Hoy durante la jornada de difusion del DNIe que organizó Inteco y Red.es en Sevilla, se ha anunciado por parte del representante de la DGP (una vez más) que la próxima semana se libera la información del manual de comandos del DNIe.
En casi todas las ponencias se ha hecho referencia a la importancia de este anuncio por parte de la DGP y lo que supondrá para el impulso para el uso del DNIe.
La verdad es que soy un poco incredulo ya que he escuchado casi quince veces en diferentes eventos por parte de la DGP que la próxima semana se libera el manual, y os podeis imaginar que uno ya no se cree nada, aunque siempre tienes la esperanza de estar equivocado.
Creo saber que el problema no es de la DGP que le habría gustado liberarlo al poco tiempo de anunciarlo la primera vez (en Mayo de 2009 en León), pero han implementado un portal basado en la tecnología DRM de un conocido fabricante para la distribución del manual y dicha tecnología DRM tienen algunas incidencias al ser usado con el DNIe :-(. Llevan (o llevamos) bastante tiempo esperando a que el fabricante solvente la incidencia en el producto y se pueda presentar el portal.
Escuchando a los demás ponentes, cuando se publique por fin, parece que comenzarán a florecer miles de aplicaciones y sistemas que hagan uso del DNIe. Parece indicarse que la principal barrera para una mayor adopción del DNIe era la posibilidad de construirse uno mismo su propio middleware.
Lamentablemente no coincido con estas afirmaciones. Crear un driver o middleware para el DNIe solo está al alcance de unos pocos mortales, y si además hay que hacerlo bien integrado, la cosa se complica mucho. Después de tanto tiempo esperando el manual de comandos y las claves para el establecimiento de sesión, se han elevado tanto las expectativas que me temo que será una nueva decepción para las empresas.
Parece que, al igual que en la medicina, mientras no acertemos en el diagnóstico no podremos aplicar un tratamiento adecuado. He escuchado muchas veces a representantes públicos decir en foros y eventos que el DNIe funciona bien, por lo que si ellos no creen que haya algo que mejorar logicamente no cambiará ni se mejorará.
Un saludo
Rames
jueves, 17 de junio de 2010
lunes, 14 de junio de 2010
¿Por qué conviene utilizar diferentes certificados digitales para cada propósito?
Cada DNI electrónico contiene dos certificados digitales que corresponden al ciudadano, uno para autenticación y otro para firma. Desde el punto de vista técnico son muy parecidos, pero su uso es diferente. El primero (de AUTENTICACIÓN) se utiliza para identificarme y demostrar mi identidad digital cuando accedemos a sistemas o aplicaciones y no tiene vinculación legal. El segundo (de FIRMA) se emplea para firmar documentos o transacciones y su uso equivale a nuestra firma manuscrita.
En el caso del DNIe, se ha optado por crear estos dos certificados, por el diferente soporte legal y especialmente, porque cuando nos autenticamos ante una aplicación o sistema, lo que hace el sistema internamente es realizar una firma digital con nuestro certificado pero en este caso los datos a firmar no tienen importancia y se firma un conjunto de datos aleatorio o nulo. Un atacante podría alterar el servidor web para que enviase un conjunto de datos que no fuese aleatorio (p.e. un contrato o cualquier otros documento) y el usuario lo firmaría sin haber visualizado lo que firmaba. Al separar los certificados y dar validez legal solo al de firma y pedir el consentimiento explícito al usuario, le estamos protegiendo ante este tipo de ataques malintencionados.
Todo certificado que cumple la norma X509v3 contiene un atributo que indica el o los propósitos del certificado, es decir, para que usos ha sido emitido por la entidad que se encarga de su emisión.
Emplear un único certificado para todos los usos puede ser cómodo para el usuario, pero al mismo tiempo le expone innecesariamente a otras problemáticas. Utilizar el mismo certificado para autenticación web, smartcard logon, firma de documentos, firmar y cifrado de correos, etc.. tiene ciertas implicaciones que deben estudiarse con cuidado.
Pensemos que siempre que realizamos una operación con un certificado, es frecuente enviar al receptor junto con la firma, la parte pública de nuestro certificado para que pueda verificar con la clave pública la firma realizada. Esta parte pública puede contener información sensible que no queremos que se conozca publicamente.
Un ejemplo bastante frecuente, es incluir en el certificado digital único la dirección de correo electrónico para que pueda ser empleada para firmar correos. Supongamos que este certificado pertence a un alto cargo de una Administración Pública y que lo emplea también para firmar documentos. Al enviar fuera de la organización dichos documentos firmados, que contienen la parte pública de su certificado, cualquiera podría acceder a su dirección de correo electrónico, lo que lo expone a spam y otro tipos de ataques.
Cuando empleamos un certificado para realizar smartcard logon (acceso al puesto) y le incluimos, como es necesario, el UPN al certificado o información de logon (nombre de usuario y dominio), al firmar correos o documentos, cualquier receptor recibe también esta información interna de la organización.
Decidir cuantos certificados debe tener un usuario y que información debe contener es una tarea que requiere de una planificación detallada y comprender que datos son los estrictamente necesarios que contenga cada certificado en cada operación.
Un saludo
Rames
En el caso del DNIe, se ha optado por crear estos dos certificados, por el diferente soporte legal y especialmente, porque cuando nos autenticamos ante una aplicación o sistema, lo que hace el sistema internamente es realizar una firma digital con nuestro certificado pero en este caso los datos a firmar no tienen importancia y se firma un conjunto de datos aleatorio o nulo. Un atacante podría alterar el servidor web para que enviase un conjunto de datos que no fuese aleatorio (p.e. un contrato o cualquier otros documento) y el usuario lo firmaría sin haber visualizado lo que firmaba. Al separar los certificados y dar validez legal solo al de firma y pedir el consentimiento explícito al usuario, le estamos protegiendo ante este tipo de ataques malintencionados.
Todo certificado que cumple la norma X509v3 contiene un atributo que indica el o los propósitos del certificado, es decir, para que usos ha sido emitido por la entidad que se encarga de su emisión.
Emplear un único certificado para todos los usos puede ser cómodo para el usuario, pero al mismo tiempo le expone innecesariamente a otras problemáticas. Utilizar el mismo certificado para autenticación web, smartcard logon, firma de documentos, firmar y cifrado de correos, etc.. tiene ciertas implicaciones que deben estudiarse con cuidado.
Pensemos que siempre que realizamos una operación con un certificado, es frecuente enviar al receptor junto con la firma, la parte pública de nuestro certificado para que pueda verificar con la clave pública la firma realizada. Esta parte pública puede contener información sensible que no queremos que se conozca publicamente.
Un ejemplo bastante frecuente, es incluir en el certificado digital único la dirección de correo electrónico para que pueda ser empleada para firmar correos. Supongamos que este certificado pertence a un alto cargo de una Administración Pública y que lo emplea también para firmar documentos. Al enviar fuera de la organización dichos documentos firmados, que contienen la parte pública de su certificado, cualquiera podría acceder a su dirección de correo electrónico, lo que lo expone a spam y otro tipos de ataques.
Cuando empleamos un certificado para realizar smartcard logon (acceso al puesto) y le incluimos, como es necesario, el UPN al certificado o información de logon (nombre de usuario y dominio), al firmar correos o documentos, cualquier receptor recibe también esta información interna de la organización.
Decidir cuantos certificados debe tener un usuario y que información debe contener es una tarea que requiere de una planificación detallada y comprender que datos son los estrictamente necesarios que contenga cada certificado en cada operación.
Un saludo
Rames
martes, 8 de junio de 2010
Consultoría gratuita para la adopción de firma digital
Dado que la adopción de la firma digital en la empresa u organismo supone la toma de un importante número de decisiones relacionadas con todas las tecnologías relacionadas (smartcards, certificados, prestadores de servicios de certificación, software middleware, software de autenticación, motores de firma, protocolos y autoridades de validación, integración de las aplicaciones, etc..), desde SmartAccess hemos pensado que podemos poner todo el conocimiento acumulado en los últimos años a vuestro servicio con el fin de ayudar a que las decisiones que tomeis hoy no sean un lastre mañana.
Es un entorno complejo y muchas veces las decisiones nos son fáciles. Nuestra labor consisitirá en analizar vuestro entorno y proponer un conjunto de decisiones viables con la vista puesta en el futuro y su evolución, pero también en la consecución de resultados.
Si en tu empresa, organismo público, ayuntamiento, ... teneis pensado implantar la firma digital, desde SmartAccess nos ofrecemos a asesorarte de forma totalmente gratuita y sin compromiso.
Si te preguntas el motivo de este ofrecimiento, la respuesta está en que estamos convencidos de que cuantas más organizaciones utilicen la firma digital las empresas como nosotros, vincualados a servicios o software relacionados con la firma digital, saldremos beneficiadas.
Aunque desarrollamos software, ya sabemos que tú te encargarás de que no utilicemos esta consultoría para vender nuestros productos y te aseguro que no tenemos esa intención. Solo tienes que probarlo.
Si te interesa o simplemente te pica la curiosidad sobre si será cierto, puedes contactar con nosotros a través de nuestra página web http://www.smartaccess.es/
Un saludo
Rames.
Es un entorno complejo y muchas veces las decisiones nos son fáciles. Nuestra labor consisitirá en analizar vuestro entorno y proponer un conjunto de decisiones viables con la vista puesta en el futuro y su evolución, pero también en la consecución de resultados.
Si en tu empresa, organismo público, ayuntamiento, ... teneis pensado implantar la firma digital, desde SmartAccess nos ofrecemos a asesorarte de forma totalmente gratuita y sin compromiso.
Si te preguntas el motivo de este ofrecimiento, la respuesta está en que estamos convencidos de que cuantas más organizaciones utilicen la firma digital las empresas como nosotros, vincualados a servicios o software relacionados con la firma digital, saldremos beneficiadas.
Aunque desarrollamos software, ya sabemos que tú te encargarás de que no utilicemos esta consultoría para vender nuestros productos y te aseguro que no tenemos esa intención. Solo tienes que probarlo.
Si te interesa o simplemente te pica la curiosidad sobre si será cierto, puedes contactar con nosotros a través de nuestra página web http://www.smartaccess.es/
Un saludo
Rames.
El enésimo intento... (¿y será la vencida?)
Desde Red.es han remitido la siguiente nota de prensa a los medios especializados para dar a conocer el resultado de la invitación mediante procedimiento público para colaborar en el desarrollo del proyecto de fomento del uso del DNI electrónico.
Hay que señalar que la invitación a colaborar no tiene contraprestación económica para las empresas, que lo realizan de forma voluntaria y probablemente obtengan más beneficios en temas de imagen que económicos directos.
Sinceramente, espero que este sea el intento definitivo que consiga impulsar el uso del DNI electrónico en la sociedad española.
La nota de prensa:
En el marco del Plan para el fomento del uso del DNI electrónico
Trece entidades participan en el programa de colaboradores privados para el fomento del uso del DNI electrónico.
Fabricantes de hardware (Bit4ID, Investrónica, Megasur y Toshiba), desarrolladores de software (Albalia, Oracle, Sage y Zylk.net), comercializadoras de productos informáticos (Alcampo, Infostock-Mybyte- y PC City) y entidades financieras (Banesto y Caixa Galicia) son las entidades seleccionadas para apoyar el uso del DNI electrónico en sus respectivos sectores.
Fabricación de equipos informáticos con lector de DNI electrónico integrado, desarrollo de servicios electrónicos que hagan uso del DNI electrónico, promociones en la venta de equipos con lector de DNI electrónico, o desarrollo de servicios bancarios con autenticación o firma mediante el DNI electrónico son algunas de las actuaciones previstas.
Con el DNI electrónico la ciudadanía puede realizar múltiples gestiones a través de Internet con la Administración Pública, empresas y otros ciudadanos de forma segura, cómoda y ágil
Esta iniciativa, enmarcada en el Plan Avanza2, está desarrollada por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, a través de red.es, y cuenta con la colaboración de la Dirección General de la Policía y de la Guardia Civil (ámbito Cuerpo Nacional de Policía), entidad responsable de la expedición del DNI electrónico.
Madrid, 2 de junio de 2010. La Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, a través de red.es, ha seleccionado mediante procedimiento público a 13 entidades para participar en el programa de colaboradores privados para el fomento del uso del DNI electrónico. De esta forma, las empresas y entidades financieras participantes apoyan el plan para el fomento del uso del DNI
electrónico entre sus clientes y la ciudadanía en general, y desde sus respectivos sectores.
Entre las actuaciones previstas en el marco del proyecto se encuentran la venta de equipos informáticos con lector de DNI electrónico integrado; el desarrollo de aplicaciones y servicios electrónicos basados en el DNI electrónico; promociones en puntos de venta para la comercialización de PCs o teclados con lector de DNI
electrónico integrado; y el fomento de servicios bancarios con autenticación o firma mediante el DNI electrónico y de la utilización activa del DNI electrónico por parte de los propios empleados de las entidades colaboradoras, entre otros.
Entidades seleccionadas:
Hardware:
Software:
Retail:
Banca:
Este programa de colaboradores privados tiene como objetivo fomentar el uso del DNI electrónico entre la ciudadanía, mediante la difusión de las ventajas de este medio de identificación y firma, y facilitando los elementos necesarios para su adecuada utilización.
Por ello, en una primera fase, se persigue facilitar que el mayor número posible de equipos y paquetes de software que adquieran la ciudadanía y las empresas lleguen al usuario final preparados para hacer uso de servicios basados en el DNI electrónico.
Adicionalmente se utilizará la capilaridad comercial de las empresas colaboradoras seleccionadas para difundir el resto de actuaciones a desarrollar, maximizando así el impacto de las mismas.
La selección de estas 13 entidades se ha llevado a cabo mediante procedimiento público para colaborar en el desarrollo del proyecto, iniciado por la entidad pública red.es el pasado mes de febrero. Esta iniciativa se desarrolla en el marco del Plan para el fomento del uso del DNI electrónico, impulsado por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.
Un saludo
Rames.
Hay que señalar que la invitación a colaborar no tiene contraprestación económica para las empresas, que lo realizan de forma voluntaria y probablemente obtengan más beneficios en temas de imagen que económicos directos.
Sinceramente, espero que este sea el intento definitivo que consiga impulsar el uso del DNI electrónico en la sociedad española.
La nota de prensa:
En el marco del Plan para el fomento del uso del DNI electrónico
Trece entidades participan en el programa de colaboradores privados para el fomento del uso del DNI electrónico.
Fabricantes de hardware (Bit4ID, Investrónica, Megasur y Toshiba), desarrolladores de software (Albalia, Oracle, Sage y Zylk.net), comercializadoras de productos informáticos (Alcampo, Infostock-Mybyte- y PC City) y entidades financieras (Banesto y Caixa Galicia) son las entidades seleccionadas para apoyar el uso del DNI electrónico en sus respectivos sectores.
Fabricación de equipos informáticos con lector de DNI electrónico integrado, desarrollo de servicios electrónicos que hagan uso del DNI electrónico, promociones en la venta de equipos con lector de DNI electrónico, o desarrollo de servicios bancarios con autenticación o firma mediante el DNI electrónico son algunas de las actuaciones previstas.
Con el DNI electrónico la ciudadanía puede realizar múltiples gestiones a través de Internet con la Administración Pública, empresas y otros ciudadanos de forma segura, cómoda y ágil
Esta iniciativa, enmarcada en el Plan Avanza2, está desarrollada por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, a través de red.es, y cuenta con la colaboración de la Dirección General de la Policía y de la Guardia Civil (ámbito Cuerpo Nacional de Policía), entidad responsable de la expedición del DNI electrónico.
Madrid, 2 de junio de 2010. La Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, a través de red.es, ha seleccionado mediante procedimiento público a 13 entidades para participar en el programa de colaboradores privados para el fomento del uso del DNI electrónico. De esta forma, las empresas y entidades financieras participantes apoyan el plan para el fomento del uso del DNI
electrónico entre sus clientes y la ciudadanía en general, y desde sus respectivos sectores.
Entre las actuaciones previstas en el marco del proyecto se encuentran la venta de equipos informáticos con lector de DNI electrónico integrado; el desarrollo de aplicaciones y servicios electrónicos basados en el DNI electrónico; promociones en puntos de venta para la comercialización de PCs o teclados con lector de DNI
electrónico integrado; y el fomento de servicios bancarios con autenticación o firma mediante el DNI electrónico y de la utilización activa del DNI electrónico por parte de los propios empleados de las entidades colaboradoras, entre otros.
Entidades seleccionadas:
Hardware:
- Bit4Id
- Investrónica
- Megasur
- Toshiba
Software:
- Albalia
- Oracle
- Sage
- Zylk.net
Retail:
- Alcampo
- Infostock (Mybyte)
- PC City
Banca:
- Banesto
- Caixa Galicia
Este programa de colaboradores privados tiene como objetivo fomentar el uso del DNI electrónico entre la ciudadanía, mediante la difusión de las ventajas de este medio de identificación y firma, y facilitando los elementos necesarios para su adecuada utilización.
Por ello, en una primera fase, se persigue facilitar que el mayor número posible de equipos y paquetes de software que adquieran la ciudadanía y las empresas lleguen al usuario final preparados para hacer uso de servicios basados en el DNI electrónico.
Adicionalmente se utilizará la capilaridad comercial de las empresas colaboradoras seleccionadas para difundir el resto de actuaciones a desarrollar, maximizando así el impacto de las mismas.
La selección de estas 13 entidades se ha llevado a cabo mediante procedimiento público para colaborar en el desarrollo del proyecto, iniciado por la entidad pública red.es el pasado mes de febrero. Esta iniciativa se desarrolla en el marco del Plan para el fomento del uso del DNI electrónico, impulsado por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.
Un saludo
Rames.
miércoles, 2 de junio de 2010
¿Debería la Policía ceder las CRL del DNIe?
Cuando una empresa privada se plantea la posibilidad de emplear el DNIe como elemento de autenticación para sus clientes en la web, especialmente aquellas que disponen de miles o incluso millones de clientes y prestan servicios habituales por Internet (vamos la Banca Electrónica), se encontrarán con un problema derivado que merece la pena analizar.
Si una gran parte de los clientes llegasen a utilizar el DNIe para autenticarse, y en virtud del uso recomendado, en cada transacción de autenticación se realizase una verificación del estado de revocación del certificado empleado para la autenticación, sería necesaria realizar una consulta al servicio público de consulta del estado de revocación del DNIe (http://ocsp.dnielectronico.es/) y gestionado actualmente por la FNMT-RCM.
Esto supone que el acceso a los servicios online de dichas entidades dependerán de los servicios que presta un tercero (en este caso la FNMT-RCM) y de los cuales no existe un SLA formal para garantizar su dimensionamiento y rendimiento esperados.
Parece que algunas asociaciones llevan varios años reclamando a la DGP la posibilidad de descarga de dichas CRL o listas de certificados revocados, para poder realizar dicha consulta bien localmente o bien a sistemas preparados para la alta carga de transacciones esperadas y con acuerdos de nivel de servicio.
Esta opción la ofrece la FNMT para sus certificados CERES, aunque requiere la firma de un convenio o encomienda de gestión con la FNMT y que supone una contraprestación económica en virtud del modelo de negocio de CERES que no cobra por la emisión de los certificados pero si lo hace a las empresas u organismos que necesitan verificar la revocación de los certificados (para los ciudadanos es gratuito a través de su página web).
La posibilidad de contar con las CRLs del DNIe parece una opcion necesaria e interesante, y a priori no supone riesgo adicional si se mantiene una distribución controlada y los ficheros CRL van firmados para asegurar su integridad. Asumo que esta posibilidad no ha implementado por que ello supone una modificación en los sistemas del DNIe.
Un saludo
Rames
Si una gran parte de los clientes llegasen a utilizar el DNIe para autenticarse, y en virtud del uso recomendado, en cada transacción de autenticación se realizase una verificación del estado de revocación del certificado empleado para la autenticación, sería necesaria realizar una consulta al servicio público de consulta del estado de revocación del DNIe (http://ocsp.dnielectronico.es/) y gestionado actualmente por la FNMT-RCM.
Esto supone que el acceso a los servicios online de dichas entidades dependerán de los servicios que presta un tercero (en este caso la FNMT-RCM) y de los cuales no existe un SLA formal para garantizar su dimensionamiento y rendimiento esperados.
Parece que algunas asociaciones llevan varios años reclamando a la DGP la posibilidad de descarga de dichas CRL o listas de certificados revocados, para poder realizar dicha consulta bien localmente o bien a sistemas preparados para la alta carga de transacciones esperadas y con acuerdos de nivel de servicio.
Esta opción la ofrece la FNMT para sus certificados CERES, aunque requiere la firma de un convenio o encomienda de gestión con la FNMT y que supone una contraprestación económica en virtud del modelo de negocio de CERES que no cobra por la emisión de los certificados pero si lo hace a las empresas u organismos que necesitan verificar la revocación de los certificados (para los ciudadanos es gratuito a través de su página web).
La posibilidad de contar con las CRLs del DNIe parece una opcion necesaria e interesante, y a priori no supone riesgo adicional si se mantiene una distribución controlada y los ficheros CRL van firmados para asegurar su integridad. Asumo que esta posibilidad no ha implementado por que ello supone una modificación en los sistemas del DNIe.
Un saludo
Rames
martes, 1 de junio de 2010
El Esquema Nacional de Seguridad
Hola
Os dejo la presentación que he realizado esta mañana en el evento conjunto con otros fabricantes de software de seguridad (en su término más amplio) sobre el Esquema Nacional de Seguridad (ENS), publicado en el Real Decreto 3/2010 el pasado 29 de Enero.
Hago un breve análisis del ENS (por cierto con muchas similitudes con la norma ISO 27001), como se ha gestado y sus componentes, para al final indicar cuales de nuestros productos pueden aportar algo a la política de Seguridad.
Con la juventud del ENS, asumo que muchos organismos estarán en las fases iniciales para su implantación y desconozco si ya hay organismos que tenga previsto realizar las auditorías en este año.
Un saludo
Rames
Os dejo la presentación que he realizado esta mañana en el evento conjunto con otros fabricantes de software de seguridad (en su término más amplio) sobre el Esquema Nacional de Seguridad (ENS), publicado en el Real Decreto 3/2010 el pasado 29 de Enero.
Hago un breve análisis del ENS (por cierto con muchas similitudes con la norma ISO 27001), como se ha gestado y sus componentes, para al final indicar cuales de nuestros productos pueden aportar algo a la política de Seguridad.
Con la juventud del ENS, asumo que muchos organismos estarán en las fases iniciales para su implantación y desconozco si ya hay organismos que tenga previsto realizar las auditorías en este año.
Un saludo
Rames
Suscribirse a:
Entradas (Atom)