viernes, 30 de abril de 2010

Mexico implementará la identidad biométrica multi-modal

México tiene intención de iniciar en este verano el registro de 110 millones de ciudadanos en su programa nacional de tarjeta de identidad. El programa estará entre los primeros en capturar los datos biométricos faciales, del iris y las huellas digitales para identificación, señala Terry Hartmann, vicepresidente de soluciones de identidad en Unisys.
Unisys tiene el encargo de crear hasta 3,000 centros de inscripción y mejorar los existentes. Algunos de los sistemas de inscripción van a ser portátiles, tipo maletín.
Hartmann explica que aún no se ha determinado qué tecnología de tarjeta se empleará, pero bien pudiera ser una tarjeta inteligente, por el hecho de que se utilizará la biometría para la verificación de identidad.
Unisys observa gran interés en Latinoamérica y Asia respecto al desarrollo de nuevos proyectos nacionales de identidad o el mejoramiento de los ya existentes aplicando la biometría. “Se trata sobre todo de los países que no poseen una tarjeta nacional de identidad o que no emplean la biometría…ellos reconocen que hay problemas con el fraude de identidad”, señala Hartmann.
Un saludo
Rames

Las 10 excusas para no usar el DNIe

Me lo pregunto cada día, especialmente por qué despues de tantas inversiones por parte del gobierno, de tantas ilusiones por parte de tanta y tanta gente, de tantas unidades expedidas (ya vamos por más de 15 millones!!) muy pocas personas utilizan el DNIe en su formato electrónico.

Después de 4 años hablando con muchas personas, he recopilado las 10 mejores excusas para no usarlo (al menos en mi opinión).

- No me acuerdo del PIN
- No tengo lector, y si lo tuviera no me quedan USB libres.
- Si todavía no hay servicios disponibles y no funciona en Google Chrome.
- Me costó un montón instalar el software y no sé como probarlo.
- Intenté utilizarlo pero después de un buen rato me dí por vencido
- El chip que me ha tocado no funciona
- Ya tengo el certificado de Hacienda que es más seguro
- Sólo sirve para hacer la declaración y a mi me la hace mi gestor y me la presenta mi mujer.
- No me fío, a ver si con esto el gobierno se va a enterar de todos lo "pufos" que tengo.
- Se me ha caido el chip de la tarjeta.

Menos mal que casi todas tienen solución.

Un saludo
Rames.

jueves, 29 de abril de 2010

Claves para elegir un buen lector de DNIe (no todos son iguales...)

¿Son todos los lectores de tarjetas chip iguales? No
¿En que características debo fijarme para elegir un buen lector?

Empecemos por el formato del lector, es decir, como es el dispositivo. Tenemos cinco grandes grupos de lectores:

  • Lectores externos con conexión al PC (USB o Serie)
    • Son los lectores más económicos. Los de conexión serie ya casi no se venden, Los hay para operar con una sola mano, que incluyen una base pesada (de plomo o material similar) e introduces la tarjeta en vertical y los que debes coger el lector con una mano e introducir la tarjeta con la otra (menos ergonómico).
  • Lectores integrados en un teclado
    • Es la opción más cómoda. No ocupan un puerto USB, ya que habitualmente el teclado incluye bien un Hub USB interno o bien un firmware que compatibiliza el teclado y el lector.
  • Lectores de bahía
    • Yo les llamo "Lectores para nostálgicos", ya que aprovechan el hueco de las antiguas disqueteras. Son útiles para ciertos equipos de sobremesa, aunque no tanto si la CPU está debajo de la mesa.
  • Lectores para portátiles (PCMCIA o ExpressCard/54)
    • Algunos portátiles ya integran el lector sin consumir la ranura de expansión, otros no y requieren adquirir una de estas tarjetas.  
  • Lectores inalámbricos (Bluetooth o Wifi)
    • Son más raros y costosos de encontrar. Cuentan con una batería que les da autonomía y la opción de conectarlos a un cable USB para recargarlos. Se comunican con el PC o SmartPhone mediante un protocolo inalámbrico, tipo Bluetooth o Wifi. 
En segundo lugar, debemos tratar el asunto de los drivers. Cada vez más, los lectores cuentan con drivers para Windows (ojo que deben tener para versiones de 32bits - x86 y 64bits - x64), MacOS X, distribuciones Linux (ver que distribuciones soporta) y Solaris. El protocolo más común de comunicación entre el equipo y el driver es PC/SC (PC SmartCard) en sus distintas versiones, que define y mantiene el consorcio de empresas PCSCWorkGroup

Especialmente os recomiendo que seleccionéis un lector que soporte el driver CCID (Integrated Circuit(s) Cards Interface Device), ya que permite que el lector funcione con un driver universal que viene pre-instalado en el sistema operativo y que evita tener que instalar el driver del dispositivo en cada equipo. Muy util especialmente cuando nos enfrentamos a despliegues de cientos o miles de dispositivos.

También es importante la velocidad de comunicación que soporta el lector con la smartcard. La comunicación entre el lector y el equipo es recomendable que soporte USB 2.0. La comunicación entre el lector y la tarjeta es una comunicación serie que conviene que sea lo más elevada posible, alrededor de 400kb/s es lo recomendable.

Es interesante también disponer de la posibilidad de actualización del firmware para poder implementar nuevas funcionalidades o corregir bugs o vulnerabilidades que puedan aparecer en el firmware. Aunque este aspecto es subjetivo dado que pocas veces se hace uso de esta funcionalidad en las empresas o por particulares salvo que se detecte un fallo grave.

Si tenemos previsto utilizar tarjetas que no cumplen el estándar ISO 7816, normalmente tarjetas de memoria tipo SLE4442 o similar que se emplean como tarjetas de vending, algunos fabricantes nos ofrecen una API para que nuestras aplicaciones puedan utilizarlas pero este API suele ser propietario de cada fabricante lo que provoca que la aplicación sea cautiva de los lectores de dicho fabricante. Personalmente me gusta la aproximación de fabricantes como Cherry o C3PO que incluyen en el firmware una emulación PC/SC para dichas tarjetas y que hacen que se puedan utilizar por cualquier aplicación que hable el protocolo PC/SC, sin necesidad de modificación.

Conviene tener en cuenta el cumplimiento de las certificaciones vigentes en la Unión Europea. Muchos de estos dispositivos se fabrican en China y no todos cumplen con la normativa Europea en aspectos como calidad o impacto medioambiental.

Por último, revisad la vida estimada del dispositivo, los dispositivo lectores de DNIe utilizan unos contactos que se desgastan por la fricción generada por introducir y extraer la tarjeta. Los lectores suelen tener un ciclo de vida estimado de entre 25.000 y 100.000 inserciones/extracciones.

A partir de aquí, ya podemos pensar en mejoras y otras características adicionales como:

  • Lectores diseñados para salas limpias como quirófanos, laboratorios, etc. como los fabricados por Omnikey
  • Lectores que disponen de un led que nos avisa de la inminente operación de firma para conocer con exactitud cuando se realizan firmas con nuestra tarjeta, como los lectores de C3PO.
  • microLectores, más pequeños que un Pendrive o duales con lectura de tarjetas chip y tarjetas RFID como los que fabrica SCM
  • Teclados con lectores de banda magnética y chip, como los que fabrica Cherry
  • Lectores con lector de huella integrado como los que fabrica ACS  
  • Lectores con estética Mac como los que fabrica SCM
  • Lectores externos de metracrilato transparentes y convertibles como los que fabrica Gemalto
En cualquier caso, si no veis clara la decisión y pensais que os puedo ayudar a decidiros por un determinado lector estaré encantado de aconsejaros.

Un saludo
Rames

miércoles, 28 de abril de 2010

Dispositivos de huella dactilar integrados. ¿Cuál elegir?

Cada vez que alguna empresa u organismo público se plantea implementar procesos que integren la autenticación mediante el reconocimiento de la huella dactilar surge la duda sobre el dispositivo que se debe emplear.

En general se tiende a emplear criterios técnicos sobre que tipo de sensor biométrico y su tecnología (óptico, capacitivo, por radiofrecuencia, térmico, etc.) que es sin duda importante, pero sin prestar a veces atención a la usuabilidad de la solución.

Los usuarios no quieren más "cacharros" encima de la mesa. Las empresas no quieren dispositivos USB que se puedan sustraer o perder. Los administradores necesitan dispositivos fiables y cuyos drivers sean fáciles de administrar e instalar.

En los años que llevamos implementando soluciones biométricas, una de las opciones que más recomendamos es la posibilidad de contar con un sensor biométrico integrado bien en el teclado para PC de escritorio o bien integrado en el ratón para portátiles que no cuenten con un lector integrado.

Si hay una marca que se distingue por su fiabilidad y por su saber hacer en dispositivos de entrada de datos (principalmente teclados y ratones) esa es Cherry que lleva muchos años en el mercado y se ha ganado a pulso una reputación de calidad y fiabilidad.


Cuentan con teclados que integran sensores biométricos de diversos fabricantes como Upek, Authentec y Sagem, aunque por rendimiento y facilidad de uso me atrevo a recomendar los modelos que integran los sensores de área de Upek. Existen modelos con sensor biométrico (FingerTIP ID Board G83-14501) y modelos que además integran un lector de tarjetas inteligentes (FingerTIP ID Board G83-14401)

Cherry dispone también de un ratón con sensor de área de Upek muy cómodo de emplear y con un alto ratio de fiabilidad.

Un saludo
Rames.

martes, 27 de abril de 2010

Ha llegado la hora de la biometría de huella dactilar


La tecnología de reconocimiento biométrico de huella dactilar existe desde hace décadas y sin embargo aún no ha vivido su despegue definitivo. Las razones de esta situación hay que buscarlas en creencias socio-culturales, en el coste de la tecnología y en su fiabilidad y precisión histórica. Hasta ahora estos factores han hecho que la tecnología biométrica no se haya desplegado masivamente en empresas y hogares, aún cuando sus beneficios son múltiples y evidentes.

En los últimos años esta  tecnología ha evolucionado sensiblemente, aumentando su precisión y reduciendo su coste. Ya no es necesario desembolsar grandes cantidades de dinero para acceder a estos sistemas y prueba de ello es, que multitud de marcas de ordenadores portátiles incorporan estos dispositivos y software asociado.

Es posible sacar provecho de esta tecnología para iniciar el camino en nuestra empresa que nos lleve a sustituir las contraseñas por el uso de la huella dactilar en nuestros equipos, con lo que conseguiremos aumentar la seguridad de acceso a nuestra información empresarial, aumentar la productividad de los usuarios, reducir los costes de soporte y en algunos casos cumplir la legislación vigente en materia de protección de datos. Estoy convencido que es el momento de implantar esta tecnología y compartir sus beneficios con nuestros usuarios.

Un saludo
Rames

miércoles, 21 de abril de 2010

Impulso a un DNI electrónico único en la UE

Noticia sobre el respaldo de los ministros de la UE al DNI electrónico Europeo para impulsar el mercado único digital. El nuevo DNI electrónico, denominado ECC (European Citizen Card) en el que se lleva trabajando desde hace ya un par de años con algunos fabricantes de tarjetas, será un paso importante para la Identidad Digital y el impulso de la Sociedad de la Información en Europa.

Para más información podeis leer el artículo en la web de CincoDías.

Dado que en España es el país con mayor experiencia de campo sobre el asunto, habiendo expedido hasta la fecha mas de 15 millones de DNIe, deberíamos tener mucho que decir al respecto sobre las decisiones técnicas de la nueva tarjeta de identificación. Lamentablemente nuestra participación no es la que deberíamos tener y los alemanes están tomandonos la ventaja.

Con respecto a vincular este nuevo DNIe con la lucha contra la piratería, como se afirma en algunos árticulos hoy, no estoy de acuerdo en este enfoque. El principal objetivo del DNI electrónico Europeo será asegurar la identidad en las transacciones electrónicas protegiendo los datos personales de las personas. La lucha contra la piratería debe tener otras herramientas muy diferentes, que no pasen necesariamente por un control estricto y la identificación de todas las acciones en Internet.

Un saludo
Rames

martes, 20 de abril de 2010

¿Qué le pasa a mi DNIe doctor?

Como ya muchos ya saben, el DNI electrónico contiene 2 certificados digitales personales (uno para autenticación y otro para firma) salvo que nos opongamos a ello en el momento de la expedición.

Estos certificados tienen una vigencia de 30 meses desde su expedición (es decir 2 años y medio) que es diferente a la caducidad de la tarjeta de 5 o 10 años en función de la edad de su propietario/a. Es decir que en un DNIe de una persona con más de 30 años, la tarjeta será válida por 10 años pero deberá renovar hasta en 3 ocasiones sus certificados digitales si quiere utilizar las características de autenticación y firma digital durante toda la vida útil de la tarjeta.

Debido al bajo uso del DNI electrónico, a la mayoría de las personas les caducan los certificados sin ser conscientes de ello (creo que en el momento de la expedición no se informa de este hecho, aunque no estoy seguro) y cuando por fin se animen a utilizar algún servicio de la administración electrónica recibirán un mensaje (en ocasiones un tanto críptico) indicando bien que no hay certificados en la tarjeta o bien que el certificado ha expirado.

El proceso de renovación es sencillo y gratuíto pero requiere desplazarse a una comisaría de Policía y operar en uno de los kioscos o Puntos de Actualización del DNIe (PAD) con nuestra tarjeta y nuestra huella dactilar, por lo que debemos ir personalmente a realizar el trámite. En la segunda renovación deberemos personarnos ante un funcionario para cumplir con el artículo 13 de la Ley de Firma Electrónica (“La identificación de la persona física que solicite un certificado reconocido exigirá su personación ante los encargados de verificarla y se acreditará …”).

Para ayudar a quienes utilizan el DNIe en su faceta electrónica o tiene previsto hacerlo, en SmartAccess hemos desarrollado una sencilla herramienta que una vez instalada en el PC, cada vez que introducimos nuestro DNIe verifica la fecha de caducidad de los certificados y programa unas alertas para avisarnos cuando nos queden 3 meses y 1 mes para su caducidad. Es una herramienta muy simple, pero esperamos que pueda contribuir a que no os caduquen los certificados digitales en el peor momento.

Un saludo
Rames.

lunes, 19 de abril de 2010

Lápidas electrónicas con RFID

Me ha sorprendido leer la siguiente noticia sobre el uso de la tecnología NFC (una evolución del RFID tradicional) para crear lápidas electrónicas. Sí, has oido bien, lápidas electrónicas.

Un nuevo producto llamado RosettaStone se acaba de lanzar al mercado para que las personas que han perdido seres queridos puedan colocar más información sobre ellos en la lápidas, reporta slashgear.com.

El dispositivo es una pequeña pegatina de polímero nombrada Data Tag que emplea tecnología NFC para enviar imágenes y textos a los teléfonos inteligentes de los visitantes cuando estos pasan frente a la tumba.

Los usuarios pegan la etiqueta directamente sobre la lápida y cargan el texto y las fotos directamente a un sitio con un archivo especial que es solo accessible a su comprador.

Para las personas que no disponen de teléfonos inteligentes, la compañía tiene un sistema más sencillo que indica una URL para el sitio específico de esa tumba, que puede visitarse en línea y ver las mismas fotos y textos.

Sorprendente, te envian texto y fotos cuando pasas por delante de las tumbas. Puedes leer el artículo completo en inglés aquí.

Un saludo
Rames.

viernes, 16 de abril de 2010

Jornadas de difusión y divulgación del DNIe

INTECO organiza, conjuntamente con Red.es, unas jornadas de difusión y divulgación del DNIe orientadas a impulsar y fomentar el desarrollo de servicios sobre el DNI electrónico.

Está previsto que se celebren 3 jornadas en Madrid (6 de Mayo), Barcelona (27 de Mayo) y Sevilla (17 de Junio). Todavía no se ha publicado el lugar donde se celebrarán, aunque supongo que en las próximas semanas se hará.

El objetivo de estas sesiones es:
  • Dar a conocer los servicios existentes que hacen uso del DNIe como mecanismo seguro de autenticación y firma
  • Identificar las ventajas y oportunidades en torno al DNIe
  • Fomentar el desarrollo seguro de aplicaciones y su certificación en base a los Perfiles de Protección
  • Exponer las iniciativas que se están llevando a cabo por parte de la Administración.
Las jornadas están orientadas para empresas del sector TIC, empresas de desarrollo de aplicaciones y servicios, administraciones públicas, etc.

Afortunadamente he sido invitado a participar en este interesante evento con una ponencia en el bloque de Futuro y DNIe sobre "el uso del DNIe como herramienta de seguridad en la empresa" donde espero tratar sobre las posibilidades del DNIe como herramienta para mejorar la seguridad de la información de nuestra empresa y ayudarnos a cumplir con la legislación vigente. Estoy preparando algunas diapositivas con algunas propuestas realistas y algunas otras un tanto futuristas, pero que estoy convencido que veremos a medio plazo.

Si quieres asistir puedes hacerlo siguiendo las instrucciones en la página del evento en la web de INTECO.

Aquí puedes consultar la agenda del evento.

Un saludo
Rames.

jueves, 15 de abril de 2010

Windows Biometric Framework en Windows 7 (parte 1)

Windows 7 nos ha traido de forma un tanto silenciosa una revolución para el mundo de la biometría. Se trata de Windows Biometric Framework (conocido tambien como WBF) y se trata del intento de Microsoft de poner orden en el confuso mundo de la biometría.

La biometría es un tecnología que está ganando en popularidad en los últimos años para controlar el acceso a sistemas, servicios y recursos y que se basa en la medición de alguna característica física de las personas que permite identificarla de forma única.

La biometría de huella dactilar (fingerprint biometrics) sigue dominando el mercado. Durante el año 2009 se vendieron en todo el mundo más de 66 millones de dispositivos sensores de huella especialmente integrados en equipos portátiles. Y además los analistas especialidados como Frost & Sullivan preveen que en el año 2011 la cifra se multiplique por 3 llegando a venderse 188 millones de dispositivos.

A pesar de este auge, hasta la fecha el desarrollo de todo el software necesario para proporcionar funcionalidades biométricas dependía exclusivamente de la habilidad y capacidad de desarrollo del fabricante del dispositivo, y esto ha derivado en:
  • Sistemas biométricos con diferentes grados de integración con el sistema operativo y aplicaciones
  • Complejidad para el desarrollo de aplicaciones que hagan uso de funciones biométricas
  • Experiencias de usuario desiguales en función de los diferentes fabricantes
  • Incompatilidades entre diferentes dispositivos biométricos
Con WBF el sistema operativo proporciona soporte nativo para los dispositivos biométricos de huellas dactilares con los siguientes objetivos:
  • Mejorar la calidad y fiabilidad de los dispositivos o sensores de huellas y sus aplicaciones de gestión.
  • Permitir una experiencia de usuario más consistente.
  • Proporcionar una plataforma común y un conjunto de interfaces de desarrollo (API) para los desarrolladores de software que les permita integrar de forma fácil la biometría en sus aplicacione
  • Mejorar la capacidad de gestión y el soporte de los dispositivos biométricos en Windows.

Rames

miércoles, 14 de abril de 2010

Asistencia Gira TechNet Up To Secure 2010

A todos los que habeis asistido a alguna de las 10 ciudades de la Gira TechNet Up To Secure 2010 organizada por Microsoft e Informática64, quisiera agradeceros vuestra presencia y recordaros de nuevo que en SmartAccess os regalábamos una licencia de nuestro producto IDOne Professional que permite iniciar sesión segura en vuestro PC con vuestro DNI electrónico u otras tarjetas tanto de contacto como RFID. Tan solo teneis que enviarnos vuestro código de registro a alguno de los eventos a la dirección UpToSecure e indicarnos el evento al que habeis asistido.

Han sido 10 ciudades (Pamplona, Madrid, Barcelona, Andorra, Sevilla, A Coruña, Valencia, Murcia, Zaragoza y Santa Cruz de Tenerife) con casi 1.000 asistentes.

A los que os gustó mi charla sobre "Portátiles corporativos a prueba de robos" sobre como combinar la autenticación fuerte por smartcard o biométrica con el cifrado de disco o particiones para proteger los datos de nuestros portátiles, USB o equipos reciclados, me alegra que os pareciera interesante. En global la habeis puntuado con un 8,09 sobre 10, lo cual me agrada y os agradezco mucho.

A los que no os gustó, lo lamento aunque si tengo oportunidad en el futuro trataré de buscar temas que os parezcan más interesantes. Si quieres realizarme alguna sugerencia al respecto estaré encantado de oir propuestas.

Un saludo
Rames

martes, 13 de abril de 2010

10 usos para el DNI electrónico en tu empresa

Os dejo una lista de 10 posibles usos del DNI en el ámbito empresarial:

1. Cifrado de información personal o confidencial (solo para tus ojos) para su envío por redes públicas
Cuando debemos enviar información confidencial o de caracter personal (en especial aquella de nivel alto como pueden ser datos de la historia clínica de un paciente) a través de Internet y queremos garantizar que solo pueda acceder a ella la persona en cuestión. Imagenemos que estamos de viaje y nos deben enviar a nuestro hotel o por correo electrónico una información confidencial y no disponemos de un mecanismo de correo cifrado. Sería muy útil disponer de una herramienta que cifrase la información anotando el número o números de DNI de los destinatarios. Una vez recibida la información solo los destinatarios podrían descrifrar el contenido introduciendo su DNIe y su PIN.

2. Registro y acceso de visitantes
Hacer más efectivo el registro de visitantes a un edificio o centro (por ejemplo un hotel), mediante la lectura de los datos contenidos en el chip. Llegaríamos a la recepción, entregaríamos el DNIe como habitualmente lo hacemos en los centros públicos y la persona que nos atiende lo introduce en un lector que pasa automáticamente nuestros datos a la aplicación y emite la credencial de acceso. Todo ello en segundos y sin errores ni esperas. Podemos además crear una web de pre-registro si necesitamos autorizar o verificar a las personas que nos visitarán e incluso aplicar estrategias de auto-checkin como en los aeropuertos con kioscos o equipos que se encargan de la emisión de los pases de acceso, por ejemplo en ferias y eventos. También se podría aplicar a pasaportes electrónicos en el caso de un hotel.

3. Un método de backup para el acceso a mi equipo
Nuestra empresa ha implantado un control de acceso a los equipos informáticos con tarjeta inteligente, pero se nos ha olvidado la tarjeta, la hemos extraviado o nos la han sustraido. ¿Que hacemos? Simplemente sacamos el DNIe y lo introducimos en el lector de nuestro PC que nos permite acceder sin necesidad de llamar al departamento de soporte.

4. Conexión remota segura a la red corporativa 
Si en nuestra empresa disponemos de redes privadas virtuales, en lugar de dejar nuestro usuario y contraseña grabados en el PC de casa (yo nunca lo haría, oiga!) podemos permitir que las VPN o VPN-SSL se establezcan solo al utilizar nuestro DNIe y así aseguramos la presencia de la persona.

5. Autenticar a proveedores, clientes o colaboradores (Portal colaborativo)
Tenemos que colaborar a menudo con personas que no pertenecen a nuestra organización, en lugar de crear para ellos usuarios, enviarles un usuario y contraseña, resetear la contraseña cuando no la recuerdan, etc. podemos simplemente crear un usuario, preguntarles su número de DNI y habilitar el acceso nuestro portal colaborativo con su DNIe. Si renueva o cambia su DNIe no nos veremos afectados.

6. Acceso a datos personales en la Intranet Corporativa
Nuestro departmamento de Recursos Humanos quiere publicar en la Intranet documentos con información de caracter personal y quiere que le aseguremos que sólo cada persona podrá acceder a su  propia información y a nada más. Por ejemplo la información de nóminas, retenciones, el resultado del último chequeo médico, etc. Pues habilitamos la autenticación con DNIe en una zona de la Intranet y listo.

7. Auto Reset de Password (Self Service Password Reset)
Mi empresa no cuenta con un acceso mediante tarjeta inteligente y continua utilizando el método de usuario y contraseña para acceder a los equipos y la red corporativa. Sin embargo los usuarios no paran de llamar al departamento de soporte para pedir que les cambien su contraseñas porque las olvidan, especialmente después de implantar el SGSI y obligar a que las cambien periódicamente. En lugar de las llamadas puedo habilitar una aplicación de auto servicio de reset de contraseñas con el DNIe que me permita destinar al personal de soporte a otras tareas más productivas.

8. Autoprovisión de usuarios
Si somos una empresa con una alta rotación de personal, podríamos mejorar los flujos creación de identidades de usuario en la empresa mediante una aplicación que solicitase la autenticación.con el DNIe u otros certificados en tarjeta que acrediten su identidad. Llego, paso por un kiosco u aplicación e introduzco mi DNIe y PIN y en minutos se aprueba mi solicitud y puedo acceder a la red, al final del día o del periodo se destruye mi identidad. También por que no, en telecentros o ubicaciones donde necesitamos que las persones esten identificadas antes de navegar por Internet.

9. Firma de contratos y/o documentos (el clásico).
Puedo firmar de forma más efectiva y sin necesidad de los tiempos derivados de los envíos de papel, todo tipo de documentos y solicitudes a través de la Intranet. Siempre sé como estan mis solicitudes porque  i empresa ha implementado flujos de trabajo que integran estas operaciones, y en cuestión de minutos u horas realizamos trámites que anteriormente tardaban días.

10. Protección de dispositivos móviles
Protejo el acceso a la información de mi dispositivo móvil mediante mi DNIe o tarjeta corporativa. Si los pierdo, al estar cifrada la información que contienen, esta no queda comprometida.

Muchas veces hablando de estos temas con clientes y partners, surge el debate sobre la reticencia que existe por parte de los usuarios de una empresa a utilizar un documento personal como el DNIe. Personalmente creo que la estrategia es no obligar a los usuarios a utilizar el DNIe sino ofrecerles funcionalidades que les hagan más autónomos y menos dependientes de los departamentos de IT.

Todas estas utilidades son posibles hoy, pero seguro que a tí se te ocurren otras 10.

Un saludo
Rames

lunes, 12 de abril de 2010

MetaPass SSO se pasa al opensource

El pasado mes de Enero, el fabricante de software californiano MetaPass especializado en el desarrollo de soluciones de Enterprise Single Sign-On (ESSO) anunció que liberaba el código fuente de su principal producto denominado MetaPass SSO.

El producto, desarrollado integramente en lenguaje java, adopta una novedosa aproximación al problema de la gestión de credenciales de las aplicaciones implementando lo que llama la virtualización del interfaz de usuario para detectar donde debe introducir las credenciales. Es también el único ESSO multiplataforma que está disponible para plataformas Windows, MacOS X y Linux.

Esta es una ventaja proporcionada por su naturaleza java, aunque en el otro lado por este mismo motivo es algo lento en su funcionamiento y requiere que las aplicaciones sean lanzadas desde una ventana específica llamada LaunchPad.

La consultora Gartner mencionaba a MetaPass en su Magic Quadrant for Enterprise Single Sign-On 2007 como una firma de nicho, con una tecnología novedosa y emergente, el único proveedor que proporciona funcionalidad multiplataforma pero que carecía de una base instalada en Europa. La mayor parte de sus referencias son de Estados Unidos.

Imagino que la liberación del código fuente de MetaPass ha sido el resultado de los infructusos esfuerzos por conseguir un mayor número de proyectos y referencias, en un intento de conseguir una posición en el mercado opensource donde actualmente no hay productos similares.

Habrá que esperar para ver si la liberación de su código fuente recibe el apoyo de la comunidad y evoluciona o por el contrario queda sin evolución en Sourceforge.net.

Si os interesa descargarlo para poder probarlo, podeis harcerlo en este enlace.

Un saludo
Rames.

viernes, 9 de abril de 2010

Desde Tecnimap con mucho cansancio...

Hola

Hoy finaliza el Tecnimap 2010 de Zaragoza. Para mí han sido unos días muy intensos, llenos de conversaciones muy interesantes con muchas, muchísimas personas.

A pesar de la crisis, la asistencia creo que há sido buena tanto del sector público como el privado, y hemos podido escuchar y ver ponencias muy interesantes.

Como siempre el DNIe han surgido en algunas ponencias con comentarios relacionados a su bajo uso y su usabilidad. Al final este tema siempre genera opiniones enfrentadas: los que piensan que el DNIe es un éxito y que el hecho de haber emitido más de 15 millones eclipsa cualquier problema relacionado y los que piensan que su bajísimo uso hace que el proyecto desluzca y no pueda ser considerado un éxito.
 
Con respecto a la feria, decir que ha sido todo un éxito el microlector de tarjetas que hemos regalado, y se nos han agotado. Pedir disculpas a quienes os habeis acercado a nuestro standa a por vuestro lector y no os los hemos podido entregar. No hemos calculado bien y ha sido un gadget con mucho tirón. A los afortunados, espero que os resulte de utilidad y espero ansioso vuestros comentarios sobre su uso.


Un saludo
Rames

jueves, 8 de abril de 2010

EEUU trabajará para que haya estandares de autenticación fuerte online

Interesante noticia sobre un nuevo grupo de trabajo creado a instancias del gobierno federal de Estados Unidos, llamado National Strategy for Secure Online Transactions y en cuyos objetivos está la definición de estandares de autenticación fuerte para el acceso de sus ciudadanos a servicios a través de Internet.

La visión del grupo de trabajo es "Mejorar la confianza y seguridad de las transacciones online, a través del establecimiento de modelos interoperables, tecnología y procesos de autenticación para todos los participantes en las transacciones electrónicas tanto del sector público como privado".

Los servicios de identidad serán personalizados para los diferentes mercados, como sanidad, impuestos, banca y seguros, servicios, etc. Esta previsto que haya diferentes niveles de forma similar a la norma FIPS 201 que corresponderá al nivel de riesgo asociado a cada tipo de transacción.

Una interesante iniciativa de colaboración entre el sector público y privado, que habrá que seguir para ver sus resultados.

El artículo completo en ThirdFactor.

Salu2
Rames

miércoles, 7 de abril de 2010

¿Como puedo firmar e-mails en Outlook con el DNIe?

Si usas alguna versión de Microsoft Outlook posterior a Outlook 2000 SR-1, no te han caducado los certificados de tu DNIe (algo bastante frecuente) y quieres enviar correos electrónicos firmados con tu DNIe (algo menos frecuente)  puedes hacerlo utilizando tu DNIe.

Los correos firmados con el estandar S/MIME proporcionan al destinatario una garantía adicional sobre la integridad del mensaje y la identificación del emisor, pero tambien revelann ciertos datos personales (nombre completo y número de DNI) al adjuntar una copia de la parte pública del certificado empleado para la firma con el proposito de que el destinatario pueda verificar nuestra firma.

Outlook imprementa S/MIME v3 para la firma de correos según la especificación RFC2632 del IETF y esta requiere que la dirección de email del emisor esté contenida en el campo subjectAltName del certificado digital utilizado para la firma, con el proposito de vincular al firmante con la dirección de correo empleada.

(extraido del RFC2632, sección 3. Using Distinguished Names for Internet Mail)

Sending agents SHOULD make the address in the From or Sender header in a mail message match an Internet mail address in the signer's certificate.Receiving agents MUST check that the address in the From or Sender header of a mail message matches an Internet mail address in the signer's certificate, if mail addresses are present in the certificate.
Como ninguno de los dos certificados personales que contiene el DNIe electrónico incluye mi dirección o direcciones de email (porque puedo tener varias, ¿no?) a priori no puedo utilizar estos certificados. Por suerte Outlook implementa una clave de registro que permite desactivar este requisito en el emisor. Dependiendo de  la aplicación de correo que utilice el destinatario (Reveiving Agent) le aparezca un mensaje indicando que el certificado utilizado para la firma no incluye la dirección de correo.

La clave de registro es diferente para cada versión de Outlook, pero este método no te funcionará ni con Outlook Express ni con Microsoft Outlook Web Access.

Podeis encontrar la forma de eliminar esta verificación en el siguiente artículo técnico de Microsoft.

How to turn off e-mail matching for certificates in Outlook

http://support.microsoft.com/?id=276597

El método también os sirve para cualquier certificado digital X509V3 que no contenga vuestra dirección de correo emitido por otros proveedores como la FNMT, CamerFirma, Firma Profesional, Izenpe, CatCert, etc. (La lista completa de los Prestadores de Servicios de Certificación de Firma Electrónica en la web del Ministerio de Industria)

Los que reciben los mensajes deberán poder verificar la firma pero tambien el estado de revocación de los certificados empleados. Esto se deberá realizar accediendo a las CRL (Listas de Certificados Revocados) del proveedor de servicios de certificación que haya emitido el certificado en cuestión. El método de acceso a estas CRL dependerá de los servicios que el  proveedor tenga disponibles y es posible que necesitemos alguna pieza de software

Salu2
Rames

martes, 6 de abril de 2010

¿Puedo utilizar las funciones biométricas del DNIe?

Es un pregunta que nos hacen a menudo. Si el DNI electrónico contiene información de mis huellas dactilares (dos en concreto) y en las comisarías puedo identificarme en los kiosco con mi huella para realizar operaciones con la tarjeta como el cambio de PIN o la renovación de los certificados, ¿Por qué no lo puedo hacer en mi PC?.

Pues lo lamento, pero me temo que la respuesta es un rotundo NO.

La explicación está en que dicha información se encuentra en el chip en una zona denominadad de ZONA DE SEGURIDAD, pero para acceder a ella son necesarios unos determinados permisos que no tenemos con nuestro PIN de usuario y además aunque accediésemos a la información tenemos que saber que se encuentra cifrada y que la clave para descifrarla se encuentra en un servidor criptográfico (HSM) conectado a la red interna de la Dirección General de la Policía.



¿Entonces como lo hace la aplicación del kiosco (también conocido como Punto de Actualización del DNIe) ?. Pues fácil, el kiosco está ubicado en una comisaría y esta se encuentra conectada a la red interna de la DGP y por tanto dispone de acceso al servidor criptográfico y la aplicación del kiosco conoce las claves necesarias para acceder a la información de las huellas en la tarjeta.

Lo mismo sucede con nuestra fotografía, la imagen de nuestra firma manuscrita y la mayor parte de los datos personales, salvo los contenidos en el asunto de los certificados (es decir nombre, apellidos y nº de DNI). Es por eso que no es viable realizar aplicaciones que aprovechen estos datos y funcionalidades, todo por la protección de nuestros datos personales.

A veces es necesario conseguir un equilibrio entre la privacidad y el servicio, y lo que esta claro es que es fácil tomar decisiones que dejen contento a todos.

Sin duda el DNI electrónico es mejorable, pero hay que tener en cuenta que ningún otro país ha tenido la valentía de diseñar y desarrollar un sistema tan complejo como una tarjeta inteligente criptográfica que cumpla con los más altos niveles de seguridad (certificación Common Criteria EAL 4) y que somos un país pionero en este campo.

El principal reto ahora es conseguir que una masa importante de la población comience a utilizar el DNI electrónico, en su faceta electrónica de forma habitual y esto lo conseguiremos si entre todos tratamos de conocerlo mejor y encontrarle cada día más y más utilidades.

Rames.

lunes, 5 de abril de 2010

El bajo uso del DNIe

Acabo de leer un artículo en Intelligence & Capital News Report que habla sobre el bajo uso del DNI electrónico en España. El artículo comenta que a pesar del coste del proyecto (más de 300 miloones de euros) y de los más de 15 millones de DNIe emitidos, "en 2009 sólo un 3,4% de los internautas completó algún trámite digital".

Sin duda la cifra ha mejorado (aunque muy poco), hace más de un año en un desayuno de trabajo organizado por la Editorial Borrmart sobre el DNI electrónico de título "AUTOCRÍTICA DE LA INDUSTRIA ANTE EL RETO DE EXPANSIÓN DEL DOCUMENTO DIGITAL", me dedique a afirmar que "Solo un tres por ciento de los ciudadanos conoce su PIN, lo que denota una brecha que debemos cerrar". Es una pena que no hayamos apena avanzado en este aspecto. Se estan realizando muchas acciones de difusión y concienciación pero dá la sensación que de momento no estan siendo efectivas.


Tambien se menciona en el artículo que según el último estudio de Ocio Networks- el documento de identidad digital genera aún más desconfianza que el comercio electrónico. Dos de cada tres aparcan al DNI electrónico en el cajón de las sospechas.

Para la mayoría de los expertos reunidos por la patronal Asimelec en el III Congreso de Identidad Digital, es necesario incorporar los drivers de los lectores en el sistema operativo, reducir el número de dígitos del PIN y obligar a los fabricantes de hardware a integrar el lector en sus máquinas -al igual que se hace con el teclado en español-.

Un saludo
Rames

¿Quieres probar si tu DNIe funciona?

Hace ya un par de años, en una reunión interna de SmartAccess donde se discutía sobre las barreras de utilizar el DNI electrónico por personas no técnicas, nos preguntabamos como una persona podría probar si su DNIe funcionaba de forma sencilla y sin tener que ejecutar el navegador y entrar en su configuración.

Sorprendentemente la respuesta fue que no conocíamos ninguna herramienta que permitiera realizar dicha función, ni pública ni privada. Aunque es cierto que existen algunas guias públicas sobre como realizar esta función.

Sobre la misma época nos contactó una empresa interesada en automatizar la lectura de datos del DNIe sin que el usuario tenga que teclear su PIN para el registro de visitantes de un organismo.

Así que decidimos desarrollar una herramienta que solventase ambas problemáticas. Por un lado que pudiesemos leer los datos del chip del DNIe para enviarlos a la aplicación activa y adicionalmente nos permitiera comprobar el funcionamiento de cada DNIe. Ya puestos decidimos incluso añadir la comprobación de los certificados digitales contenidos en la tarjeta mediante una transacción OCSP contra los servidores de listas de revocación que publica la Dirección General de Policía.

Tras unas semanas publicamos una aplicación llamada DNI Explorer que permite realizar estas funciones. Hemos estado comercializando esta herramienta durante los dos últimos años con éxito por un precio reducido, aunque tenemos previsto liberar una versión más simple de su uso gratuito dando soporte a través de nuestro foro y continuar con una versión de pago con soporte a otros documentos como el Pasaporte electrónico u otros DNIe europeos.

Si quieres probar si tu DNIe funciona, puedes decargarte  DNI Explorer desde la zona de descargas de nuestra web. Es una herramienta sencilla, pero quien la prueba descubre un mundo de posibilidades con el DNIe.

Un saludo
Rames

sábado, 3 de abril de 2010

7 Pasos hacia la Identidad Digital Única en la Empresa

El pasado 25 de Marzo hice una presentación titulada "La Identidad Única en la Empresa. ¿Utopía o Realidad?" en el marco de la feria SITI/asLAN 2010.

En la charla se trataba de explicar algunas de las tecnologías más utilizadas cuando se plantea un proyecto de Identidad Digital Corporativa y se propone una hoja de ruta para conseguir los beneficios de una gestión única de la Identidad Digital de nuestros usuarios.

Para aquellos que estabais interesados en asistir pero no pudisteis, os dejo el enlace a la presentacion. Ya sé que no es lo mismo pero al menos teneis parte de la información.

SITI2010 - La Identidad Única en la Empresa. ¿Utopía o Realidad?

Un saludo

Rames

He vuelto, nuevo libro sobre el DNIe

Casi me da verguenza, pero he estado casi 3 años sin escribir en el blog. Muchos sois los que me habeis animado a volver a retomar la actividad y por fin me he decidido. Como no quería volver a escribir varios post para al final volver a dejarlo, así que he esperado a estar realmente convencido.

Aprovecho este post de esta nueva etapa para anunciaros que publicaré a través de Informática64 un libro titulado "El DNI electrónico como herramienta de seguridad" en el proximo mes de Septiembre. El impulsor de esta idea ha sido, Chema Alonso alias el maligno, a quien le tengo que agradecer su tenacidad y perseverancia para convencerme de la viabilidad y conveniencia de escribir este libro.

Actualmente me encuentro inmerso en la documentación y redacción de algunos capítulos y espero contar con alguno colaboradores muy interesantes como Dr. Raúl Sánchez-Reillo de la Universidad Carlos III de Madrid que dirige el grupo GUTI (Grupo Universitario de Tarjeta Inteligente) y Francisco Soriano, Socio fundador y compañero en SmartAccess y probablemente uno de los desarrolladores que más saben sobre el funcionamiento del DNI electrónico y su integración en productos comerciales. Espero poder añadir más personas a esta lista. Sin duda todo un lujo.

El enfoque del libro será dividirlo en diferentes capítulos orientados a explicar la utilidad del DNIe como herramienta de seguridad a los diferentes grupos implicados en la seguridad de una empresa como usuarios, administradores de sistemas, desarrolladores, responsables de negocio, etc.

Cualquier comentario o sugerencia al respecto, sin duda será bienvenido.

Un saludo
Rames