensa que si vas de un PC a otro con tu certificado de la FNMT es posible que se te olvide borrarlo en algún dispositivo (o que lo borres pero no vacíes la papelera, etc.). Hay aplicaciones por internet (o te la puedes hacer tú en una tarde si sabes programar) que saque la contraseña de un certificado si tienes el ficherito, y ahí estás jodido porque te la pueden liar bastante hasta que te des cuenta de que hay alguien haciendo cosas en tu nombre por ahí (si te das cuenta, claro). Vamos, que en cuanto a seguridad es menos seguro que el DNIe.
No obstante, yo también tengo mi certificado de la FNMT
Es como change.org con peor seo pero genera firmas con validez legal.
Hay otra de 2015 pero no localizo la pregunta sobre el DNI-E: www.ine.es/dynt3/inebase/es/index.htm?padre=2246&capsel=2250 de todos modos, es otra encuesta, todo parecido con la realidad es pura ficción.
cc #8
Por cierto, alguien sabe cómo funcionan estas cosas en otros países?
Por otro lado, si lo proteges con una contraseña fuerte es imposible que se hagan con él por fuerza bruta.
Y sí, se puede meter en algo tipo Yubikey, pero eso ya implica tener más cosas. Yo hablaba de lo que es el certificado de la FNMT a secas contra el DNIe a secas
eso si, instale el software del DNI bajado de la web, no te fies del software que baja Windows via update, ese es una mierda!
recomiendo siempre instalar el software del DNIe para windows www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_1101
Cada vez hay más trámites que, por ley, ya no se pueden hacer como antes.
-Te has conectado desde otro ordenador, introduce el código que cambia cada 15 segundos en tu móvil para confirmar que eres tú
- Vale, eres tú. Aun así, para vender la carta por 0,06€ necesitas confirmar desde el móvil, ¡no vaya a ser que alguien te esté robando 6 céntimos!
¿Te da algún error concreto?
DNIe 3.0 y todo se ha ido a tomar por culo.
¿No podrían hacer las cosas con un poco de cabeza y cuidado?
Lo del "suicidio ritual" con las caídas de tensión, puesta en bajo consumo de los USB o extracción en "caliente" es una medida de seguridad, pero te puede montar una denegación de servicio en el peor momento. Te lo sustituyen sin coste si ha muerto hasta un tiempo determinado, a partir de esa fecha toca pagar.
Respecto al uso de la firma de la FNMT está bien, pero es firma avanzada y no reconocida, para que sea reconocida ha de realizarse con un dispositivo seguro de firma (tarjeta inteligente), por lo que dicha firma a efectos legales no tiene la misma consideración de una firma manuscrita. Por otra parte, la firma de la FNMT tiene un límite económico, creo que de 100 euros, en las transacciones entre particulares, por lo que el DNIe puede ser indispensable en algunos casos.
Asimismo, el hecho de que el DNIe no haya sustituido a todos los documentos de identidad o carnés de nuestra administración no ha hecho más que fastidiar más a la hora de tener una buena, interoperable y consistente administración electrónica.
Y con respecto a la firma avanzada y reconocida la legislación ha cambiado, ahora es avanzada y avanzada cualificada:
www.electronicid.eu/firma-electronica-avanzada/
En relación con el programa Autofirma, te comento. Yo tengo dos sistemas un Ubuntu 16.04, que estoy probando y uno en producción con Ubuntu 14.04, ambas TLS. En el sistema con Ubuntu 14.04 he tenido instaladas y funcionando dos aplicaciones de firma que he utilizado sin problemas con el DNIe y una tarjeta CERES en la que tengo dos certificados, uno de la FNMT y otro de CACERT. Se trata de las aplicaciones Sinadura y @Firma Standalone. Para que funcionase Sinadura tuve que modificar un archivo de configuración para que encontrase adecuadamente el dispositivo PKCS11 de la FNMT, que es compatible con el DNIe y con la tarjeta Ceres. En el caso de @Firma Standalone no tuve que hacer nada, solamente bastó con configurar adecuadamente Firefox para que reconociera el DNIe, pero desde que tengo Firefox 48.0 y se actualizaron las librerías libnss3, no hay forma de firmar con @Firma Standalone con Ubuntu 14.04 y solamente puedo utilizar Sinadura, que afortunadamente cubre mis necesidades de firma de documentos PDF con sellado de tiempos.
Mi versión de Java en ambos casos es "1.8.0_101"
En el caso de Ubuntu 16.04, aunque me funciona perfectamente el DNIe y la tarjeta Ceres con el navegador Firefox 48.0, por el momento no hay forma de usar ninguna de estas aplicaciones de firma:
Sinadura 4.2.0
@Firma Standalone 2.1
Autofirma 1.4.2
Copiar y firmar (eCofirma) 1.4.0
Las tres últimas están bajo el control de Administraciones Públicas, Es curioso que con Autofirma si selecciono el almacén NSS y pulso el botón Ver Contenido, puedo ver sin problemas los certificados que hay en la Tarjeta Inteligente y los que hay en el contenedor software del navegador, pero no me deja firmar.
Copiar Y firmar me pasa todos los test durante la instalación, pero si miro el log de los test, veo que tiene problemas para abrir el contenedor NSS y para localizar dispositivos PKCS11 externos instalador en Firefox, al arrancar me dice que no encuentra un archivo en la configuración, pero no descubro cual.
En el caso de @Firma no puedo decir nada, es una aplicación "autista" en relación al diagnóstico y los mensajes, que me permite introducir el PIN del DNIe y seleccionar el certificado que quiero usar, pero que luego no firma.
Volveré a repasar mi configuración de Sinadura en 16.04, que al usar directamente el dispositivo PKCS11, no estará afectada por posibles problemas de compatibilidad con las últimas versiones de Firefox o de las librerías libnss3, realmente desconozco el motivo por el que no funciona con Ubuntu 16.04, pero también es cierto que esa aplicación no se toca desde el año 2012.
Desde mi punto de vista creo que estas aplicaciones deberían probarse y modificarse adecuadamente si fuera necesario, ante los cambios en los navegadores o librerías involucradas.
Yo he llegado a pensar que es que la administración no quiere que haya una forma de identificar a usuarios con el dniE y se hagan portales tipo change.org pero con dniE por lo tanto dichas firmas entiendo yo que serían legales para presentar iniciativas populares.
Lo cual no quita que el uso del DNIe sea una maldita aberración, no me extraña que tenga un nivel de uso tan bajo. Acabé sacándome un certificado digital otra vez para mandarlo al cuerno.
Bien podría la administración sacar una distribución Linux mascadita para esto.
Me pasé el nivel 1 de crear carpetas en windows, me pasé el nivel 2 de editar documentos word, me pasé el nivel 5 de las copias de seguridad automatizadas, me pasé incluso el nivel 8 de hacer funcionar OpenCL... pero con el pinche DNIe no puedo.
Al respecto al avance digital apañol, perdonadme que me ría. En países como México (que comúnmente lo asociaríamos con casi el 3er mundo ) parece que van avanzando más y mejor. Al usuario le dan la fiel ( firma electrónica), que se la guardan en un USB normal y corriente. Es un típico cer y key, con una password que sólo el usuario tiene. Y ya, sencillo pero efectivo, sirve para hacer ciertos trámites, aún no todos. Aparte toda la contabilidad de todas (tooodas) las empresas está digitalizada. Piden que se envíe de manera electrónica la contabilidad, las facturas mexicanas (absolutamente todas) ya son electrónicas, con lo que es fácil cruzar datos y hacer big data. Incluso las nóminas de los empleados son electrónicas. La documentación de archivo muerto igualmente están aceptando que bajo ciertas condiciones el documento escaneado con firma de un tercero autorizado por Hacienda sea usado como archivo muerto (adiós papeles en archivos),... etcetc. Estoy un poco desconectado de cómo vaya en España, pero dudo que hayan metido tanto impulso a una organización basada en documentación electrónica.
Generalmente todo se vende por paquetes o proyectos: encargas a una empresa (probablemente despues de hacer un concurso público) que desarrolle el sistema. La empresa obviamente tirará a entregar el sistema lo más rápido posible que tenga algo funcional y luego procurará vender la moto con extensiones o ampliaciones de proyecto. Ya si la cosa va de un grupo de empresas en donde cada una se encarga de una parte diferente (ej.: una el chip, otra los controladores, otra los servicios, etc.) ya apaga y vámonos.
Todo este tema de servicios al ciudadano tenía que ser 100% publico para garantizar un mínimo de calidad, y desarrollado por gente muy preparada. Claro que la gente preparada cobra lo suyo y hoy en dia crear puestos de funcionario o fundar empresas públicas está muy mal visto. Así nos va.