Barrapunto

Que el sistema se va a romper, es un hecho, aunque no se cuando (lo que si es seguro es que hay más gente desprotegiendo que protegiendo, y la primera lo hace por gusto). Cuando esto ocurra, se culpará a los malvados, resentidos... o a la gente que no ha blindado su diseño lo suficiente

Que existan errores (en cualquier programa / aplicación) es normal. Nada es perfecto. Lo importante es que estos errores se localicen y se solucionen en un tiempo mínimo. Si además se habla de que este documento se puede utilizar para provar que fulanitodetal ha estado en tal sitio y ha hecho cual cosa, pues, todo ese oscurantismo que parece haber no me gusta. Se me ocurren un buen número de cosas "no buenas" y ademas, si al final lleva todos los datos habidos y por haber, el data-mining puede ser brutal

Aunque de todas formas, los politicos van a aprobar los que les salga de ... ¿Desde cuando les preocupa la gente de a pie? (y me es completamente indiferente de que políticos se hable, derecha, izquierda, centro, por arriba, desde abajo, dos pasos para la derecha uno hacia adelante y ...)

He estado echando una ojeada a las páginas. El enlace para mirar las características técnicas te lleva a un formulario [c3po.es] donde según dicen "El propósito de este formulario es recopilar información acerca del uso de la información técnica que ponemos a su disposición."
Pués van bien si piensan que así conseguiran algo. Precisamente un elemento criptográfico no debe tener problemas en ser "conocido", se supone que debe ser robusto, ¿o es que piensan hacer como Micro$oft y decir que si les rebientan el trasto es porqué hay "juaquers mu malos"?

Me avergüenza ver que no hay disponible la información técnica, ¿como se yo que esta gente me vende algo realmente seguro? Creo que deberian ponerla a disposición de todo el mundo. ¿Tal vez no se fían de sus desarrollos?

Sobre drivers, solo hay para Windows, pero dicen en las FAQ que puedes trabajar con "UNIX y otros sistemas", por medio de un puerto RS232. La información según dicen:"Téngase en cuenta que la documentación que acompaña el Kit de Desarrollo de los lectores de C3PO contiene la información completa de la comunicación a bajo nivel con los lectores, consistente en comandos expresados en formato hexadecimal para cada una de las funciones propias del lector."

Resumiento, para variar, huele a casposo, cutre y rebentado antes de nacer. Espero que no sea una cagada tan escandalosa como la de los dominios .es Que se quedaron a gusto los "genios" del gobierno...

Me he perdido y no entiendo las difernecias con respecto al certificado digital que te da la FNMT [cert.fnmt.es].

Por que con ese certificado fuedo firmar correos, auntentificarme en webs, etc. y con la garantia de una institucion nacional. Y encima no estoy atado ni a un hard ni a un soft especifico.

Vamos a buscar algo positivo al asunto, si se puede...

Creeis que hay alguna manera de que podamos utilizarlo para identificarnos en linux.

De manera que hagamos doble-click en la foto del GDM y luego metamos la tarjeta en el lector, y iniciemos la session, asi, sin mas, en plan peliculero...

¿hay algo de eso echo ya?

¿Esto tendra algo que ver con lo que quiero?PalmKey [sourceforge.net]

En USA ya utilizan lectores de banda magnetica en la puerta de los bares para comprobar que tienes 21 años (el carnet de conducir de alli, lleva banda magnetica, y su codificacion es standard a nivel nacional , aunque sea un documento estatal).

Claro que quien te dice que el del bar no hace una estadistica, pongamos que si fuiste a la fiestas con Drag-Queen , lo mismo acabas recibiendo publicidad de una revista Gay, o si fuiste a la de Whisky JB lo mismo recibes publicidad de bebidas de esta marca.

Esto se extendera, te pediran el DNI en cualquier sitio, pues de forma manual es pesado, pero pasarlo por un lector lleva segundos y no se necesita personal.

Entonces quien no enseñe el DNI no podra acceder a transportes, espectaculos, o incluso a su propio lugar de trabajo.

Quiza penseis que exagero , pero en USA no se puede comprar un billete de tren, avion o bus de largo recorrido, sin identificarte. Me direis que alli tienen la amenza de Alqueda, Pues aqui tenemos a ETA, la inmigracion ilegal, etc

Algunos enlaces interesantes:

http://freetotravel.org/
http://www.seattlepress.com/article-10148.html

Hace algún tiempo que me compré el famoso cryptokit. empecé a investigar un poco y encontré un proyecto muy interesante en linux: www.linuxnet.com Tienen una infraestructura de smart-card en linux bastante buena, tiene un módulo PKCS11 que se puede usar para que el MozillaMail firme los email con el cert. de la tarjeta, un módulo PAM para acceder al sistema, librerías de programaión, programas para encriptar, firmar, etc. Además tiene drivers para un montón de lectores, entre ellos el de C3PO.

Con respecto a la tarjeta, cumple los estandares ISO 7816-1-2-3 Que son los correspondientes a medidas, niveles eléctricos y cosas así. Vamos los cumple porque los chips los han comprado a ST Microelectronics y los fabrica así.

La tarjeta parece que es de las buenas, no es una simple memoria, sino que tiene un sistema micro-controlador bastante avanzado, con caracterísiticas especiales para criptografía. El problema es, que en ese micro-controlador hay un sistema operativo instalado que es con el que te tienes que comunicar tú para pedirle que haga las cosas que necesitas: verificar una firma, encriptar, validar un PIN, etc. Todo eso son comandos del SO. Hay un estandar para esos comandos el ISO 7816-4 Que es justo el que no soportan :( He intentado enviar algunos de éstos comandos y siempre responde con el mismo código de error.

Hay otro proyecto en linux para tarjetas que cumplen el PKCS15, que es un estandar que organiza el sistema de archivos de la tarjeta, para que la localización de cada certificado en la tarjeta sea facilmente localizable, parece ser que la tarjeta de la FNMT soporta éste estandar, el proyecto es: http://www.opensc.org/ parece que no es tan flexible como el de linuxnet.com pero tiene soporte para tarjetas PKCS15 y ISO 7816-4 así que si llegan a haber soportado este estandar la tarjeta podría haber funcionado directamente.

Decir también que llevo un par de semanas intentando que alguien en alguna de las direcciones que aparecen relacionadas con el cryptokit me diga qué protocolo han usado para comunicarme con la tarjeta y aún no me han contestado nada... Si alguien está en la misma situación puede ponerse en contacto conmigo en:

ieb arrob corecanarias.com a ver si se puede conseguir algo...

Esto no es un alegato a favor de la inseguridad.
Pero estoy seguro que cuando salieron las primeras tarjetas de crédito todo el mundo se echaba las manos a la cabeza.
Hace ya más de 50 años! [dinersclub.es]--Es un PDF--
Mejor guardar el dinero en un calcetín e irlo sacándolo por las mañanas antes de salir de casa.
Para avanzar hay que equivocarse.

No es contradictorio (aunque estemos acostumbrados a pensar que si ;-) hay bastante software de PKI que funciona sobre plataforma Windows (en la parte de servidor y como clientes).

Lo que seguramente te ha llamado la atencion es el "login seguro" en Windows. En realidad lo que se hace es cambiar la DLL (GINA creo que se llamaba) que lanza la ventana de "login" y "password" en Windows por una propia que lee la tarjeta criptografica, verifica que tu clave de acceso te permite desbloquear tu clave privada, y comprueba (contra un servidor de autenticacion) que tu certificado digital es valido y que estas autorizado para "hacer logon" en el sistema.

A mi lo que me ha llamado la atencion es que el Kit sea de la empresa C3PO, muy conocida en las universidades españolas por fabricar (¡en españa!) el unico kit de acceso a tarjetas inteligentes a precio razonable...

Creo recordar que la interfaz entre el lector y el SO era bastante sencilla, por lo que se podria adaptar sin problemas a Linux *BSD, etc... el que venga con controladores para Windows es claro: no hay un controlador estandar que te haga esa funcion y no puedes ignorar tampoco el parque instalado de PCs que son tus potenciales clientes.

De todos modos, se puede aprovechar que es una empresa Española para "camelarselos" y conseguir un controlador para Linux/BSD/etc... creo la informacion para hacerlo no seria dificil de conseguir (lo poco que he tratado con ellos me dio la impresion de que eran buena gente)

Umm ... se puede saber perfectamente lo que se está mandando a la tarjeta, es muy simple, para "entrar" en la tarjeta ha de pasar por "algún" sitio (lease lector, ergo driver que controla el lector) y por lo tanto se puede sacar una copia perfectamente de lo que se va a enviar a la tarjeta. Me explico...
 
-Yo entro en una web para hacer alguna gestión con mi certificado.
-Me avisan de que hay que firmar una información y el lector me pide el pin.
-Yo que uso SL, he modificado el driver del lector para que me muestre una pantalla con el contenido del mensaje a firmar, independientemente de lo que "vea" en la web del navegador.
 
Ya está .. evidentemente es mas complicado cuando estás en una terminal publica que no "implemente" este sistema ... pero se podría incorporar una enmienda a la ley que obligase a la incorporación de dicha funcionalidad.
Saludos

Creo que podría solucionarse exigiendo una copia del documento firmado en cada transación, igual que los resguardos que te dan cuando pagas con tarjeta.

Bueno, se me ocurre que podias firmar el pantallazo de tu ordenador en Bitmaps delimitado por alguna banda o así que el software reconociera. Si no cabe en una pantalla a 800x600 mínimo pues firmas varias (como se hace en le contratos normales, que se firman todas las hojas). Así, al ordenador remoto le mandas ya la firma directamente y no es el el encargado de hacer el proceso.

Claro, que esto es válido sólo en un entorno cliente-servidor en el que tu te fias del cliente (tu ordenador). Si te ponen una caja negra delante, ya no puedes fiarte pero eso ocurre actualmente con los cajeros automáticos también. Hay uno en Bilbao, de hecho, que me debe todavía 40 euros. Estoy en ello.

Si quisieran ya podrían pedirte el DNI en cualquier lado. No entiendo pq debe haber diferencias por ser digital o "el de siempre".
Y más fichados que estamos que por las tarjetas de debito/credito no creo que estemos (y las tarjetas si que son un sistema que se ha probado que es inseguro)