Tener en nuestro poder el certificado digital de la FNMT (Fabrica Nacional de Moneda y Timbre) es algo muy interesante hoy día para identificarnos a la hora de realizar multitud de trámites online. Sin embargo, el proceso para solicitarlo había precisado que sí o sí tuviésemos que hacer un paso presencial.
|
etiquetas: certificado digital , trámites administrativos españa
Y el mismo grado de protección debería poder ser aplicable a cualquier smartphone.
C.C.: #57 #83
Y si el ordenador está encendido y la partición montada?
En Windows un dolor, en Linux un parto.
El problema del DNIe no es la seguridad sino la usabilidad.
Si tú tienes acceso a los certificados de tu equipo también lo tienen las aplicaciones que funcionan en él
Uso Linux. Al principio necesitaba algo de configuración pero ahora 0.
Pillé cita en la oficina más cercana a mi casa a las 9 de la mañana, el mismo día a las 8 hice la solicitud por internet, a las 9 estaba entrando en la oficina, y a las 9.06 estaba saliendo por la puerta con el trámite hecho.
Puedes identificarte en hacienda, oficinas de la S.S. y oficinas de atención ciudadana. En mi experiencia, lo mejor y con mucha diferencia, hacienda.
Y así te aseguras al (99,9%) de que nadie roba tus datos ni tu identidad, ... a menos que entren en tu casa y revuelvan en tus pertenencias, ... o a menos que te asalten en la calle a punta de navaja o pistola, ... o a menos que te hipnoticen y/o te sonsaquen tus contraseñas u otros datos críticos a través de lo que balbuceas en sueños.
* Sin ánimo de ofender.
Para lo que uso el DNIe es para entrar en la FNMT para obtener el certificado digital cuando me caduca.
Precisamente ese es el problema
Que no se puede asegurar 100% que el voto que tu pulsas sea el que se registra.
Me pongo delante de la maquina, voto por kodos, pero se registra que voto a kang > fraude indetectable.
Claro, eso se puede devitar grabando a quien has votado y dandote un papel... Y deja de ser anónimo.
A nivel técnico seguro que hay formas de implementar, quien sabe si mediante blockchain o alguna tecnología parecida, el mecanismo necesario para que un sistema de voto digital sea 100% seguro, fiable e inalterable.
De cualquier forma, el certificado no debe ser instalado en ordenadores a los que puedan acceder terceros.
Las claves se pueden romper con ataques de diccionario. Es mucho más inseguro que el DNIe
Cifrados con DPAPI que usa la clave de login del usuario, por lo que el usuario actual tiene acceso.
El archivo certificado no debe estar en el equipo, sino en un medio externo (llave USB o similar) y guardado a buen recaudo.
Cuando instalas el certificado como no exportable, quien acceda al equipo solo podría exportar como mucho la clave pública, que sirve únicamente para acreditar o descifrar, pero no para cifrar ni menos aún firmar.
Vamos, lo mismo que hace un agente cuando le das tu DNI en persona. Mira el DNI, te mira a ti, y comprueba que quien sale en la foto seas tú. Sin mas misterios.
Por cierto, con la llave pública no acreditas una mierda ni sirve para cifrados válidos .
- Descargas la aplicación de la visa
- Con el móvil, tocas el chip biometrico de tu pasaporte. Los datos se escanean y con la firma digital se puede verificar que el pasaporte es auténtico.
- La aplicación pasa a modo reconocimiento facial. Te reconoce la cara y se te pide que hagas un par de gestos.
- La identidad queda verificada de forma automática en el momento.
Esto es un método de verificación serio. Pero en España, en vez de escanear el chip del DNI que es 100% más seguro, seguimos con soluciones de mierda que requieren verificación manual. Tocate los cojones.
El agente que te coge el DNI, puede tocarlo, ver las marcas de agua y ver el relieve. Mostrarlo en una cámara de smartphone no te permite percibir eso.
Ya tienen mi huella, mi cara y mas datos sobre mi de los que conozco.
Solo falta que me pidan un tiktok bailando para hacer la comprobación.
Cc #113
No lo necesitas "exportar" simplemente lo copias y te lo llevas. O lo envías por la red a donde sea
A día de hoy no existe ninguna vulnerabilidad conocida que permita extraer certificados no exportables de una store de Windows (aunque, bueno, para estar seguros habría que preguntarle a la NSA...
DPAPI más que usar la clave de login, se basa en ella junto con el SID del usuario para cifrar la Masterkey, que es con la que se cifra el contenido, por tanto debes robar o romper todo eso.
Debes tener acceso al ordenador y robar todo eso. A mi me parece que la seguridad es suficiente porque si consiguen todo ello, tengo el ordenador lo suficientemente comprometido como para preocuparme también de las cuentas bancarias.
El DNI es más seguro pero el certificado sigue siendo seguro.
Respecto a lo de la clave pública, un poco de literatura al respecto:
www.ibm.com/docs/es/sia?topic=osdc-private-keys-public-keys-digital-ce
learn.microsoft.com/en-us/windows/win32/seccrypto/certificates-and-pub
Y no necesito leer nada para saber que sin la llave privada no puedes ni firmar digitalmente ni descifrar lo que te envíen.
La llave pública le es inútil a su dueño.
El DNIe es mucho más seguro. Si cae tu certificado, deberían preocuparte tus cuentas bancarias.
Si consiguen la llave privada, legalmente son TU.
La clave pública es necesaria para el dueño porque es la que realiza el cifrado inicial, que luego es firmado y refrendado con la clave privada, que es la que determina la autoría del contenido de cara a la validación contra la CA.
La llave pública en manos del destinatario permitiria conocer el autor, la no alteracion del contenido cifrado, así como incluso descifrar el contenido (dependiendo de sistemas).
Luego ya la veracidad de esa forma ha de ser refrendada contra una CA, quién garantiza que es válida y vigente, y queda por tanto acreditado formalmente.
Pero, ¿Sabes que es más peligroso que el tipo de certificado y que mucha gente pasa por alto? La veracidad o vigencia de entidades CA en el equipo que permitirían suplantar a las originales y validar certificados que no lo son. Gente que instala certificados raiz porque le han dicho que es necesario para que funcione su llave, y no comprueban el origen de dónde se están descargando esos root. Preocúpate más de eso que de si dnie, fnmt o cualquier otro.
Sigues sin entender cómo funciona un sistema clave publica-privada, pero tú mismo.
NO.
la que determina la autoría del contenido de cara a la validación contra la CA.
La validación con la CA no tiene nada que ver ni con la firma ni con la determinación de la autoría de nada.
La validación contra la CA solo te permite verificar si una llave pública de otra persona es de quien dice ser.
La llave pública en manos del destinatario permitiria conocer el autor,
Si. Si alguien tiene tu llave pública puede saber tu autoría.... Básicamente todo el mundo, no se llama pública por nada...
Tienes un cacao mental mayúsculo.
Tiene cojones que digas que yo no lo entiendo cuando demuestras no tener ni puta idea ni de en qué consiste una firma digital ni como se cifra habitualmente información con cifrado mixto
Sabes en qué consiste la firma digital?. Por lo que has puesto NO. No lo sabes.
Sabes que papel juega la criptografía de.clave pública en el cifrado?. Por lo que has puesto NO. No lo sabes.
Sabes cuál es el papel de las CA?. Por lo que has puesto NO. No lo sabes.
Usa chatGPT, anda...