No sólo te deseo un feliz año...

Para evitar el spam navideño, os escribo aquí mis mejores deseos para que el próximo año sea mucho mejor que el que pronto abandonaremos, que recuperemos ese optimismo que teníamos antes de la crisis y lo podamos disfrutar con mucha salud y prosperidad.

Os envío también mi versión navideña del DNIe a modo de tarjeta de navidad:

Felices Fiestas

Comprobando en Windows si los certificados del DNIe estan revocados...

Cuando nos roban o perdemos una tarjeta bancaria, llamamos a la entidad emisora para anularla y su número es incluido en una lista negra para indicar que ya no es válida. En este caso confiamos en que las empresas que realizan cobros con tarjeta comprueben siempre dicha lista para evitar que puedan ser utilizadas esas tarjetas anuladas.

Con los certificados digitales es similar, la validación de certificados (es decir, comprobar su estado de revocación) es una función crítica en aquellas operaciones relacionadas con la tecnología PKI. Toda aplicación que utilice los certificados digitales para funciones de autenticación, firma o cifrado debería bien validar todos los certificados que utiliza o bien asumir el riesgo asociado a su no validación.

Las listas negras, se llaman en este caso Listas de Revocación de Certificados (o CRL por sus siglas en inglés) y a menudo se hacen accesibles de forma publica a través de Internet para que cualquier aplicación pueda consultarlas. Las listas contienen los número de serie de los certificados vigentes que han sido revocados y la fecha de su revocación, y son firmadas por la AC emisora de los certificados como prueba de su origen e integridad (nadie puede añadir ni quitar elementos de la lista).

El método de acceso a la lista puede ser diverso, bien se publican en un servidor web y son accesibles mediante protocolo HTTP, bien se publican en un directorio con protocolo de acceso LDAP o bien se implementa un protocolo de consulta online denominado OCSP (Online Certificate Status Protocol). Este último método OCSP resulta el más ventajoso, ya que evita la descarga de las listas y solo realiza una transacción de pregunta y recibe una respuesta firmada con el estado del certificado. Esta tarea se puede delegar en un tercero denominado Autoridad de Validación.

Algunas AC habiltan varios métodos de validación como HTTP, LDAP u OCSP, pero en el caso del DNIe se ha delegado la función de validación en la FNMT y el Ministerio de la Presidencia a través de la plataforma @firma. De forma pública solo se dispone del método OCSP para la validación de los certificados del DNIe (ocsp.dnie.es).

El protocolo OCSP está definido en el RFC 2560 del IETF y se implementa en la mayoría de plataformas de PKI para su uso. Debido a su Existe también una variante de este protocolo llamada Lightweight OCSP (RFC 5019) y definida en Septiembre de 2007 para aquellos entornos donde se gestiona una alto volumen de tráfico que ayuda a reducir el consumo de ancho de banda y minimizar el consumo de recursos en el cliente.

La validación de los certificados puede ser implementada directamente en las aplicaciones mediante el uso de librerías comerciales o de software libre o bien a través de los servicios que proporcionan de base algunos sistemas operativos, descargando a la aplicación de esta tarea.

En los sistemas operativos Windows, estas operaciones de validación están incluidos en los servicios criptográficos que incopora la plataforma denominada CryptoAPI y las aplicaciones comerciales y especialmente las desarrolladas por Microsoft como Internet Explorer, Microsoft Outlook, Microsoft Office en el cliente o Microsoft IIS, Microsoft Exchange Server o Microsoft SharePoint en el servidor, hacen uso de estos servicios de la plataforma.


Lamentablemente, el protocolo OCSP no se incluyó hasta la aparición de Windows Vista y Windows Server 2008. Por tanto, para poder utilizar este protocolo en aplicaciones que se ejecutan en Windows 2000, XP o Server 2003, bien se implementa directamente en la aplicación o bien se instala un plug-in que habilita esta función en CryptoAPI (SmartAccess ha desarrollado TrustID OCSP Client) y permite que aplicaciones como Microsoft Outlook puedan validar los certificados, por ejempo cuando recibimos un correo firmado digitalmente usando el DNIe.

En el caso de Windows Vista, Windows 7 y Windows Server 2008 (R2), ya incorporan el protocolo OCSP de serie en CryptoAPI y debería poder utilizarse para validar los certificados sin necesidad de instalar plug-ins. Sin embargo, el protocolo implementado es el Lightweight OCSP (basado en el RFC 5019) pensado para altas volumenes de transacciones pero el respondedor (servidor) público que gestiona la FNMT solo admite peticiones según el protocolo OCSP (RFC 2560). Esto nos coloca en la misma situación que con versiones antiguas de Windows para validar los certificados del DNIe a través de CryptoAPI.

Esta situación, provoca muchas veces comentarios que indican que Windows no es compatible con el OCSP o que las aplicaciones de Microsoft no son compatibles con la validación de certificados del DNIe, lo cual espero haber explicado. La solución pasa por cambiar Windows (algo dificil) o cambiar el respondedor OCSP de la FNMT para que también admita el RFC 5019. Creo que sería una ayuda a los desarrolladores de aplicaciones que utilicen el DNIe para que no necesiten integrar la validación en cada aplicación que desarrollan.

Un saludo
Rames

Recuerda las siglas NFC, te vas a cansar de escucharlas...

La siglas significan a Near Field Communication, es una tecnología que ya lleva unos años pero parece que es ahora cuando se empezará a utilizar masivamente.

NFC es un protocolo de comunicación inalámbrica orientado a establecer comunicaciones peer-to-peer a corta distancia (< 10-20cm) entre 2 dispositivos con una alta velocidad de transmisión. Utiliza la misma banda de frecuencias que el RFID (es decir 13.56 Mhz) y por tanto no se requiere ningún tipo de licencia o permiso especial para su uso. Es además compatible con el estandar ISO 14443 y por tanto con los dispositivos RFID.

¿Pero para que sirve?, aunque su uso no está limitada a los teléfonos móviles, estos son su principal foco y permite conectar al móvil (y su tarjeta SIM) con otros dispositivos para intercambiar información de forma rápida y segura.

Algunos ejemplos de uso de la tecnología NFC son:

• Imagina que reservas (y pagas claro) por Internet una habitación de hotel para una fecha determinada. Antes de esa fecha te envían la llave de tu habitación mediante un mensajes SMS y cuando llegas al hotel, vas a la habitación sin pasar por recepción, acercas tu movil NFC y la puerta se abre. Ohhhh!!!
• Imagina ahora que vas en tu coche y entras en un parking, en lugar de recoger el "dichoso" ticket de la maquina simplemente acercas tu teléfono NFC y cuando vas a salir del parking acercas de nuevo el teléfono en una maquina de pago, realizas el pago del parking con tu teléfono, te llevas un recibo electrónico en tu movil para la declaración de gastos y para rematar llegas al coche y abres el coche con tu móvil NFC.
• Por último, llegas en tu coche al cine a ver esa película que tanto tiempo llevas esperando y cuyas entradas has comprado por Internet. Te han enviado las entradas a tu móvil NFC y no has tenido que pasar por taquilla y por eso has llegado a tiempo. Al finalizar de la película te quieres llevar el trailer de la película para enseñársela a tus colegas. Acercas tu móvil a un cartel NFC colocado en la pared y de descarga el trailer a tu móvil en unos segundos. Antes de irte te encuentras a un antiguo compañero de trabajo que hace tiempo que no veías, os intercambias las tarjetas de visita acercando vuestros móviles NFC y quedáis en llamaros.

Estos son solo algunos de los posibles usos de los teléfonos NFC y estoy serguro que aparecerán muchos más. Con NFC convertimos a nuestro móvil en una cartera electrónica, en un llavero electrónico, en un intercambiador de documentos electrónicos, etc. y todo simplemente acercando tu móvil a dispositivos. Lógicamente algunas transacciones requerirán el uso de un código personal o PIN para asegurar que solo el propietario del teléfono y la linea puede realizarlas.

Recientemente Apple anunció que estaba desarrollando junto con Gemalto un nuevo SIM que permitiría pagos con el móvil, posteriormente Google anunció que su nuevo teléfono Nexus S y la nueva versión de Android incluirán NFC. El último en anunciar este soporte ha sido RIM, fabricante de los teléfonos Blackberry. Es de esperar que veamos pronto un importante despegue de esta tecnología.

NFC es una iniciativa de la industria en la que participan fabricantes de dispositivos móviles, operadores de telefonía, medios de pago, fabricantes de smart cards, empresas de software, etc. Existe una organización sin ánimo de lucro denominada NFC Forum que se está encargando de impulsar su uso.

Os dejo algunos videos ilustrativos:

BBVA NFC medios de pago 
http://www.youtube.com/watch?v=K5apLejFiiU

Nokia NFC demo (año 2007!!)
http://www.intomobile.com/2007/01/19/video-nokia-nfc-demo-absolutley-amazing/

Infográfia: NFC las tarjetas del futuro
http://www.consumer.es/web/es/tecnologia/2009/01/04/182530.php

Un saludo
Rames

Una nueva biometría (la forma de nuestro oido)

IDNoticias, 18 de Oct.

Científicos del departamento de Electrónica y Ciencias de Computación de la Universidad de Southampton en el Reino Unido, han presentado una ponencia en la Cuarta Conferencia Internacional sobre Biometría de la IEEE, que expone una técnica que puede resaltar highlight estructuras tubulares, tales como los oídos humanos, para hacer de éstas una modalidad biométrica viable, según reporta un artículo de University of Southampton News.


La técnica emplea un dispositivo llamado “image ray transform”, que permite que la estructura del oído pueda resaltarse con suficiente calidad para que permita verificar la identidad.

Los científicos esperan que otras técnicas similares podrían emplear el “image ray transform” para crear nuevas formas de utilizar la biometría del modo de andar, que identifique a una persona mediante su postura y su ciclo al caminar. Igualmente podría tener aplicación en varios escenarios biométricos 3D.

Adicionalmente, la técnica que expusieron en su documento toma en consideración temas potenciales como los oídos que están tapados por el cabello, lo que implica que la técnica aislaría el oído con respecto a la cabeza cuando se realiza la identificación.

Para más info (en inglés) en http://www.ecs.soton.ac.uk/about/news/3438

Un saludo
Rames

Sé como tecleas y por tanto sé quien eres (keystroke biometrics)

Durante el siglo XIX el uso del telégrafo se popularizó en los Estados Unidos como el principal método de comunicación a larga distancia. Los mensajes se transmitían por un operador utilizando el código morse en secuencias de puntos y rayas. Con el tiempo se hizo común poder reconocer el operador que emitía el mensaje a través del ritmo único que realizaba al transmitir el mensaje. Durante la Segunda Guerra mundial se empleó esta técnica para identificar que el mensaje provenía de operadores de confianza.

Al igual que los operadores telegráficos, todos nosotros tenemos una serie de pautas de comportamiento cuando tecleamos. Estas pautas consisten en diversos factores como la velocidad, el tiempo de presión y liberación de cada tecla, el uso de las teclas auxiliares, etc. que son perdurables a través del tiempo, lo que permite reconocer a una persona por la forma única que tiene de teclear una frase. Estas pautas son difíciles de imitar o reproducir por otras personas.

Existen múltiples métodos de medición biométrica de personas, tantos que casi asusta pensar que somos tan únicos por tantas cosas. Somos "medibles" o "identificables" por rasgos personales o morfológicos como las huellas dactilares de los dedos, las características de nuestro iris, la forma de nuestra cara (biometría facial), la forma de nuestras manos (geometría de la mano), las venas de nuestra mano, nuestro ADN, la estructura de nuestro oído, etc. pero también se nos puede identificar por ciertos comportamientos (biometría del comportamiento) como son como realizamos una firma manuscrita, nuestra voz o la forma en que tecleamos.

Ningún método biométrico (a excepción del ADN) se ha demostrado como infalible o libre de errores. Cada método muestra un índice de fiabilidad y un coste de captación/comparación de muestras como se indica en el siguiente gráfico de la consultora Frost & Sullivan:

De todas maneras, si como yo eres un incrédulo y necesitas probar para creer. Te dejo un enlace a una demo de un proveedor de esta tecnología de reconocimiento biométrico de partron de tecleo (keystroke biometrics) llamado Psylock para que puedas crearte un perfil y probar con tu mujer, amigo o compañero que funciona. No es perfecto pero funciona suficientemente bien como para utilizarlo como un segundo factor de autenticación de forma adicional a la contraseña en una acceso remoto a nuestra red corporativa o en el acceso a nuestro PC.

La demo personalizada en https://www.psylock.com/CustomerDemo/index.jsp?lang=en&c=SmartAccess

(me gustaría oir tus comentarios)

Un saludo
Rames

Mejico emitirá 110 millones de DNI con captura de Iris

El próximo vernaro, el gobierno Mejicano tiene previsto iniciar el despliegue de su documento nacional de identidad para sus 110 millones de ciudadanos. En el documento está previsto que se registre varios aspectos biométricos de los ciudadanos como las características del iris, las huellas digitales y la biometría facial.

El proyecto ha sido adjudicado a la filial mejicana de Unisys por parte de la Secretaría de Interior y está pendiente otra licitación para la adquisición de las tarjetas de ciudadano. El gobierno espera que la emisión de las tarjetas se realice a lo largo de 3 a 4 años a través de más de 3.000 centros de registro distribuidos por todo el país encargado a la empresa Unisys junto con los centros de registro del gobierno ya existentes.

Lo que hace diferente de los demás proyectos, es la adición de la biometría del iris (en España ya se incorpora al DNIe, información de dos huellas dactilares y una fotografía del ciudadano que permite el uso de la biometría facial), el elevado número de centros de registro (en España se realiza en menos de 300 comisarias) y además que los mejicanos no han tenido un Documento Nacional de Identificación antes, si exceptuamos la tarjeta de identificación de votantes.

Todavía no se ha decidido la tecnología de las tarjetas que se emplearán, y hay que tener en cuenta que aunque las tarjetas inteligentes critpográficas son una excelente opción, el elevado número de ciudadanos hace que los costes de su uso se disparen y se estén barajando otras opciones. También se esta estudiando emplear la tarjeta para otras tareas como licencia de conducir, peajes, tarjeta de viaje e incluso como tarjeta de cajero automático.

Existe un interés creciente en América Latina y Asia para abordar nuevos proyectos de documento nacional de identidad o actualizar los proyectos existentes. Especialmente en países que no tienen un documento nacional de identidad o no utilizan la biometría para evitar los problemas de fraude de identidad.

Hace un año que tuvimos la suerte de poder trabajar con el equipo de Soluciones de Identidad de Unisys, y quedamos sorprendidos de su visión y capacidades. No obstante, a partir de la experiencia de España, parece dificil conseguir que un país con 110 millones de habitantes, que no ha tenido antes DNI, pueda desplegar 3.000 oficinas de registro y realizar el despliegue en 3 a 4 años. Si lo consiguen será sin duda un gran caso de éxito.

Un saludo
Rames

PKI at the door (La PKI llama a tu puerta)

Hasta ahora el control de acceso físico en las organizaciones (la apertura de puertas) se basa en el uso de una tarjeta de proximidad que utiliza la tecnología RFID (contactless card). Los lectores se encargan de leer en la mayoría de los casos el número de serie único que el fabricante graba en cada tarjeta, o bien alguna información grabada en la memoria del chip, para posteriormente verificar dichos datos contra una base de datos para obtener los permisos de acceso (día y horario, autorización, etc.) y proceder o no a la apertura de la puerta.

Este esquema de cerraduras electrónicas, que lleva años reemplazando a las cerraduras mecánicas, permite una mayor seguridad con un mayor control dejando registro de quien accede y limitando el acceso a determinados horarios o fechas (p.e. días laborables) y permitiendo la revocación de las tarjetas (o llaves electrónicas) a través de la base de datos. Es frecuente ver este funcionamiento en multitud de hoteles que utilizan tarjetas de banda magnética o chip de radiofrecuencia RFID para habilitar el acceso a las habitaciones y que se desactivan cuando finaliza el periodo contratado.

Una posible evolución de este funcionamiento es lo que se ha dado en llamar "PKI at the door" y que emplea un par de claves de cifrado asimétrico (contenidas en una tarjeta criptográfica en forma de certificado digital) y que hasta ahora se utilizaban para el control de acceso a equipos o aplicaciones, también para el control de acceso físico.

¿Pero que aporta esta nueva tecnología? ¿Por qué es necesaria esta evolución?. Pues bien, hasta ahora la emisión de llaves electrónicas estaba limitada a la propia organización mediante la edición de la base de datos de acceso (o el acceso a los equipos controladores de acceso) y la seguridad no incluía la validación de la autenticidad de la tarjeta. Es decir, que hoy es posible con un equipo sencillo, duplicar una tarjeta de acceso físico. La tecnologia PKI proporciona un nivel superior de seguridad, al permitir la emisión por terceros de confianza (Autoridades de Certificación) de elementos únicos sin posibilidad de duplicación, permitiendo la externalización de la emisión de llaves manteniendo el control de acceso a nuestras instalaciones.

Además, la tecnología PKI at the door, permite el uso del protocolo OCSP para realizar una validación del estado de revocación del certificado contenido en la tarjeta mediante una pequeña transaccion de red (< 1K) para comprobar la vigencia de dicha llave.

No obstante la adopción de esta nueva tecnología no está exenta de obstaculos, principalmente la necesidad de contar con una buena infraestrura de red, los costes de cambiar los lectores y tarjetas y la mayor complejidad de administración. Entre las ventajas, podemos destacar la unificación de las credenciales para el acceso físico y logico a los sistemas de información, obteniendo los beneficios de una seguridad unificada y convergente.

En los próximo años podremos ver si esta tecnología es aceptada y adoptada por las organizaciones, y si los beneficios que proporciona convencen para afrontar los posibles obtaculos para su adopción. De momento, parece que la especificación de seguridad FIPS 201, relacionada con tarjetas de identificación para los empleados del gobierno de Estados Unidos, incluirá PKI on the door.
Os dejo un video (en inglés) donde algunos importantes fabricantes del sector dan su visión acerca de esta tecnología.
http://www.secureidnews.com/2010/10/18/industry-discusses-pki-at-the-door?issue=secureidnews_20101019

También la revista re:ID publicó en su número de primavera un especial sobre PKI on the door
http://www.regardingid.com/images/reid_spring10_web.pdf
Un saludo
Rames

Encuesta: 63% de los consumidores prefieren la huella dactilar al PIN para la seguridad de sus tarjetas de crédito

Una reciente encuesta online realizada por Unisys Corp. en Estados Unidos, indica que dos tercios de los consumidores consideran más seguro el reconocimiento de la huella dactilar como método para verificar la identidad de su tarjeta de crédito frente a otros métodos como la identificación mediante fotografía, el uso de un código PIN o la verificación de la firma manuscrita.

La encuesta online fué realizada el pasado 20 de Septiembre a unos 305 encuestados. Los resultados indican una mayor aceptación del consumidor del uso de tecnologías biométricas para asegurar las transacciones financieras y evitar la suplatación de identidad.

En respuesta a la pregunta: "¿Cual creé usted que es el método más seguro para verificar que su tarjeta de crédito es solo utilizada por usted?", un 63% de los encuestados prefieren el uso de la verificación biométrica de su huella dactilar como el mejor método para la verificación de su identidad, un 20% prefiriño la identificación mediante la fotografía, un 13% indicó su preferencia por el uso del código PIN y un 6% consideró la firmas manuscrita como el método preferido.

El vicepresidente de soluciones de identidad de Unisys, Bryan Ichikawa, afirmó que "A medida que avanzamos hacia una era cada vez más digital, los métodos tradicionales de verificación de identidad ya no son suficientes y como muestra nuestra encuesta, la identificación biométrica es un método válido y preferido de autenticación de identidad que podrían resultar útiles en una variedad de campos, incluso más allá de la banca como en la seguridad sanitaria y el transporte."

Ahora que el mercado de las tarjetas bancarias se mueve hacia la especificación EMV, que sustituye el uso de la banda mágnética por un chip criptográfico para luchar contra el fraude, y los dispositivos biométricos de huella dactilar se han popularizado y abaratado, es el momento propicio para que la proxima generación de tarjetas de crédito proporcionen la posibilidad al usuario de incluir en la tarjeta su huella dactilar como alternativa al uso del PIN, lo que según la encuenta aumentaría la confianza de los usuarios y facilitaría el uso de las tarjetas evitando el inconveniente de recordar multiples códigos PIN de diferentes tarjetas. Por contra, supondría una inversión en hardware para actualizar los terminales de pago para incluir lectores biométricos.

Un saludo
Rames.

Una encuesta indica que ha crecido el uso del DNI electrónico entre los españoles

La red de blogs Ocio Networks ha elaborado por segundo año consecutivo un Estudio de Hábitos de Internet, en el que se ha entrevistado a 1.875 internautas. Uno de los apartados de esta encuesta analiza el uso y el conocimiento del DNIe y el comercio electrónico por parte de los usuarios, donde destaca que, aunque sigue siendo minoritaria, la utilización del DNI electrónico se ha extendido entre los españoles. Así lo ha confirmado el 24% de los encuestados que ha reconocido haberlo usado alguna vez en Internet este 2010, frente al 15% que lo hizo el año pasado.

Según este estudio, también se ha producido un importante aumento en el conocimiento del DNIe y sus utilidades, ya que este año un 82% de los entrevistados ha manifestado conocer para qué sirve y dónde se puede utilizar, al contrario que el 67% que así lo afirmó en 2009. Además, dicho conocimiento se ha incrementado de forma generalizada en todos los grupos de edad, mientras que el uso del DNI electrónico ha crecido de forma más significativa entre los usuarios de entre 21 y 50 años.

Por Comunidades Autónomas, en Navarra (40%), Aragón (34%) y Murcia (34%) es donde más ha crecido el uso del DNIe respecto al año pasado, aunque su empleo ha aumentado de forma considerable en todas. En cambio, Madrid (22%) y Galicia (26%) son las comunidades que se mantienen más estables.  
(fuente: DINTEL)

Oracle anuncia su intención de adquirir el fabricante de software de E-SSO Passlogix

El rápido desarrollo de Internet y sus tecnologías asociadas ha provocado una rápida adopción de aplicaciones y servicios distribuidos por parte de los usuarios empresariales. Cada aplicación o servicio (correo electrónico, correo móvil, etc.) se construye empleando diferentes herramientas, con diferentes características de seguridad y sobre diferentes plataformas o infraestructuras. Cada aplicación y servicio utiliza por tanto un repositorio propio centralizado para almacenar la información de seguridad asociada a cada usuario. Además las colaboraciones entre empresas y organismos, y la tendencia a la externalización de los servicios agravan esta situación.

La unificación de acceso mediante un logon único para los usuarios, junto a una gestión de las identidades centralizada y una autenticación fuerte de los usuarios se han convertido en principales preocupaciones de los responsables de seguridad de las empresas y organismos públicos.

Según indica la web de PassLogix, en Junio de 2006 Oracle y Passlogix alcanzaron un acuertdo OEM que permitía a Oracle la venta del producto Passlogix v-GO Sign-On bajo su propia marca siendo un componente clave de la estrategia Oracle Fusion Middleware. El acuerdo se llevó a cabo debido a la fuerte demanda de los clientes para implementar soluciones de logon único empresarial (Enterprise Single Sign-On).

Tras más de cinco años de colaboración, Oracle ha anunciado que ha alcanzado un acuerdo para adquirir Passlogix (http://www.oracle.com/us/corporate/press/176326)  para complementar su linea de productos de gestión de identidades.

Algunos de los competidores de Passlogix en el área de Enterprise Single Sign-On (E-SSO) son IBM (con su producto Tivoli Access Manager que inicialmente fue licenciado a Passlogix), Novell, ActivIdentity, Evidian (del grupo Bull), Computer Associate e Imprivata. Habrá que ver que otros movimientos se producen en este mercado, aunque ya se ha producido una consolidación.

Conseguir que los usuarios accedan con un unico logon a todos los sistemas, servicios y aplicaciones que necesitan para desempeñar su función es un reto complejo en grandes organizaciones. Hace unos meses presente en el foro tendencias del SITI/asLAN 2010 una presentación donde me permitía recomendar una estrategia para conseguir finalizar con éxito un proyecto de estas características (http://slidesha.re/btpHXh).

Los proyectos de E-SSO van a menudo acompañados de la implantación de una solución de autenticación fuerte, ya que sustituir varias password que gestiona un usuario por una sola, no mejora necesariamente la seguridad (aunque facilita su memorización) sino que puede incrementar el riesgo, ya que la perdida o compromiso de una contraseña da acceso a todos los sistemas y aplicaciones a los que tiene acceso un usuario. Por ello si se acompaña de la autenticación por smart card o algún tipo de reconocimiento biométrico que mantenga la sensación de facilidad de uso al usuario, conseguiremos mejorar tanto la productividad como la seguridad de la empresa.

Los usuarios y passwords más utilizados

Bruce Schneier referencia en su blog esta web que ha publicado una nube de tags, con los usuarios y password más empleados por los usuarios en Internet.

Cada uno que saque sus propias conclusiones. ¿Cuantos equipos conectados a Internet usarán estos usuarios y contraseñas?. Se lo ponen fácil a los atacantes.

La criptografía asimétrica vino a solventar el problema de la distribución de claves, por la que en una red abierta el número de claves simétricas necesarias para mantener la confidencialidad de las comunicaciones crece exponencialmente con el número de participantes.

Con las passwords, parece que pasa algo parecido. Cada vez accedemos a más y más servicios. Cada uno de ellos requiere que nos registremos y creemos una password. Es una práctica sensata no reutilizar las passwords en los diferentes servicios, o al menos, disponer de diferentes passwords para cada grupo de servicios en función de su criticidad o riesgo. Pensemos que una password es un secreto compartido entre nosotros y los responsables de un determinado servicio en la web. Cuando nos registramos, no siempre sabemos a quien le estamos confiando esa password, ni que estaría dispuesto a hacer con ella. Como escuché en una conferencia, "un secreto compartido no puede ser un secreto".

La realidad es que los usuarios en general, utilizan passwords muy simples para no olvidarlas y se reutilizan las password en diferentes servicios, llegando a emplear la misma password corporativa para registrarnos en webs de dudosa reputación.

Podemos recordar de media unas 7-8 passwords complejas diferentes y especialmente si debemos cambiarlas frecuentemente. Por esta razón si utilizamos más las terminamos apuntando o reutilizando. El problema son las passwords, no las personas.

Un saludo

Rames.

El DNI electronico y el cloud computing

Aparantemente no tienen nada que ver, parece que son dos tecnologías que no llegan a tener relación entre si, pero no es así.

En general, los entornos en la nube mantienen la necesidad de identificar y autenticar a los usuarios legítimos antes de darles acceso a los datos y las aplicaciones. Además, si estos entornos son compartidos con otras empresas o usuarios, la necesidad de estar seguros de que solo accedern los usuarios buenos se amplia.

En una ocasión, escuche a alguien decir que poner tus servicios en la nube y mantenerlos seguros era equivalente a poner tus servidores actuales en la calle y tratar de que nadie acceda a los datos. Aunque es una exageración, creo que tiene un fondo de realidad al pensar que las aplicaciones que antes hospedabamos en nuestro centro de datos es posible que por eficiencia económica ahora hayamos decidido alojarlos en un nube pública y por tanto los servicios son accesibles a cualquier en Internet. Es por esta razón, que necesitamos implementar teconlogías de autenticación que nos proporcionen como empresa mayores garantías tanto técnicas como legales. Y aqui es donde enlazo con el DNIe. La autenticación de usuarios con certificados digitales es relativamente fácil de implementar en cualquier aplicación y con el DNIe proporciona garantías legales que nos protegen como usuarios y como empresa en caso de fraude o suplatanción.

Probablemente en breve podremos ver que los servicios en la nube, tanto profesionales como personales, nos brindan la opción de acceder con nuestro DNIe como un método más de demostrar mi identidad y conseguir mejorar la productividad de los usuarios, evitando recordar decenas de contraseñas para cada servicio al que accedemos.

Un saludo
Rames

El dichoso manual de comandos del DNIe

Hoy durante la jornada de difusion del DNIe que organizó Inteco y Red.es en Sevilla, se ha anunciado por parte del representante de la DGP (una vez más) que la próxima semana se libera la información del manual de comandos del DNIe.

En casi todas las ponencias se ha hecho referencia a la importancia de este anuncio por parte de la DGP y lo que supondrá para el impulso para el uso del DNIe.

La verdad es que soy un poco incredulo ya que he escuchado casi quince veces en diferentes eventos por parte de la DGP que la próxima semana se libera el manual, y os podeis imaginar que uno ya no se cree nada, aunque siempre tienes la esperanza de estar equivocado.

Creo saber que el  problema no es de la DGP que le habría gustado liberarlo al poco tiempo de anunciarlo la primera vez (en Mayo de 2009 en León), pero han implementado un portal basado en la tecnología DRM de un conocido fabricante para la distribución del manual y dicha tecnología DRM tienen algunas incidencias al ser usado con el DNIe :-(. Llevan (o llevamos) bastante tiempo esperando a que el fabricante solvente la incidencia en el producto y se pueda presentar el portal.

Escuchando a los demás ponentes, cuando se publique por fin, parece que comenzarán a florecer miles de aplicaciones y sistemas que hagan uso del DNIe. Parece indicarse que la principal barrera para una mayor adopción del DNIe era la posibilidad de construirse uno mismo su propio middleware.

Lamentablemente no coincido con estas afirmaciones. Crear un driver o middleware para el DNIe solo está al alcance de unos pocos mortales, y si además hay que hacerlo bien integrado, la cosa se complica mucho. Después de tanto tiempo esperando el manual de comandos y las claves para el establecimiento de sesión, se han elevado tanto las expectativas que me temo que será una nueva decepción para las empresas.

Parece que, al igual que en la medicina, mientras no acertemos en el diagnóstico no podremos aplicar un tratamiento adecuado. He escuchado muchas veces a representantes públicos decir en foros y eventos que el DNIe funciona bien, por lo que si ellos no creen que haya algo que mejorar logicamente no cambiará ni se mejorará.

Un saludo
Rames

¿Por qué conviene utilizar diferentes certificados digitales para cada propósito?

Cada DNI electrónico contiene dos certificados digitales que corresponden al ciudadano, uno para autenticación y otro para firma. Desde el punto de vista técnico son muy parecidos, pero su uso es diferente. El primero (de AUTENTICACIÓN) se utiliza para identificarme y demostrar mi identidad digital cuando accedemos a sistemas o aplicaciones y no tiene vinculación legal. El segundo (de FIRMA) se emplea para firmar documentos o transacciones y su uso equivale a nuestra firma manuscrita.

En el caso del DNIe, se ha optado por crear estos dos certificados, por el diferente soporte legal y especialmente, porque cuando nos autenticamos ante una aplicación o sistema, lo que hace el sistema internamente es realizar una firma digital con nuestro certificado pero en este caso los datos a firmar no tienen importancia y se firma un conjunto de datos aleatorio o nulo. Un atacante podría alterar el servidor web para que enviase un conjunto de datos que no fuese aleatorio (p.e. un contrato o cualquier otros documento) y el usuario lo firmaría sin haber visualizado lo que firmaba. Al separar los certificados y dar validez legal solo al de firma y pedir el consentimiento explícito al usuario, le estamos protegiendo ante este tipo de ataques malintencionados.

Todo certificado que cumple la norma X509v3 contiene un atributo que indica el o los propósitos del certificado, es decir, para que usos ha sido emitido por la entidad que se encarga de su emisión.

Emplear un único certificado para todos los usos puede ser cómodo para el usuario, pero al mismo tiempo le expone innecesariamente a otras problemáticas. Utilizar el mismo certificado para autenticación web, smartcard logon, firma de documentos, firmar y cifrado de correos, etc.. tiene ciertas implicaciones que deben estudiarse con cuidado.

Pensemos que siempre que realizamos una operación con un certificado, es frecuente enviar al receptor junto con la firma, la parte pública de nuestro certificado para que pueda verificar con la clave pública la firma realizada. Esta parte pública puede contener información sensible que no queremos que se conozca publicamente.

Un ejemplo bastante frecuente, es incluir en el certificado digital único la dirección de correo electrónico para que pueda ser empleada para firmar correos. Supongamos que este certificado pertence a un alto cargo de una Administración Pública y que lo emplea también para firmar documentos. Al enviar fuera de la organización dichos documentos firmados, que contienen la parte pública de su certificado, cualquiera podría acceder a su dirección de correo electrónico, lo que lo expone a spam y otro tipos de ataques.

Cuando empleamos un certificado para realizar smartcard logon (acceso al puesto) y le incluimos, como es necesario, el UPN al certificado o información de logon (nombre de usuario y dominio), al firmar correos o documentos, cualquier receptor recibe también esta información interna de la organización.

Decidir cuantos certificados debe tener un usuario y que información debe contener es una tarea que requiere de una planificación detallada y comprender que datos son los estrictamente necesarios que contenga cada certificado en cada operación.

Un saludo
Rames

Consultoría gratuita para la adopción de firma digital

Dado que la adopción de la firma digital en la empresa u organismo supone la toma de un importante número de decisiones relacionadas con todas las tecnologías relacionadas (smartcards, certificados, prestadores de servicios de certificación, software middleware, software de autenticación, motores de firma, protocolos y autoridades de validación, integración de las aplicaciones, etc..), desde SmartAccess hemos pensado que podemos poner todo el conocimiento acumulado en los últimos años a vuestro servicio con el fin de ayudar a que las decisiones que tomeis hoy no sean un lastre mañana.

Es un entorno complejo y muchas veces las decisiones nos son fáciles. Nuestra labor consisitirá en analizar vuestro entorno y proponer un conjunto de decisiones viables con la vista puesta en el futuro y su evolución, pero también en la consecución de resultados.

Si en tu empresa, organismo público, ayuntamiento, ... teneis pensado implantar la firma digital, desde SmartAccess nos ofrecemos a asesorarte de forma totalmente gratuita y sin compromiso.

Si te preguntas el motivo de este ofrecimiento, la respuesta está en que estamos convencidos de que cuantas más organizaciones utilicen la firma digital las empresas como nosotros, vincualados a servicios o software relacionados con la firma digital, saldremos beneficiadas.

Aunque desarrollamos software, ya sabemos que tú te encargarás de que no utilicemos esta consultoría para vender nuestros productos y te aseguro que no tenemos esa intención. Solo tienes que probarlo.
Si te interesa o simplemente te pica la curiosidad sobre si será cierto, puedes contactar con nosotros a través de nuestra página web http://www.smartaccess.es/

Un saludo
Rames.

El enésimo intento... (¿y será la vencida?)

Desde Red.es han remitido la siguiente nota de prensa a los medios especializados para dar a conocer el resultado de la invitación mediante procedimiento público para colaborar en el desarrollo del proyecto de fomento del uso del DNI electrónico.

Hay que señalar que la invitación a colaborar no tiene contraprestación económica para las empresas, que lo realizan de forma voluntaria y probablemente obtengan más beneficios en temas de imagen que económicos directos.

Sinceramente, espero que este sea el intento definitivo que consiga impulsar el uso del DNI electrónico en la sociedad española.

La nota de prensa:

En el marco del Plan para el fomento del uso del DNI electrónico

Trece entidades participan en el programa de colaboradores privados para el fomento del uso del DNI electrónico.

Fabricantes de hardware (Bit4ID, Investrónica, Megasur y Toshiba), desarrolladores de software (Albalia, Oracle, Sage y Zylk.net), comercializadoras de productos informáticos (Alcampo, Infostock-Mybyte- y PC City) y entidades financieras (Banesto y Caixa Galicia) son las entidades seleccionadas para apoyar el uso del DNI electrónico en sus respectivos sectores.

Fabricación de equipos informáticos con lector de DNI electrónico integrado, desarrollo de servicios electrónicos que hagan uso del DNI electrónico, promociones en la venta de equipos con lector de DNI electrónico, o desarrollo de servicios bancarios con autenticación o firma mediante el DNI electrónico son algunas de las actuaciones previstas.

Con el DNI electrónico la ciudadanía puede realizar múltiples gestiones a través de Internet con la Administración Pública, empresas y otros ciudadanos de forma segura, cómoda y ágil

Esta iniciativa, enmarcada en el Plan Avanza2, está desarrollada por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, a través de red.es, y cuenta con la colaboración de la Dirección General de la Policía y de la Guardia Civil (ámbito Cuerpo Nacional de Policía), entidad responsable de la expedición del DNI electrónico.

Madrid, 2 de junio de 2010. La Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, a través de red.es, ha seleccionado mediante procedimiento público a 13 entidades para participar en el programa de colaboradores privados para el fomento del uso del DNI electrónico. De esta forma, las empresas y entidades financieras participantes apoyan el plan para el fomento del uso del DNI
electrónico entre sus clientes y la ciudadanía en general, y desde sus respectivos sectores.

Entre las actuaciones previstas en el marco del proyecto se encuentran la venta de equipos informáticos con lector de DNI electrónico integrado; el desarrollo de aplicaciones y servicios electrónicos basados en el DNI electrónico; promociones en puntos de venta para la comercialización de PCs o teclados con lector de DNI
electrónico integrado; y el fomento de servicios bancarios con autenticación o firma mediante el DNI electrónico y de la utilización activa del DNI electrónico por parte de los propios empleados de las entidades colaboradoras, entre otros.

Entidades seleccionadas:

Hardware:

• Bit4Id
• Investrónica
• Megasur
• Toshiba

Software:

• Albalia
• Oracle
• Sage
• Zylk.net

Retail:

• Alcampo
• Infostock (Mybyte)
• PC City

Banca:

• Banesto
• Caixa Galicia

Este programa de colaboradores privados tiene como objetivo fomentar el uso del DNI electrónico entre la ciudadanía, mediante la difusión de las ventajas de este medio de identificación y firma, y facilitando los elementos necesarios para su adecuada utilización.

Por ello, en una primera fase, se persigue facilitar que el mayor número posible de equipos y paquetes de software que adquieran la ciudadanía y las empresas lleguen al usuario final preparados para hacer uso de servicios basados en el DNI electrónico.

Adicionalmente se utilizará la capilaridad comercial de las empresas colaboradoras seleccionadas para difundir el resto de actuaciones a desarrollar, maximizando así el impacto de las mismas.

La selección de estas 13 entidades se ha llevado a cabo mediante procedimiento público para colaborar en el desarrollo del proyecto, iniciado por la entidad pública red.es el pasado mes de febrero. Esta iniciativa se desarrolla en el marco del Plan para el fomento del uso del DNI electrónico, impulsado por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.

Un saludo
Rames.

¿Debería la Policía ceder las CRL del DNIe?

Cuando una empresa privada se plantea la posibilidad de emplear el DNIe como elemento de autenticación para sus clientes en la web, especialmente aquellas que disponen de miles o incluso millones de clientes y prestan servicios habituales por Internet (vamos la Banca Electrónica), se encontrarán con un problema derivado que merece la pena analizar.

Si una gran parte de los clientes llegasen a utilizar el DNIe para autenticarse, y en virtud del uso recomendado, en cada transacción de autenticación se realizase una verificación del estado de revocación del certificado empleado para la autenticación, sería necesaria realizar una consulta al servicio público de consulta del estado de revocación del DNIe (http://ocsp.dnielectronico.es/) y gestionado actualmente por la FNMT-RCM.

Esto supone que el acceso a los servicios online de dichas entidades dependerán de los servicios que presta un tercero (en este caso la FNMT-RCM) y de los cuales no existe un SLA formal para garantizar su dimensionamiento y rendimiento esperados.
Parece que algunas asociaciones llevan varios años reclamando a la DGP la posibilidad de descarga de dichas CRL o listas de certificados revocados, para poder realizar dicha consulta bien localmente o bien a sistemas preparados para la alta carga de transacciones esperadas y con acuerdos de nivel de servicio.

Esta opción la ofrece la FNMT para sus certificados CERES, aunque requiere la firma de un convenio o encomienda de gestión con la FNMT y que supone una contraprestación económica en virtud del modelo de negocio de CERES que no cobra por la emisión de los certificados pero si lo hace a las empresas u organismos que necesitan verificar la revocación de los certificados (para los ciudadanos es gratuito a través de su página web).

La posibilidad de contar con las CRLs del DNIe parece una opcion necesaria e interesante, y a priori no supone riesgo adicional si se mantiene una distribución controlada y los ficheros CRL van firmados para asegurar su integridad. Asumo que esta posibilidad no ha implementado por que ello supone una modificación en los sistemas del DNIe.

Un saludo
Rames

El Esquema Nacional de Seguridad

Hola

Os dejo la presentación que he realizado esta mañana en el evento conjunto con otros fabricantes de software de seguridad (en su término más amplio) sobre el Esquema Nacional de Seguridad (ENS), publicado en el Real Decreto 3/2010 el pasado 29 de Enero.

Hago un breve análisis del ENS (por cierto con muchas similitudes con la norma ISO 27001), como se ha gestado y sus componentes, para al final indicar cuales de nuestros productos pueden aportar algo a la política de Seguridad.

Con la juventud del ENS, asumo que muchos organismos estarán en las fases iniciales para su implantación y desconozco si ya hay organismos que tenga previsto realizar las auditorías en este año.

SmartAccess-El Esquema Nacional de Seguridad

View more presentations from ramessarwat.

Un saludo
Rames

El DNIe como herramienta de seguridad en la empresa

Aquí os dejo mi presentación de las Jornadas de difusión y divulgación del DNIe. Tengo el privilegio de compartir mesa con un equipo de lujo como son:

• Jorge Gómez, Vicepresidente de la Comisión de Seguridad de ASIMELEC
• Fernando García, Director de Tecnología e Innovación de MNEMO
• Angel Puebla, Director de Biometría y Seguridad de NEORIS
• Manuel Torres, Director de Servicios Profesionales de Safelayer

El DNIe como herramienta de seguridad en la empresa

View more presentations from ramessarwat.

El programa del evento es:
(Madrid, 6 de Mayo; Hotel Holiday Inn Madrid, en la Plaza Carlos Trías Bertrán, 4)

 

Inscripción en http://cert.inteco.es/cert/Notas_Actualidad/Jornadas_de_difusion_y_divulgacion_del_DNIe?postAction=getLatestInfo

 

9:00: Acreditación y registro de asistentes
9:30: Presentación Jornada
9:40: Charla inaugural: Presente y DNIe

• Juan Crespo, Inspector Jefe del Cuerpo Nacional de Policía (CNP)
• Valentín Ramírez, Jefe de Área de la FNMT-RCM
• Jorge Prado, Jefe de Servicio de Soporte e Implantación del Servizo Galego de Saúde (SERGAS)

10:40: Presentación de INTECO: Actuaciones para el estímulo al DNIe

 

11:10: Pausa - café

 

11:30: Mesa1: Futuro y DNIe

• Rames Sarwat, Director General de SmartAccess
• Jorge Gómez, Vicepresidente de la Comisión de Seguridad de ASIMELEC
• Fernando García, Director de Tecnología e Innovación de MNEMO
• Angel Puebla, Director de Biometría y Seguridad de NEORIS
• Manuel Torres, Director de Servicios Profesionales de Safelayer

14:00: Comida - Catering

 

15:30: Mesa2: Marco regulatorio

• Julián Inza, Presidente de Albalia Interactiva
• Alfredo Gosálvez, Director General de Firmaprofesional
• Juan Antonio Ricci, Director Comercial de C3PO

16:20: Mesa3: Garantías de seguridad en torno al DNIe

• Centro Criptográfico Nacional (CCN)
• Xavier Vilarrubla, Director línea de negocio TIC & Juego de APPLUS
• Miguel Bañón, Director General de Epoche & Espri

17:20: Cierre de la Jornada

Todavía estas a tiempo si quieres asistir.

Rames

Certificados APE (los certificados de funcionario) para logon

Los certificados APE (Administración Pública Española) son certificados emitidos por la FNMT-RCM y son para uso exclusivo del personal al servicio de las administraciones públicas en sus relaciones laborales con la misma.

Se consideran técnicamente Certificados Reconocidos según lo definido en la Ley de Firma Electrónica 59/2003 y son válidos para la realización de firma electrónica por parte del personal al servicio de las administraciones públicas y según lo definido en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (LAECSP)

Existen 3 tipos de certificados APE:

• Certificado de personal adscrito a la administración o funcionario
• Es el certificado básico y se da al personal adscrito a la administración para el desarrollo de su trabajo. Es el equivalente al certificado de persona física o usuario de clase 2 pero dentro del ámbito de la administración.

• Certificado de sede electrónica
• Es el certificado cuya utilidad es identificar el organismo prestador del servicio. Permite la identificación de la identidad de los diferentes organismos. Es el equivalente al certificado de servidor.

• Certificado de sello electrónico para procesos automatizados
• El certificado de sello electrónico es un certificado emitido con el fin de que los sistemas de firma electrónica puedan actuar de forma autónoma permitiendo una actuación administrativa automatizada.

En el caso del certificado del personal adscrito a la administración o funcionario, también conocido como el certificado de funcionario, se trata de un certificado equivalente al certificado clase 2 CA (que emite la FNMT para los ciudadanos) que cuenta con una clave RSA de 2048 bits (en lugar de 1024 bits) y modificando las prácticas de certificación para:

• Incluir en el certificado datos adicionales como el cargo y el organismos al que pertenece el funcionario
• Indicar que la propiedad del certificado pertenece al organismo emisor en lugar de ser un certificado personal
• Dar la posibilidad de incluir en el certificado los datos necesarios para realizar el logon en Windows con dichos certificados cuando residen en una smartcard (smartcard logon)

Los certificados se emiten como una autoridad de certificación subordinada de la CA de la FNMT como puede verse en la imagen.

La pregunta más habitual que recibimos con respecto a estos certificados es: ¿Pero se pueden utilizar para realizar el logon en Windows sin adquirir nuevos software?

La respuesta a esta pregunta es algo más compleja que un si o un no. Los certificados cumplen los requisitos que establece Microsoft para poder ser empleados para  smartcard logon en Windows. ¿Entonces?

Hay que partir de la base que conseguir un smartcard logon con el software base de Windows no es sencillo y requiere experiencia y un conjunto de pasos para configurar adecuadamente todos los componentes:

• configurar la confianza de los servidores de Directorio Activo en la autoridad de certificación (en este caso APE)
• la emisión correcta de los certificados con todos los datos necesarios en la smartcard
• habilitar la comprobación de la revocación de los certificados desde los controladores de dominio
• instalar el software necesario en los puestos para que reconozcan la tarjeta (módulo criptográfico) y si procede el driver de los lectores.

Como dice un conocido anuncio, "para todo lo demás" casos existen las soluciones de SmartAccess (SmartID e IDOne) que nos permitirán conseguir la funcionalidad de smartcard logon de forma más sencilla y en especial en aquellos escenarios más complejos ( mejora de rendimiento, flexibilidad de configuración, integración con aplicaciones, etc...). 

Un saludo

Rames.

Mexico implementará la identidad biométrica multi-modal

México tiene intención de iniciar en este verano el registro de 110 millones de ciudadanos en su programa nacional de tarjeta de identidad. El programa estará entre los primeros en capturar los datos biométricos faciales, del iris y las huellas digitales para identificación, señala Terry Hartmann, vicepresidente de soluciones de identidad en Unisys.

Unisys tiene el encargo de crear hasta 3,000 centros de inscripción y mejorar los existentes. Algunos de los sistemas de inscripción van a ser portátiles, tipo maletín.

Hartmann explica que aún no se ha determinado qué tecnología de tarjeta se empleará, pero bien pudiera ser una tarjeta inteligente, por el hecho de que se utilizará la biometría para la verificación de identidad.

Unisys observa gran interés en Latinoamérica y Asia respecto al desarrollo de nuevos proyectos nacionales de identidad o el mejoramiento de los ya existentes aplicando la biometría. “Se trata sobre todo de los países que no poseen una tarjeta nacional de identidad o que no emplean la biometría…ellos reconocen que hay problemas con el fraude de identidad”, señala Hartmann.

Un saludo

Rames

Las 10 excusas para no usar el DNIe

Me lo pregunto cada día, especialmente por qué despues de tantas inversiones por parte del gobierno, de tantas ilusiones por parte de tanta y tanta gente, de tantas unidades expedidas (ya vamos por más de 15 millones!!) muy pocas personas utilizan el DNIe en su formato electrónico.

Después de 4 años hablando con muchas personas, he recopilado las 10 mejores excusas para no usarlo (al menos en mi opinión).

- No me acuerdo del PIN
- No tengo lector, y si lo tuviera no me quedan USB libres.
- Si todavía no hay servicios disponibles y no funciona en Google Chrome.
- Me costó un montón instalar el software y no sé como probarlo.
- Intenté utilizarlo pero después de un buen rato me dí por vencido
- El chip que me ha tocado no funciona
- Ya tengo el certificado de Hacienda que es más seguro
- Sólo sirve para hacer la declaración y a mi me la hace mi gestor y me la presenta mi mujer.
- No me fío, a ver si con esto el gobierno se va a enterar de todos lo "pufos" que tengo.
- Se me ha caido el chip de la tarjeta.

Menos mal que casi todas tienen solución.

Un saludo
Rames.

Claves para elegir un buen lector de DNIe (no todos son iguales...)

¿Son todos los lectores de tarjetas chip iguales? No
¿En que características debo fijarme para elegir un buen lector?

Empecemos por el formato del lector, es decir, como es el dispositivo. Tenemos cinco grandes grupos de lectores:

• Lectores externos con conexión al PC (USB o Serie)
• Son los lectores más económicos. Los de conexión serie ya casi no se venden, Los hay para operar con una sola mano, que incluyen una base pesada (de plomo o material similar) e introduces la tarjeta en vertical y los que debes coger el lector con una mano e introducir la tarjeta con la otra (menos ergonómico).

• Lectores integrados en un teclado
• Es la opción más cómoda. No ocupan un puerto USB, ya que habitualmente el teclado incluye bien un Hub USB interno o bien un firmware que compatibiliza el teclado y el lector.

• Lectores de bahía
• Yo les llamo "Lectores para nostálgicos", ya que aprovechan el hueco de las antiguas disqueteras. Son útiles para ciertos equipos de sobremesa, aunque no tanto si la CPU está debajo de la mesa.

• Lectores para portátiles (PCMCIA o ExpressCard/54)
• Algunos portátiles ya integran el lector sin consumir la ranura de expansión, otros no y requieren adquirir una de estas tarjetas.  

• Lectores inalámbricos (Bluetooth o Wifi)
• Son más raros y costosos de encontrar. Cuentan con una batería que les da autonomía y la opción de conectarlos a un cable USB para recargarlos. Se comunican con el PC o SmartPhone mediante un protocolo inalámbrico, tipo Bluetooth o Wifi. 

En segundo lugar, debemos tratar el asunto de los drivers. Cada vez más, los lectores cuentan con drivers para Windows (ojo que deben tener para versiones de 32bits - x86 y 64bits - x64), MacOS X, distribuciones Linux (ver que distribuciones soporta) y Solaris. El protocolo más común de comunicación entre el equipo y el driver es PC/SC (PC SmartCard) en sus distintas versiones, que define y mantiene el consorcio de empresas PCSCWorkGroup. 

Especialmente os recomiendo que seleccionéis un lector que soporte el driver CCID (Integrated Circuit(s) Cards Interface Device), ya que permite que el lector funcione con un driver universal que viene pre-instalado en el sistema operativo y que evita tener que instalar el driver del dispositivo en cada equipo. Muy util especialmente cuando nos enfrentamos a despliegues de cientos o miles de dispositivos.

También es importante la velocidad de comunicación que soporta el lector con la smartcard. La comunicación entre el lector y el equipo es recomendable que soporte USB 2.0. La comunicación entre el lector y la tarjeta es una comunicación serie que conviene que sea lo más elevada posible, alrededor de 400kb/s es lo recomendable.

Es interesante también disponer de la posibilidad de actualización del firmware para poder implementar nuevas funcionalidades o corregir bugs o vulnerabilidades que puedan aparecer en el firmware. Aunque este aspecto es subjetivo dado que pocas veces se hace uso de esta funcionalidad en las empresas o por particulares salvo que se detecte un fallo grave.

Si tenemos previsto utilizar tarjetas que no cumplen el estándar ISO 7816, normalmente tarjetas de memoria tipo SLE4442 o similar que se emplean como tarjetas de vending, algunos fabricantes nos ofrecen una API para que nuestras aplicaciones puedan utilizarlas pero este API suele ser propietario de cada fabricante lo que provoca que la aplicación sea cautiva de los lectores de dicho fabricante. Personalmente me gusta la aproximación de fabricantes como Cherry o C3PO que incluyen en el firmware una emulación PC/SC para dichas tarjetas y que hacen que se puedan utilizar por cualquier aplicación que hable el protocolo PC/SC, sin necesidad de modificación.

Conviene tener en cuenta el cumplimiento de las certificaciones vigentes en la Unión Europea. Muchos de estos dispositivos se fabrican en China y no todos cumplen con la normativa Europea en aspectos como calidad o impacto medioambiental.

Por último, revisad la vida estimada del dispositivo, los dispositivo lectores de DNIe utilizan unos contactos que se desgastan por la fricción generada por introducir y extraer la tarjeta. Los lectores suelen tener un ciclo de vida estimado de entre 25.000 y 100.000 inserciones/extracciones.

A partir de aquí, ya podemos pensar en mejoras y otras características adicionales como:

• Lectores diseñados para salas limpias como quirófanos, laboratorios, etc. como los fabricados por Omnikey
• Lectores que disponen de un led que nos avisa de la inminente operación de firma para conocer con exactitud cuando se realizan firmas con nuestra tarjeta, como los lectores de C3PO.
• microLectores, más pequeños que un Pendrive o duales con lectura de tarjetas chip y tarjetas RFID como los que fabrica SCM. 
• Teclados con lectores de banda magnética y chip, como los que fabrica Cherry
• Lectores con lector de huella integrado como los que fabrica ACS  
• Lectores con estética Mac como los que fabrica SCM. 
• Lectores externos de metracrilato transparentes y convertibles como los que fabrica Gemalto. 

En cualquier caso, si no veis clara la decisión y pensais que os puedo ayudar a decidiros por un determinado lector estaré encantado de aconsejaros.

Un saludo

Rames

Dispositivos de huella dactilar integrados. ¿Cuál elegir?

Cada vez que alguna empresa u organismo público se plantea implementar procesos que integren la autenticación mediante el reconocimiento de la huella dactilar surge la duda sobre el dispositivo que se debe emplear.

En general se tiende a emplear criterios técnicos sobre que tipo de sensor biométrico y su tecnología (óptico, capacitivo, por radiofrecuencia, térmico, etc.) que es sin duda importante, pero sin prestar a veces atención a la usuabilidad de la solución.

Los usuarios no quieren más "cacharros" encima de la mesa. Las empresas no quieren dispositivos USB que se puedan sustraer o perder. Los administradores necesitan dispositivos fiables y cuyos drivers sean fáciles de administrar e instalar.

En los años que llevamos implementando soluciones biométricas, una de las opciones que más recomendamos es la posibilidad de contar con un sensor biométrico integrado bien en el teclado para PC de escritorio o bien integrado en el ratón para portátiles que no cuenten con un lector integrado.

Si hay una marca que se distingue por su fiabilidad y por su saber hacer en dispositivos de entrada de datos (principalmente teclados y ratones) esa es Cherry que lleva muchos años en el mercado y se ha ganado a pulso una reputación de calidad y fiabilidad.


Cuentan con teclados que integran sensores biométricos de diversos fabricantes como Upek, Authentec y Sagem, aunque por rendimiento y facilidad de uso me atrevo a recomendar los modelos que integran los sensores de área de Upek. Existen modelos con sensor biométrico (FingerTIP ID Board G83-14501) y modelos que además integran un lector de tarjetas inteligentes (FingerTIP ID Board G83-14401)

Cherry dispone también de un ratón con sensor de área de Upek muy cómodo de emplear y con un alto ratio de fiabilidad.

Un saludo
Rames.

Ha llegado la hora de la biometría de huella dactilar

La tecnología de reconocimiento biométrico de huella dactilar existe desde hace décadas y sin embargo aún no ha vivido su despegue definitivo. Las razones de esta situación hay que buscarlas en creencias socio-culturales, en el coste de la tecnología y en su fiabilidad y precisión histórica. Hasta ahora estos factores han hecho que la tecnología biométrica no se haya desplegado masivamente en empresas y hogares, aún cuando sus beneficios son múltiples y evidentes.

En los últimos años esta  tecnología ha evolucionado sensiblemente, aumentando su precisión y reduciendo su coste. Ya no es necesario desembolsar grandes cantidades de dinero para acceder a estos sistemas y prueba de ello es, que multitud de marcas de ordenadores portátiles incorporan estos dispositivos y software asociado.

Es posible sacar provecho de esta tecnología para iniciar el camino en nuestra empresa que nos lleve a sustituir las contraseñas por el uso de la huella dactilar en nuestros equipos, con lo que conseguiremos aumentar la seguridad de acceso a nuestra información empresarial, aumentar la productividad de los usuarios, reducir los costes de soporte y en algunos casos cumplir la legislación vigente en materia de protección de datos. Estoy convencido que es el momento de implantar esta tecnología y compartir sus beneficios con nuestros usuarios.

Un saludo
Rames

Impulso a un DNI electrónico único en la UE

Noticia sobre el respaldo de los ministros de la UE al DNI electrónico Europeo para impulsar el mercado único digital. El nuevo DNI electrónico, denominado ECC (European Citizen Card) en el que se lleva trabajando desde hace ya un par de años con algunos fabricantes de tarjetas, será un paso importante para la Identidad Digital y el impulso de la Sociedad de la Información en Europa.

Para más información podeis leer el artículo en la web de CincoDías.

Dado que en España es el país con mayor experiencia de campo sobre el asunto, habiendo expedido hasta la fecha mas de 15 millones de DNIe, deberíamos tener mucho que decir al respecto sobre las decisiones técnicas de la nueva tarjeta de identificación. Lamentablemente nuestra participación no es la que deberíamos tener y los alemanes están tomandonos la ventaja.

Con respecto a vincular este nuevo DNIe con la lucha contra la piratería, como se afirma en algunos árticulos hoy, no estoy de acuerdo en este enfoque. El principal objetivo del DNI electrónico Europeo será asegurar la identidad en las transacciones electrónicas protegiendo los datos personales de las personas. La lucha contra la piratería debe tener otras herramientas muy diferentes, que no pasen necesariamente por un control estricto y la identificación de todas las acciones en Internet.

Un saludo
Rames

¿Qué le pasa a mi DNIe doctor?

Como ya muchos ya saben, el DNI electrónico contiene 2 certificados digitales personales (uno para autenticación y otro para firma) salvo que nos opongamos a ello en el momento de la expedición.

Estos certificados tienen una vigencia de 30 meses desde su expedición (es decir 2 años y medio) que es diferente a la caducidad de la tarjeta de 5 o 10 años en función de la edad de su propietario/a. Es decir que en un DNIe de una persona con más de 30 años, la tarjeta será válida por 10 años pero deberá renovar hasta en 3 ocasiones sus certificados digitales si quiere utilizar las características de autenticación y firma digital durante toda la vida útil de la tarjeta.

Debido al bajo uso del DNI electrónico, a la mayoría de las personas les caducan los certificados sin ser conscientes de ello (creo que en el momento de la expedición no se informa de este hecho, aunque no estoy seguro) y cuando por fin se animen a utilizar algún servicio de la administración electrónica recibirán un mensaje (en ocasiones un tanto críptico) indicando bien que no hay certificados en la tarjeta o bien que el certificado ha expirado.

El proceso de renovación es sencillo y gratuíto pero requiere desplazarse a una comisaría de Policía y operar en uno de los kioscos o Puntos de Actualización del DNIe (PAD) con nuestra tarjeta y nuestra huella dactilar, por lo que debemos ir personalmente a realizar el trámite. En la segunda renovación deberemos personarnos ante un funcionario para cumplir con el artículo 13 de la Ley de Firma Electrónica (“La identificación de la persona física que solicite un certificado reconocido exigirá su personación ante los encargados de verificarla y se acreditará …”).

Para ayudar a quienes utilizan el DNIe en su faceta electrónica o tiene previsto hacerlo, en SmartAccess hemos desarrollado una sencilla herramienta que una vez instalada en el PC, cada vez que introducimos nuestro DNIe verifica la fecha de caducidad de los certificados y programa unas alertas para avisarnos cuando nos queden 3 meses y 1 mes para su caducidad. Es una herramienta muy simple, pero esperamos que pueda contribuir a que no os caduquen los certificados digitales en el peor momento.

Un saludo
Rames.

Lápidas electrónicas con RFID

Me ha sorprendido leer la siguiente noticia sobre el uso de la tecnología NFC (una evolución del RFID tradicional) para crear lápidas electrónicas. Sí, has oido bien, lápidas electrónicas.

Un nuevo producto llamado RosettaStone se acaba de lanzar al mercado para que las personas que han perdido seres queridos puedan colocar más información sobre ellos en la lápidas, reporta slashgear.com.

El dispositivo es una pequeña pegatina de polímero nombrada Data Tag que emplea tecnología NFC para enviar imágenes y textos a los teléfonos inteligentes de los visitantes cuando estos pasan frente a la tumba.

Los usuarios pegan la etiqueta directamente sobre la lápida y cargan el texto y las fotos directamente a un sitio con un archivo especial que es solo accessible a su comprador.

Para las personas que no disponen de teléfonos inteligentes, la compañía tiene un sistema más sencillo que indica una URL para el sitio específico de esa tumba, que puede visitarse en línea y ver las mismas fotos y textos.

Sorprendente, te envian texto y fotos cuando pasas por delante de las tumbas. Puedes leer el artículo completo en inglés aquí.

Un saludo
Rames.

Jornadas de difusión y divulgación del DNIe

INTECO organiza, conjuntamente con Red.es, unas jornadas de difusión y divulgación del DNIe orientadas a impulsar y fomentar el desarrollo de servicios sobre el DNI electrónico.

Está previsto que se celebren 3 jornadas en Madrid (6 de Mayo), Barcelona (27 de Mayo) y Sevilla (17 de Junio). Todavía no se ha publicado el lugar donde se celebrarán, aunque supongo que en las próximas semanas se hará.

El objetivo de estas sesiones es:

• Dar a conocer los servicios existentes que hacen uso del DNIe como mecanismo seguro de autenticación y firma
• Identificar las ventajas y oportunidades en torno al DNIe
• Fomentar el desarrollo seguro de aplicaciones y su certificación en base a los Perfiles de Protección
• Exponer las iniciativas que se están llevando a cabo por parte de la Administración.

Las jornadas están orientadas para empresas del sector TIC, empresas de desarrollo de aplicaciones y servicios, administraciones públicas, etc.

Afortunadamente he sido invitado a participar en este interesante evento con una ponencia en el bloque de Futuro y DNIe sobre "el uso del DNIe como herramienta de seguridad en la empresa" donde espero tratar sobre las posibilidades del DNIe como herramienta para mejorar la seguridad de la información de nuestra empresa y ayudarnos a cumplir con la legislación vigente. Estoy preparando algunas diapositivas con algunas propuestas realistas y algunas otras un tanto futuristas, pero que estoy convencido que veremos a medio plazo.

Si quieres asistir puedes hacerlo siguiendo las instrucciones en la página del evento en la web de INTECO.

Aquí puedes consultar la agenda del evento.

Un saludo
Rames.

Windows Biometric Framework en Windows 7 (parte 1)

Windows 7 nos ha traido de forma un tanto silenciosa una revolución para el mundo de la biometría. Se trata de Windows Biometric Framework (conocido tambien como WBF) y se trata del intento de Microsoft de poner orden en el confuso mundo de la biometría.

La biometría es un tecnología que está ganando en popularidad en los últimos años para controlar el acceso a sistemas, servicios y recursos y que se basa en la medición de alguna característica física de las personas que permite identificarla de forma única.

La biometría de huella dactilar (fingerprint biometrics) sigue dominando el mercado. Durante el año 2009 se vendieron en todo el mundo más de 66 millones de dispositivos sensores de huella especialmente integrados en equipos portátiles. Y además los analistas especialidados como Frost & Sullivan preveen que en el año 2011 la cifra se multiplique por 3 llegando a venderse 188 millones de dispositivos.

A pesar de este auge, hasta la fecha el desarrollo de todo el software necesario para proporcionar funcionalidades biométricas dependía exclusivamente de la habilidad y capacidad de desarrollo del fabricante del dispositivo, y esto ha derivado en:

• Sistemas biométricos con diferentes grados de integración con el sistema operativo y aplicaciones
• Complejidad para el desarrollo de aplicaciones que hagan uso de funciones biométricas
• Experiencias de usuario desiguales en función de los diferentes fabricantes
• Incompatilidades entre diferentes dispositivos biométricos

Con WBF el sistema operativo proporciona soporte nativo para los dispositivos biométricos de huellas dactilares con los siguientes objetivos:

• Mejorar la calidad y fiabilidad de los dispositivos o sensores de huellas y sus aplicaciones de gestión.
• Permitir una experiencia de usuario más consistente.
• Proporcionar una plataforma común y un conjunto de interfaces de desarrollo (API) para los desarrolladores de software que les permita integrar de forma fácil la biometría en sus aplicacione
• Mejorar la capacidad de gestión y el soporte de los dispositivos biométricos en Windows.

Rames

Asistencia Gira TechNet Up To Secure 2010

A todos los que habeis asistido a alguna de las 10 ciudades de la Gira TechNet Up To Secure 2010 organizada por Microsoft e Informática64, quisiera agradeceros vuestra presencia y recordaros de nuevo que en SmartAccess os regalábamos una licencia de nuestro producto IDOne Professional que permite iniciar sesión segura en vuestro PC con vuestro DNI electrónico u otras tarjetas tanto de contacto como RFID. Tan solo teneis que enviarnos vuestro código de registro a alguno de los eventos a la dirección UpToSecure e indicarnos el evento al que habeis asistido.

Han sido 10 ciudades (Pamplona, Madrid, Barcelona, Andorra, Sevilla, A Coruña, Valencia, Murcia, Zaragoza y Santa Cruz de Tenerife) con casi 1.000 asistentes.

A los que os gustó mi charla sobre "Portátiles corporativos a prueba de robos" sobre como combinar la autenticación fuerte por smartcard o biométrica con el cifrado de disco o particiones para proteger los datos de nuestros portátiles, USB o equipos reciclados, me alegra que os pareciera interesante. En global la habeis puntuado con un 8,09 sobre 10, lo cual me agrada y os agradezco mucho.

A los que no os gustó, lo lamento aunque si tengo oportunidad en el futuro trataré de buscar temas que os parezcan más interesantes. Si quieres realizarme alguna sugerencia al respecto estaré encantado de oir propuestas.

Un saludo
Rames

10 usos para el DNI electrónico en tu empresa

Os dejo una lista de 10 posibles usos del DNI en el ámbito empresarial:

1. Cifrado de información personal o confidencial (solo para tus ojos) para su envío por redes públicas
Cuando debemos enviar información confidencial o de caracter personal (en especial aquella de nivel alto como pueden ser datos de la historia clínica de un paciente) a través de Internet y queremos garantizar que solo pueda acceder a ella la persona en cuestión. Imagenemos que estamos de viaje y nos deben enviar a nuestro hotel o por correo electrónico una información confidencial y no disponemos de un mecanismo de correo cifrado. Sería muy útil disponer de una herramienta que cifrase la información anotando el número o números de DNI de los destinatarios. Una vez recibida la información solo los destinatarios podrían descrifrar el contenido introduciendo su DNIe y su PIN.

2. Registro y acceso de visitantes
Hacer más efectivo el registro de visitantes a un edificio o centro (por ejemplo un hotel), mediante la lectura de los datos contenidos en el chip. Llegaríamos a la recepción, entregaríamos el DNIe como habitualmente lo hacemos en los centros públicos y la persona que nos atiende lo introduce en un lector que pasa automáticamente nuestros datos a la aplicación y emite la credencial de acceso. Todo ello en segundos y sin errores ni esperas. Podemos además crear una web de pre-registro si necesitamos autorizar o verificar a las personas que nos visitarán e incluso aplicar estrategias de auto-checkin como en los aeropuertos con kioscos o equipos que se encargan de la emisión de los pases de acceso, por ejemplo en ferias y eventos. También se podría aplicar a pasaportes electrónicos en el caso de un hotel.

3. Un método de backup para el acceso a mi equipo
Nuestra empresa ha implantado un control de acceso a los equipos informáticos con tarjeta inteligente, pero se nos ha olvidado la tarjeta, la hemos extraviado o nos la han sustraido. ¿Que hacemos? Simplemente sacamos el DNIe y lo introducimos en el lector de nuestro PC que nos permite acceder sin necesidad de llamar al departamento de soporte.

4. Conexión remota segura a la red corporativa 
Si en nuestra empresa disponemos de redes privadas virtuales, en lugar de dejar nuestro usuario y contraseña grabados en el PC de casa (yo nunca lo haría, oiga!) podemos permitir que las VPN o VPN-SSL se establezcan solo al utilizar nuestro DNIe y así aseguramos la presencia de la persona.

5. Autenticar a proveedores, clientes o colaboradores (Portal colaborativo)
Tenemos que colaborar a menudo con personas que no pertenecen a nuestra organización, en lugar de crear para ellos usuarios, enviarles un usuario y contraseña, resetear la contraseña cuando no la recuerdan, etc. podemos simplemente crear un usuario, preguntarles su número de DNI y habilitar el acceso nuestro portal colaborativo con su DNIe. Si renueva o cambia su DNIe no nos veremos afectados.

6. Acceso a datos personales en la Intranet Corporativa
Nuestro departmamento de Recursos Humanos quiere publicar en la Intranet documentos con información de caracter personal y quiere que le aseguremos que sólo cada persona podrá acceder a su  propia información y a nada más. Por ejemplo la información de nóminas, retenciones, el resultado del último chequeo médico, etc. Pues habilitamos la autenticación con DNIe en una zona de la Intranet y listo.

7. Auto Reset de Password (Self Service Password Reset)
Mi empresa no cuenta con un acceso mediante tarjeta inteligente y continua utilizando el método de usuario y contraseña para acceder a los equipos y la red corporativa. Sin embargo los usuarios no paran de llamar al departamento de soporte para pedir que les cambien su contraseñas porque las olvidan, especialmente después de implantar el SGSI y obligar a que las cambien periódicamente. En lugar de las llamadas puedo habilitar una aplicación de auto servicio de reset de contraseñas con el DNIe que me permita destinar al personal de soporte a otras tareas más productivas.

8. Autoprovisión de usuarios
Si somos una empresa con una alta rotación de personal, podríamos mejorar los flujos creación de identidades de usuario en la empresa mediante una aplicación que solicitase la autenticación.con el DNIe u otros certificados en tarjeta que acrediten su identidad. Llego, paso por un kiosco u aplicación e introduzco mi DNIe y PIN y en minutos se aprueba mi solicitud y puedo acceder a la red, al final del día o del periodo se destruye mi identidad. También por que no, en telecentros o ubicaciones donde necesitamos que las persones esten identificadas antes de navegar por Internet.

9. Firma de contratos y/o documentos (el clásico).
Puedo firmar de forma más efectiva y sin necesidad de los tiempos derivados de los envíos de papel, todo tipo de documentos y solicitudes a través de la Intranet. Siempre sé como estan mis solicitudes porque  i empresa ha implementado flujos de trabajo que integran estas operaciones, y en cuestión de minutos u horas realizamos trámites que anteriormente tardaban días.

10. Protección de dispositivos móviles
Protejo el acceso a la información de mi dispositivo móvil mediante mi DNIe o tarjeta corporativa. Si los pierdo, al estar cifrada la información que contienen, esta no queda comprometida.

Muchas veces hablando de estos temas con clientes y partners, surge el debate sobre la reticencia que existe por parte de los usuarios de una empresa a utilizar un documento personal como el DNIe. Personalmente creo que la estrategia es no obligar a los usuarios a utilizar el DNIe sino ofrecerles funcionalidades que les hagan más autónomos y menos dependientes de los departamentos de IT.

Todas estas utilidades son posibles hoy, pero seguro que a tí se te ocurren otras 10.

Un saludo
Rames