Importar certificados electrónicos en Microsoft Internet Explorer

Publicado el julio 15, 2011 por chemalogo

NOTA: Si eres usuario de la Firma Electrónica Avanzada (FEA o FIEL) del Servicio de Administración Tributaria (SAT) mexicano, quizá te interesa mirar primero cómo migrar los certificados y claves privadas a un formato estándar por dos razones:

  1. al pasarlo a formato estándar podrás usarlos en muchas más aplicaciones (por ejemplo, importarlos en Microsoft Internet Explorer)
  2. al pasar de dos ficheros a uno, te será más fácil manejarlos y hacer y controlar copias de seguridad (por lo que se ve e twitter esto es una las principales fuentes de problemas)

Requisitos

Tener un fichero con extensión .pfx o .p12, conocer la contraseña que lo protege (ya que estos ficheros siempre están protegidos por una contraseña o PIN) y tener un sistema operativo Microsoft (un Windows, vamos).

Este tutorial se ha realizaco con Microsoft Windows XP SP3.

Manos a la obra

Primero de todo, localizamos el fichero.pfx o .p12Hacer doble click sobre el fichero .pfx o .p12. Tenemos que hacer doble click sobre el fichero.

En la siguiente ventana, que nos informa de que comenzamos a usar el asistente para importar certificados, debemos pulsar “Siguiente”:

Asistente importación certificados electrónicos

Nos aparece una nueva venta en la que el nomben y ubicación del fichero ya están informados. Debemos pulsar “Siguiente”:

Asistente importación certificados - Nombre de fichero ya informado

ATENCIÓN: Este paso es muy importante pues empezamos a tomar decisiones sobre la seguridad con la que protegeremos el certificado y clave privada importados.

En el primer campo, debemos poner la contraseña que protege el fichero .pfx (ver Requisitos)

Asistente importación certificados - Contraseña y seguridad de la Kpr

Un par de decisiones y sus consecuencias:

¿Habilito protección segura de claves privadas o no?

Rotundamente sí. Si no lo habilitamos cualquier persona que se siente frente a nuestro ordenador y, lo que es peor, cualquier aplicación de nuestro ordenador (por ejemplo, un virus) podrían usar nuestra clave privada SIN QUE NOS ESTEREMOS O SE NOS MUESTRE MENSAJE ALGUNO.

¿Marco la clave privada como exportable?

Es recomendable NO marcarla como exportable, pero tener una copia de seguridad del fichero .pfx que estamos importando. Si tenemos esta copia de seguridad adecuadamente custodiada, tú y sólo tú podrás repetir este proceso. En cambio, si marcas la clave privada como exportable, una persona que se siente frente a tu ordenador, podría copiársela y luego utilizar tu clave privada en su casa, firmando cosas en tu nombre.

Y seguimos para bingo! Ahora nos da a elegir en qué almacén de certificados importarlo.Asistente de importación de certificados - Selección almacén de certificados Dejamos seleccionado que lo elija automáticamente y pulsamos “Siguiente”.

Finalmente nos aparece una pantalla para confirmar las selecciones que hemos realizado hasta el momento. Debemos pulsar “Finalizar”.

¿Finalmente? … ¡pues claro que no!

Si hemos elegido (tal y como recomiendo encarecidamente) “Habilitar protección segura de claves privadas …”, ahora configuraremos esa seguridad.

La penúltima decisión (o la última)

Por defecto, Microsoft nos asigna un nivel de seguridad “Medio” (ver ventana en segundo plano).

Asistente de importación de certificados - Escoger nivel de seguridad

En este momento podemos pulsar “Aceptar” y ya habremos acabado con la importación y tendremos protegida nuestra clave privada con un nivel de seguridad “Medio”.

Asistente de importación de certificados - Fin

¿Qué implica el nivel de seguridad “Medio”?Asistente de importación de certificados - Aviso uso clave privada nivel medio

El nivel de seguridad “Medio” implica que cuando una aplicación quiere hacer uso de nuestra clave privada, Windows nos muestra una ventana  indicándonos este hecho y pidiendo que aceptemos o cancelemos.

Esto nos protege frente a aplicaciones maliciosas que quieran usar nuestra clave privada sin nuestro consentimiento, pero no nos protege si alguien se sienta frente a nuestro ordenados y quiere usar nuestra clave privada para firmar algo en nuestro nombre.

Yo soy una persona que valora la seguridad y quiero configurar el nivel “Alto”

Más arriba, en “La penúltima decisión (o la última)“, si en vez de pulsar “Aceptar”, pulsamos “Nivel de seguridad” aparece la ventana que en la imagen de más abajo se ve en primer plano, donde podemos escoger entre el nivel “Alto” y el “Medio”.

Asistente de importación de certificados - Escoger nivel de seguridad

Si escogemos “Alto” (seleccionar “Alto” y pulsar “Siguiente”), se abrirá una nueva ventana. En esta ventana podemos darle un nombre al certificado para identificarlo fácilmente (nombre que se mostrará cuando alguna aplicación quiera utilizarlo) y debemos escoger una contraseña (la que queramos.)

Asistente de importación de certificados - Protección Clave privada nivel alto

Cada vez que queramos firmar, o cada vez que una aplicación quiera acceder a nuestra clave privada, se nos pedirá esta contraseña, mediante una ventana como la siguiente:

Asistente de importación de certificados - Peticion contraseña para uso Clave privada

¡Y ya tenemos perfectamente importado nuestro certificado y clave privada en el almacén de certificados de nuestro Windows!

Publicado en Usos de la firma electrónica | Etiquetado , , , | Deja un comentario

¿Por qué firma digital de PDF?

Publicado el julio 14, 2011 por rdeblas

Firma digital de PDFSon muchos los formatos en los que podemos crear un documento digital. Disponemos de todo tipo de herramientas, diseñadas para crear los contenidos que queramos generar.

Por ejemplo, si hablamos de ofimática, nos encontramos principalmente con aplicaciones de edición de texto, presentaciones, hojas de cálculo, o bases de datos y sus correspondientes informes. En este campo destacan MS Office, u Openoffice. Tan solo tomando estos dos ejemplos y sus posibles formatos de salida, ya obtenemos más de 10 formatos de salida diferentes (algunos ejemplos son doc, docx, xls, cvs, ppt, odt,…)

La herramientas ofimáticas, son las de uso más corriente. Sin embargo, otras personas también usan herramientas de edición gráfica. En este campo, también hay mútiples posibilidades. Tenemos aplicaciones de edición de mapa de bits, vectoriales, y además muchas alternativas en cuanto a formatos de salida. Algunos ejemplos de estas aplicaciones son Photoshop, Freehand, Illustrator o Autocad.

Además, muchos sectores y usos, requieren sus propias aplicaciones, y todas ellas tienen sus propios formatos de salida. Muchos de ellos están hechos a medida, con lo que la estandarización es inviable.

En este contexto, ¿es conveniente que los sistemas de firma digital, gestionen de forma diferente la aplicación de la firma para cada formato de documento? Abordar una aproximación de estas características implica un gran esfuerzo de desarrollo, y otro todavía mayor de mantenimiento.

Otro aspecto a considerar es la compatibilidad de las nuevas tecnologías con las tecnologías tradicionales. La firma en papel no genera un conflicto de formatos. Los únicos formatos posibles son el del papel y la tinta. Si generamos un documento digital para obtener una firma en papel, el último paso antes de la firma será la impresión del documento, es decir una instáncia no editable del mismo.

Cuando alguien quiere generar una instancia no editable de un documento sin abandonar el formato digital, convierte el documento a formato PDF. Es lo más parecido a la impresión del documento. Por eso, muchas herramientas de conversión a PDF basan su interfaz de usuario en la instalación de una impresora virtual. El mercado ofrece muchas herramientas gratuitas de conversión a PDF a través de impresora virtual. Estas son algunas: PDF Creator, Bullzip PDF Printer, doPDF, CutePDF, Virtual ImagePrinter o Primo PDF.

La siguiente lista resume algunas de las ventajas de recoger los documentos firmados digitalmente, en formato PDF.

  • Cualquier formato documento de digital, puede “imprimirse” en un documento PDF
  • Es un formato de uso extendido, con el que la gente está familiarizada
  • Existen herramientas de visualización gratuitas, como Adobe Reader
  • Estas herramientas, también permiten validar las firmas digitales contenidas
  • También ofrece mecanismos para incrustar muestras visualizables en el documento de las firmas digitales contenidas, para que se pueda reconocer que se han firmado digitalmente tras ser impresos
  • La firma electrónica de un documento PDF, usando un certificado digital reconocido tiene el mismo valor legal que la firma manuscrita
  • Sus prestaciones le dan la mejor compatibildad con la experiencia de firma tradicional, aspecto clave para garantizar el éxito de cualquier proceso de cambio tecnológico

isigma ofrece dos opciones para la firma digital de PDF.

  • ClickSign es una herramienta gratuita que se instala en local y permite firmar PDF
  • PortaSigma es una herramienta web, que no requiere instalación. Además de la firma digital de los documentos PDF, permite compartir esos documentos para recoger la firma digital de otras personas. Permite varias pruebas gratuitas

Si te ha gustado esta entrada, me harás un gran favor si la compartes usando cualquiera de los botones de debajo. ¡Muchas gracias!

Publicado en Firma digital de PDF | Etiquetado , , , , , , , , | Deja un comentario

isigma patrocinador del VII congreso de Joves Advocats de Catalunya (JAC)

Publicado el julio 4, 2011 por rdeblas

isigma fue uno de los patrocinadores del VII congreso de Joves Advocats de Catalunya (JAC), llevado a cabo los días 1, 2 y 3 de julio en Mataró, Bacelona. En el congreso, se trató el uso de las nuevas tecnologías en derecho.

Los casi 100 asistentes recibieron un lector de tarjetas Zhen, por cortesía de isigma, compatible con las tarjetas de ACA, y con el DNI electrónico, entre otras tarjetas con certificado digital.

Como no podía ser de otra manera, en el evento isigma trató las posibilidades de la firma electrónica en abogacía. Actualmente, los abogados que poseen certificado digital, ya pueden realizar algunos trámites con certificado a través de RedAbogacía y con las Administraciones Públicas como personas físicas. Sin embargo, hay un aspecto que se está descuidando y es que ya son más de 23 millones de ciudadanos, los que poseen DNI electrónico. Con ellos, los ciudadanos ya están en disposición de firmar documentos a distancia, con total validez legal, tal como se recoge en la Ley 59/2003, de firma electrónica. A pesar de ello, casi nadie está ofreciendo a estos ciudadanos la posibilidad de firmar documentos con su DNI electrónico.

Sin duda, un abogado que pueda ofrecer a sus clientes la posibilidad de firmar documentos a distancia, estará mejorando el nivel de servicio. Es cierto que muchos ciudadanos, aun teniendo un DNI electrónico, no estarán preparados para firmar porque no tendrán un lector de tarjetas, o no conocerán el PIN. Pero muchos otros sí. Que todo el mundo esté preparado es una cuestión de tiempo.

Un abogado ya puede enviar a sus clientes peticiones de firma de cualquier documento en formato PDF, usando PortaSigma. Firma de contratos, autorizaciones, o cualquier otro tipo de documento, puede convertirse a PDF y enviarse a firmar a través de PortaSigma. Con ello, resolverá sus trámites de forma más rápida y eficiente, ahorrará papel, y mejorará su nivel de servicio.

En el marco de la colaboración con el JAC, isigma ofrece un descuento del 10% por la suscripción de sus miembros a cualquiera de los planes de uso de PortaSigma.

La tecnología existe, y la regulación legal también. Ahora cabe esperar que desde un sector clave como el de la abogacía, se apueste por una gestión más eficiente, y pueda transmitirse a los ciudadanos la confianza y las herramientas necesarias, para que puedan usar su DNI electrónico también como herramienta de firma de documentos.

Si te ha gustado esta entrada, me harás un gran favor si la compartes usando cualquiera de los botones de debajo. ¡Muchas gracias!

Publicado en DNI electrónico, Eventos relacionados con la firma digital, Usos prácticos del DNIe | Deja un comentario

Declaración del IVA usando el DNI electrónico

Publicado el junio 15, 2011 por rdeblas

Declaración de IVA con el DNI-eEl DNI electrónico, tiene como propósito minimizar el tiempo destinado a la ejecución de trámites administrativos. Cuando hablamos de perfiles profesionales, el tiempo es una variable especialmente relevante. Un profesional autónomo por ejemplo, necesitará destinar el mayor tiempo posible a sus tareas productivas, por lo que todo el que tenga que dedicar a tareas administrativas tendrá un coste. Esto sucederá tanto si se encarga personalmente del trámite, como si decide subcontratárselo a una gestoría.

Entre los trámites que pueden completarse por internet usando el DNI electrónico, encontramos la declaración de IVA. Esto significa que un profesional autónomo que tenga un ordenador con lector de tarjetas, y un DNI electrónico, podrá completar el trámite de presentación de IVA desde su casa por internet.

¿Cómo?

Desde el portal de la Agencia Estatal de Administración Tributaria accede al menú Empresas y profesionales, desde donde podrás tramitar el IVA en función de tus características.

No necesitas identificarte para informarte o descargar formularios, pero sí para tramitar el pago del IVA. Hazlo mediante DNI electrónico u otro certificado electrónico, o claves en tres pasos: cálculo de las cuotas a ingresar, pago telemático si procede y presentación de la declaración del IVA donde se recoge el número de comprobante de pago.

El proceso es el mismo que en una declaración de IVA tradicional. La única diferencia es que gracias al DNI electrónico, es posible firmar la declaración a distancia, evitando colas y desplazamientos. En definitiva, un tiempo valioso.

Publicado en DNI electrónico, Usos prácticos del DNIe | Deja un comentario

Perfiles de certificado digital de la Ley 11/2007

Publicado el junio 3, 2011 por chemalogo

dolor de cabezaLos dolores de cabeza que ha traido a los Prestadores de Servicios de Certificación (PSC) adecuarse a los perfiles de los tipos de certificados definidos en la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (L11/2007) han acabado con las existencias de analgésicos de los botiquines de las empresas.

En concreto me refiero a los perfiles definidos en el Esquema de identificación y firma electrónica de las Administraciones públicas Bloque I: Perfiles de certificados electrónicos, que define los perfiles de los certificados anteriores, documento cuyas modificaciones respecto a su versión anterior ya hablamos en el pasado.

Vaya por delante que este documento seguro que se ha desarrollado con la mejor voluntad, buscando el máximo consenso y el mínimo impacto entre los diferentes actores del mercado, y también que cada decisión tiene detrás horas de diseño y una clara justificación. No obstante, por no haber participado en la definición de estos perfiles, se me escapa qué razonamiento hay detrás de determinadas decisiones.

Uso de las extensiones qcStatements

Los tipos de certificados identificados en la L11/2007 son:

  1. Sede electrónica
  2. Sello electrónica
  3. Personal al servicio de la administración pública

Sólo el tercero es claramente de persona física, el primero no contiene ningún dato de carácter personal y en el segundo es opcional. Entonces, ¿cómo puede ser que sean obligatorias las extensiones qcStatments, reservadas para certificados reconocidos, si un certificado reconocido debe contener, según interpretación del Ministerio de Indústria, Turimos y Comercio (MITyC) de la LFE, SIEMPRE, la identificación de la persona física con su nombre, apellidos y NIF?

Para mi se trata de una incongruencia y se le da mal uso a unas extensiones cuyo uso era bastante claro hasta el momento.

Identidad Administrativa

Duplicación de información

Son una serie de OIDs privados, que en el caso de los certificados de personal al servicio de la administración pública (de empleado público) son la friolera de once (11), a saber:ristra pimientos

  1. OID: 2.16.724.1.3.5.3.2.1 = “certificado electrónico de empleado público”
  2. OID: 2.16.724.1.3.5.3.2.2 = <O del DN>
  3. OID: 2.16.724.1.3.5.3.2.3 = <CIF de la entidad suscriptora>
  4. OID: 2.16.724.1.3.5.3.2.4 = <serialNumber del DN>
  5. OID: 2.16.724.1.3.5.3.2.5 = Número de identificación del suscriptor del certificado (supuestamente unívoco). Se corresponde con el NRP o NIP. (tercera entrada <OU del DN>)
  6. OID: 2.16.724.1.3.5.3.2.6 = <Given name>
  7. OID: 2.16.724.1.3.5.3.2.7 = <Primer apellido del empleado público>
  8. OID: 2.16.724.1.3.5.3.2.8 = <Segundo apellido del empleado público>
  9. OID: 2.16.724.1.3.5.3.2.9 = <correo electrónico del empleado público>
  10. OID: 2.16.724.1.3.5.3.2.10 = Unidad, dentro de la Administración, en la que está incluida el suscriptor del certificado (segunda entrada <OU del DN>)
  11. OID: 2.16.724.1.3.5.3.2.11 = <T del DN>

Como puede verse en la lista comparativa anterior, toda la información que contienen estos campos ya se encuentran en otros campos del certificado. Es verdad que, por ejemplo, poner el NRP o NIP como una tercera entrada de OU del DN es, si no pervertir, retorcer el propósito inicial del campo OU, pero en general, el resto de información está bien colocada en campos estándares, sin necesidad de duplicarla

Numeración de los OIDs

lío en el certificado electrónicoOtra cosa que me llama la atención es la numeración de estos OIDs. Los seis (6) primeros campos son comunes (2.16.724.1.3.5.), y luego se usan tres posiciones más (m.n.o), que indican lo siguiente:

  • m: 1 – sede electrónica, 2 – sello electrónico, 3 – empleado público
  • n: 1 – nivel alto, 2 – nivel medio (cuando sólo hay dos niveles, ¿porqué se le llama a uno alto y a otro medio?, ¿no es “medio” un eufemismo en esta situación?
  • o: 1..5 para sede electrónica, 1..9 en el caso de certificados de sello electrónico, 1..11 para los certificados de empleado público. Estos campos contienen la información redundante de la que hablábamos más arriba.

Esto nos lleva a manejar 5 (campos privados de sede)x2 (niveles) + 9×2 +11×2 = 50 OIDs privados. Esta es la realidad.

El otro extremo

Si nos ponemos ahorradores, manteniendo la interoperabilidad y sin pervertir campos estándares, sólo serían necesarios dos (2) campos adicionales, por ejemplo:

  1. OID: 2.16.724.1.3.5.3.1, con valores: 1 – sede nivel alto, 2 – sede nivel “medio”, 3 – sello nivel alto, 4 – sello nivel “medio”, 5 – empleado público nivel alto, 6 – empleado público nivel “medio”
  2. OID: 2.16.724.1.3.5.3.2, conteniendo el el NRP o NIP

Una alternativa menos ahorradora y que facilita más la interoperabilidad sería añadir un par de campos más:

  1. OID: 2.16.724.1.3.5.3.3, CIF de la entidad
  2. OID: 2.16.724.1.3.5.3.4, NIF de la persona física cuando proceda

En resumen, pienso que estos perfiles podían haber sido más sencillos y adherirse mejor a los estándares de uso de los campos de un certificado X.509v3.

Comments are welcome.

Publicado en Legislación, normas y estándares de la firma digital | Etiquetado , , | Deja un comentario

La mayoría de aplicaciones para certificados digitales, sólo reconocen el DNIe y los de la FNMT, y funcionan únicamente con Internet Explorer

Publicado el mayo 27, 2011 por admin

La parte electrónica del DNI electrónico, se diseñó para permitir a sus propietarios autenticarse en el acceso a aplicaciones informáticas, o firmar electrónicamente cualquier documento.

Además del DNI electrónico, otros certificados digitales permiten autenticarse en aplicaciones y firmar documentos con la misma validez que provee el DNI electrónico. En la web del Ministerio de Industria Turismo y Comercio (Mityc), puede verse una relación de los Prestadores de Servicios de Certificación reconocidos en España, así como las categorías de servicio que ofrecen.

Cuando hablamos de “Autenticarse”, nos referimos a mostrar nuestras credenciales de identidad, de modo que el sistema de gestión de privilegios de la aplicación pueda determinar si tenemos derecho a acceder.

En cuanto a la firma electrónica, se refiere a poder firmar documentos digitales a distancia, con el mismo soporte legal que la firma manuscrita, pero evitando colas, desplazamientos, esperas tediosas, o acumulo de papeles.

Cada vez son más los servicios disponibles para certificados digitales, aunque en la mayoría de los casos atienden a su uso como herramienta de autenticación, pero no de firma electrónica. Administración y Banca andan a la cabeza, en el despliegue de portales que permiten autenticarse usando Certificado Digital. En el caso de banca, se usa para acceder a los sistemas de “Home Banking”, y en el caso de Administración, para acceder a los entornos donde se pueden llevar a cabo los trámites, o consultar datos personales.

En el caso de su uso como herramienta de firma electrónica, la Administración es quien más trámites ha habilitado, probablemente apremiada por la obligatoriedad de cumplir con la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.

Casi todos los servicios disponibles se despliegan a través de web. Analizando una muestra relevante de estos servicios, hemos detectado que en la mayoría de ellos, atienden tan solo a usuarios de Internet Explorer, y reconocen únicamente el DNI electrónico, y el certificado digital de la FNMT (popularmente conocido como “El de Hacienda”, al distribuirse desde las delegaciones de la AEAT).

En lo que se refiere a la compatibilidad con los navegadores, tan solo hay que echar un vistazo a las tendencias estadísticas en el último año, para averiguar que esta no es una estrategia que contribuya a estimular su uso.

Analizando datos entre abril del año pasado y abril de este año, vemos lo siguiente:

  • Los usuarios de Internet Explorer decrecen rápidamente (a pesar de un extraño repunte en España entre marzo y abril)
  • Los usuarios de Firefox decrecen más lentamente
  • Los usuarios de Chrome crecen rápidamente

Esta gráfica muestra la tendencia a nivel mundial:

Source: StatCounter Global Stats – Browser Market Share


Y esta otra en España:

Source: StatCounter Global Stats – Browser Market Share


Este hecho puede condicionar el éxito de los servicios desplegados, pero al fin y al cabo es una cuestión de responsabilidad del propietario del servicio, que deberá decidir si abrir el abanico de Navegadores desde los que se puede acceder al servicio, es una inversión rentable.

Sin embargo, si entramos a analizar el reconocimiento de los certificados digitales, el tema es más peliagudo. El peaje que debe pagar un Prestador de Servicios de Certificación para llegar a ser reconocido, es demasiado duro como para que a la hora de la verdad, los servicios no reconozcan los certificados que emite. En el caso de servicios públicos, gracias a la plataforma @firma, esta carencia se está subsanando, aunque siguen existiendo muchas excepciones. Sin embargo en el caso de la mayoría de servicios privados, los únicos certificados digitales reconocidos siguen siendo los del DNIe, y los emitidos por la FNMT.

¿Para qué ha servido definir todo un sistema de reconocimiento de Prestadores de Servicios de Certificación, con las dificultades de adecuación que conlleva, si a la hora de la verdad las aplicaciones solo dan servicio al DNI electrónico, y los certificados digitales de la FNMT ? Me pongo en el pellejo del resto de Prestadores de Servicios de Certificación Españoles, y no deben estar especialmente satisfechos con este dato. Esto les obliga a poner recursos dedicados a analizar los servicios disponibles en el mercado, y negociar de forma recurrente el reconocimiento de sus certificados.

En isigma, hemos lanzado dos productos cuyo propósito es facilitar la integración de un sistema de autenticación, o firma de documentos.

Ambas soluciones, están diseñadas para ser independientes del navegador web utilizado, y reconocen casi todos los certificados digitales españoles, y muchos internacionales. Además, incorporar nuevos certificados es un proceso sencillo, que con el apoyo del prestador de servicios de certificación no debe extenderse a más de una semana. Si algún prestador lee esta entrada, y no localiza alguno de sus certificados digitales, le invitamos a contactar con nosotros.

¿Te ha gustado esta entrada? Si es así, haznos un favor y compártela en tus redes sociales, utilizando los controles de más abajo.

Publicado en Legislación, normas y estándares de la firma digital, Usos de la firma electrónica | Etiquetado , , , , , , | Deja un comentario

Certificados digitales en los navegadores, @firma y PSIS. ¿Ya funciona todo?

Publicado el mayo 20, 2011 por chemalogo

Apiadémonos de los Prestadores de Servicios de Certificación porque nunca son suficientemente valorados sus esfuerzos. Son los típicos esfuerzos que, si los haces, pasan desapercibidos y si no los haces, te llueven las … críticas.

En su día, comentamos lo que cuesta que los grandes desarrolladores de navegadores “precargasen” los certificados de los Prestadores de Servicios de Certificación.

Esto resuelve parte de los problemas.

Además, los prestadores tienen que realizar todas las gestiones para que sus diferentes políticas de certificados (tipos o clases de certificado) sean aceptadas (cargadas) por las plataformas de validación de las diferentes administraciones públicas (básicamente @firma y PSIS), que no son pocas.

Total, que se hacen los esfuerzos para cargar los certificados en los principales navegadores y las políticas en la principales plataformas de validación y uno (el prestador) se espera que ya todo funcione.

Pero no es asíimagen SSL

Y no es así porque existe un protocolo llamado TLS (anteriormente SSL versión 3), que permite autenticación de cliente basada en certificados digitales.

¿Y con qué certificados me puedo autenticar en una determinada web?

¿Con los que emiten los prestadores cuyos certificados tiene precargados el navegador? No es condición suficiente. ¿Con las políticas aceptadas en @firma o PSIS (suponiendo que sea la web de una Administración Pública)? En absoluto, en esta autenticación todavía no se ha consultado a la plataforma de validación. Entonces, ¿con qué certificados se puede uno autenticar? Simplificando, con aquéllos emitidos por los prestadores cuyos certificados tenga cargados como Autoridades de Certificación de Confianza EL SERVIDOR WEB que presenta la página a la que estamos accediendo.

¿Qué implica esto?

Que los prestadores tienen que ir web por web de las distintas administraciones públicas identificado al responsable del servidor web y enviándole los certificados para que los “precargue” en el servidor web.

Si hay una renovación de un certificado de la jerarquía, empieza de nuevo (bueno, al responsable del servidor web ya lo tienes identificado en el 80% de los casos) para que en TODOS los servidores web de las distintas administraciones públicas se precargue el nuevo certificado.

autenticación web¿Alguna alternativa?

Lo bueno de este tipo de autenticación (TLS o SSLv3) es que es sencilla de implantar (para el responsable del servidor web.) Los principales servidores web tienen herramientas que hacen que aceptar a un determinado prestador sea sencillo. Pero, como hemos visto, esto vuelve locos a los prestadores de servicios de certificación.

Aprovechando que existen unas plataformas de validación disponibles para las Administraciones públicas, quizá se podría cambiar el mecanismo de autenticación de la siguiente manera (de nuevo simplificando):

  1. Un usuario accede a la web que requiere autenticación.
  2. La web, consulta a la plataforma de validación pertinente…
  3. … que le devuelve una lista con las políticas de certificado admitidas para autenticarse (considérese el caching para evitar sobrecargar la red).
  4. La web, basándose en esta lista, muestra al usuario cuáles de sus certificados (del usuario) concuerdan con la lista.
  5. El usuario escoge un certificado y se autentica.

Esto implica algo más de trabajo para los responsables del servidor web de la administración (¡¡pero sólo una vez!!, ¡¡no cada vez que el prestador renueva o emite un certificado de la jerarquía!); sin embargo, da mucho más valor a las plataformas de validación, ahorra muchísimo trabajo a los prestadores de servicios de certificación (en la actualidad y en el futuro)

Esta “alternativa conceptual” de mecanismo de autenticación podría formar parte del Esquema Nacional de Interoperabilidad – ENI (o quizá del ENS – Esquema Nacional de Seguridad) , con lo que sería de obligado cumplimiento para las Administraciones Públicas, los prestadores no tendrían que preguntarse administración por administración qué hacer para que los ciudadanos nos podamos autenticar con sus certificados y la e-Administración sería más cercana y sencilla de usar para los ciudadanos, que es uno de los fines últimos de todo esto.

Y si aún se quiere un mecanismo más sencillo, se puede utilizar la pasarela de autenticación de isigma. Si quieres saber si podrías autenticarte con tu certificado, puedes ver los prestadores de servicios de certificación admitidos hasta el momento. Si no encuentras el tuyo, no dudes en hacérnoslo saber.

Si te ha gustado mi entrada, hazme un favor y compártela con más gente en tus redes sociales habituales usando los controles de más abajo.

Publicado en Legislación, normas y estándares de la firma digital | Etiquetado , , , , , , , , | 3 comentarios

¡Nuevas y mejores prestaciones en PortaSigma!

Publicado el mayo 16, 2011 por rdeblas

Siguiendo tus consejos, hemos incorporado a PortaSigma las prestaciones que llevabas tiempo esperando, para mejorar tu experiencia de usuario.

Tómate un minuto para probarlo gratis. No te arrepentirás

Mecanismo de firma ágil

Firma electrónica online¿Sólo quieres firmar un documento? Ahora puedes subir un documento y firmarlo directamente, sin necesidad de abrir un trámite de firma.
¡Entra a firmar ahora mismo! »

Fecha límite para firmar

Sistema de fecha límite para firma electrónica Además, ahora podrás ponerle fecha límite a tus trámites de firma, para asegurarte que todas las peticiones se firman a tiempo.
Descubre cómo poner plazo a tus trámites de firma digital »

Asegúrate de que las firmas se llevan a cabo en el orden que quieras

La firma electrónica en workflows¿Tu workflow de firma tiene un orden? Ahora puedes definir el orden de los firmantes, y PortaSigma controlará que el proceso se lleve a cabo según la secuencia establecida.
Descubre cómo ordenar las peticiones de firma »

Únete a la comunidad PortaSigma ahora y disfruta los beneficios de la firma electrónica.

Publicado en Software de firma digital | Deja un comentario

DNI electrónico en los móviles

Publicado el mayo 13, 2011 por rdeblas

Llevo tiempo leyendo noticias sobre la posibilidad de introducir el DNI electrónico en el móvil, y finalmente me he decidido a exponer mi punto de vista al respecto.

El DNI electrónico en los móviles

¿Es una solución adecuada?

Yo creo que si, y estas son mis razones:

  • El móvil es una herramienta ampliamente difundida entre los ciudadanos
  • Salvo algunas excepciones minoritarias, su uso es personal
  • El usuario de móvil lo percibe como algo valioso. Es celoso de compartirlo, y eso facilita la aplicación de procedimientos de seguridad
  • Las prestaciones de los móviles tienen cada vez menos que envidiar a las de un ordenador
  • La tecnología utilizada en el chip del DNIe y el de los SIM de los móviles, es equivalente
  • Los usuarios de móviles están muy abiertos a la descarga de aplicaciones (gratis y de pago)

¿Qué dificultades plantea?

A pesar de que el móvil reúne todas las condiciones, la puesta en práctica de la solución presenta algunas dificultades:

  • El DNIe no se ha diseñado como un instrumento independiente de la tecnología. Está vinculado a la tarjeta criptográfica en la que se distribuye
  • El principio de seguridad del DNIe, se basa en el hecho de que la clave privada con la que se llevan a cabo las operaciones criptográficas, se genera en el DNIe y nunca lo abandona
  • Esta clave privada es esencial para el uso del DNIe para operaciones de autenticación y de firma electrónica
  • Como consecuencia de los puntos anteriores, la gran barrera radica en cómo proyectar la clave privada del DNIe hacia otro dispositivo como el móvil.
  • Además, el móvil es un instrumento muy expuesto a robo a pérdida. La transcendencia de la pérdida en caso de contener un DNIe, sería más grave que ahora

¿Qué soluciones se barajan?

Hay dos grandes aproximaciones a la solución:

  1. Generar un certificado digital reconocido online, previa identificación con el DNIe.
  2. Distribuir el DNIe directamente en el móvil

Desde el punto de vista de la seguridad, respaldo totalmente ambas soluciones. Sin embargo considero que la clave no está en la seguridad, sino en la capacidad divulgativa, y eso me lleva a la siguiente pregunta.

¿A quién queremos dirigir la solución?

Si un usuario experimentado de DNI electrónico, quiere aprovechar las prestaciones del DNIe en movilidad, la primera solución es perfecta. Hay muchas maneras de resolverlo (no quiero entrar en este detalle ahora). En esencia, el usuario acabará utilizando una aplicación que conecte de forma segura el DNIe del usuario, el Prestador de Servicios de Certificación (PSC), y su dispositivo móvil , para acabar generando un par de claves y un certificado digital en el SIM del móvil.

Con esto, el usuario ya podrá usar este certificado para identificarse en una web, o firmar documentos y transacciones con el móvil. De este modo, habremos conseguido ofrecerle un nuevo servicio a alguien que ya usaba el DNIe. No quiero restar valor a esta solución, tan solo dejar constancia de que con ella no lograremos el deseado efecto divulgativo que queremos para el DNIe. Hay que reflexionar sobre el hecho de que una de las barreras que impiden el uso del DNIe, es la “puesta a punto” de los componentes necesarios. Alguien en disposición de acceder a esta solución, ya habrá superado esta barrera.

Tal como yo lo veo, los dispositivos móviles son algo más que un instrumento alternativo.  Sus prestaciones naturales le otorgan una capacidad divulgativa que ahora mismo no tiene el PC tradicional. No olvidemos que a día de hoy, la mayoría de PC no están dotados de lector de tarjetas (a pesar de los esfuerzos de la administración). Por eso, abogo por la segunda solución: distribuir el DNIe en un dispositivo móvil.

En móviles con prestaciones avanzadas y conexión a internet, podremos realizar directamente trámites online. Pero incluso en el caso de móviles con menos prestaciones, podremos conectarlos a un PC via USB o Bluetooth, para operar a través del ordenador.

En definitiva, un usuario que transporte su DNIe en su smartphone, estará un poco más cerca de usarlo que uno que lo transporte en su cartera.

¿Es viable la segunda solución?

Desde luego. De hecho es la aproximación que se ha llevado a cabo en Austria, donde existe un perfil para SmartCard, y otro para dispositivos móviles.  Allí el concepto de tarjeta de ciudadano es tecnológicamente neutral.

Del mismo modo que se entrega en su distribución en SmartCard, la generación de claves y certificados del DNIe para móvil, debería llevarse a cabo en la misma oficina de expedición.

Los datos se crearían en el SIM, por lo que durante todo el periodo de validez, podría sobrevivir a varias renovaciones de móvil.

En caso de pérdida, debería revocarse el certificado digital, del mismo modo que si perdemos el DNIe en Smartcard.

El inconveniente es que el despliegue de esta solución solo está en manos de la administración, y a pesar del indiscutible afán divulgativo, esta no parece ser una opción sobre la mesa.

Llevar a cabo este proyecto tiene más dificultades administrativas que técnicas, ya que involucra a un actor adicional, que es el de los operadores de telefonía. En una entrada anterior ya reflexionábamos sobre esto. Sin embargo, tanto la administración como los operadores, tienen razones suficientes para estar interesados:

  • La administración podría beneficiarse del mencionado efecto divulgativo, aunque como ya he dicho en otras ocasiones, debería ir acompañado de aplicaciones que aportaran valor a los usuarios
  • Adicionalmente, se reducirían las necesidades de infraestructura, ya que para los usuarios que optaran por distribución en móvil, no haría falta entregar un DNI con chip. Como ya he dicho con el móvil podría operarse tanto a través del mismo dispositivo, como conectado con un PC. En este segundo caso, tampoco haría falta un lector
  • Los operadores deberían estar satisfechos de poder ofrecer nuevos servicios a los usuarios, ya que podrían sacar tajada.  No debería ser un problema que se adhirieran a la iniciativa

En caso de que los operadores plantearan dificultades para un eventual acuerdo, se podría plantear una distribución alternativa en Micro SD criptográfica. Este es un interfaz que tienen la mayoría de móviles salvo el iPhone.

Conclusiones

  • Podemos asumir que con la gran cantidad de excelentes profesionales que alberga este país, la seguridad de cualquier solución está garantizada
  • Para mi, la aproximación adecuada es que la administración cree un perfil de DNIe para Smartphone, igual que han hecho en Austria (Solución 2)
  • Hasta que la administración no se decida a llevar a cabo esta iniciativa, la única solución posible es identificarse online con el DNIe para obtener un certificado digital para el móvil (Solución 1)
  • Esta solución será adecuada para ofrecer a los usuarios del DNIe nuevos servicios, pero como hemos visto, no ofrece ningún valor divulgativo

Si te ha gustado mi entrada, hazme un favor y compártela con más gente en tus redes sociales habituales usando los controles de más abajo.

Publicado en DNI electrónico, Firma electrónica móvil | Etiquetado , , , , | 2 comentarios

Solicitud de prestaciones por internet con el DNI electrónico

Publicado el mayo 6, 2011 por rdeblas

Entre los múltiples usos del DNI electrónico, nos encontramos con el de solicitud de prestaciones, a través de Redtrabaj@.

Pueden tramitarse solicitudes de prestación contributiva, subsidio por desempleo, renta activa de inserción, abono acumulado y anticipado para extranjeros no comunitarios, pago único de la prestación por desempleo, y ayuda suplementaria RAI para víctimas de violencia de género. Todo ello puede realizarse a través del siguiente enlace.

Todos estos trámites pueden llevarse a cabo firmando con el DNI electrónico, evitándonos los desplazamientos y colas de los que siempre hemos renegado. En estos tiempos que corren, ahorrar tiempo y dinero, es más importante que nunca.

En caso de dudas acerca de los pasos necesarios para estar en disposición de usar el DNI electrónico, recomendamos consultar esta otra entrada.

Si te ha gustado mi entrada, hazme un favor y compártela con más gente en tus redes sociales habituales usando los controles de más abajo.

Publicado en Usos prácticos del DNIe | Etiquetado , , , , , | Deja un comentario