Archivado en Noticias, Gobierno y Leyes, Seguridad

MISIÓN IMPOSIBLE DNI 3.0 en Linux.


Los usuarios de Linux que usábamos el DNIe habíamos hasta hace poco confiado en el modulo criptográfico proporcionado por OpenSC y que es usado por todas las distribuciones en sus gestores de paquetes. Ciertamente existe un modulo de código propietario proporcionado en la página oficial del DNI pero este sólo da soporte para unas pocas versiones de linux muy concretas. En teoría sería posible compilar esas fuentes para otras distribuciones, pero citando textualmente las palabras de Ricky (desarrollador de la implementación de DNI en OpenSC) "es completamente imposible compilar esas putas fuentes en Linux, chicos de la FNMT, estoy seguro de que podéis hacer un trabajo mejor".




Con la llegada del DNI 3.0 OpenSC no funcionaba debido a los cambios técnicos llevados a cabo en la tarjeta y esto obligó a crear un nuevo desarrollo por parte de Ricky, el cual aparecerá en la nueva versión de OpenSC 0.17. Es importante señalar que según sus propias palabras ha tenido que aplicar un rodeo en el código debido a la existencia de una implementación extravagante del DNIe .

Si bien ahora ya es posible usar el DNI 3.0 bajando la rama master de OpensSC de su página oficial y compilando el codigo fuente (algo que para muchos les sonará a chino) eso no significa que se pueda usar el DNIe en todas las páginas y con todos los navegadores. Entre los problemas detectados se encuentran los siguientes:

Si intentamos acceder a la página del BBVA con el DNIe este emplea un applet de Java cuyo uso ya no se permite en Chrome ni Firefox ya que estos sistemas afectan negativamente al rendimiento del navegador, la experiencia del usuario y especialmente a la seguridad, algo que choca especialmente que se siga usando en el caso de una entidad bancaria.

En el caso de Chrome, directamente puede que no se reconozca ni el DNIe debido a una implementación particular de boringssl .

En el caso de querer obtener una firma electrónica de la FNMT con el DNIe esto sólo es posible hacerlo con Explorer o Firefox pero no con Chrome. En el caso de Firefox tienes que instalar un complemento llamado signTextJS plus ya que la web de la FNMT está usando un sistema de firma basado en la interfaz obsoleta y no estándar de window.crypto que ha sido eliminada desde Firefox 35. Como no es de extrañar debido al uso de este tipo de parches según las versiones de Firefox y/o signTestJS la página de solicitud de certificado no funciona.

Probablemente existan más problemas en otras partes debido a que normalmente sólo se prueban las páginas en Windows con Internet Explorer y el resto de sistemas son olvidados. En este caso la colaboración de los internautas comentando donde encuentran problemas sería de una gran ayuda. También para los más capaces técnicamente que llevasen a cabo pruebas con sus DNIe mediante la siguiente herramienta , ya que existe una gran variedad de versiones de DNIe y perfectamente pueden haber incompatibilidades.

Resumiendo, usar el famoso DNIe se convierte en una Misión Imposible para la inmensa mayoría de las personas. Personalmente yo solo he usado el DNIe para obtener la Firma Electrónica de la FNMT con gran dificultad y que hubiera sido mucho más fácil acudir personalmente a una delegación de Hacienda para obtenerla.

Albert Mestre


pdfprintpmail