DNI electrónico. Ejemplar !!!


 


Hay ocasiones en las que uno se siente especialmente orgulloso por algo o por su pertenencia a algo.


Recién llegado de Estambul, donde durante 3 días he mantenido una reunión con el resto de mis colegas de todo el mundo (los National Technology Officers), estoy lleno de “orgullo y satisfacción” (esto me suena).


He podido presentar durante 15 minutos la situación en España relacionada con los eID, es decir, en nuestro caso, con el DNI electrónico.


Alguien dijo una vez “si me miro, no me considero. Si me comparo, ya es otra cosa“. Pues en eso estamos.


Tenemos un proyecto en España, que se llama DNIe, que es capaz de sorprender y causar admiración más allá de nuestras fronteras. Y no hablo solo de tecnología.


Hablo de la tremenda visión que sus responsables de la DGP demostraron planteando hace mas de 8 años esa posibilidad (D. Mauricio Pastor, D. Jose Luis Diaz, D. Juan Crespo etc..).


Hablo de la tremenda ilusión que desde el primer día pusieron en él, y como contagiaron su entusiasmo a cualquiera que les escuchara. A mí, desde luego.


Hablo de los que en la medida de sus posibilidades ayudaron a limar, con mayor o menor éxito los problemas derivados de ser unos auténticos pioneros. Y también de aquellos que materializaron (y continúan haciéndolo) esa visión.


Aunque no es un efecto mariposa, pues alguien hizo algo más que batir las alas, lo cierto es que un proyecto como este prometió ser un importantísimo impulso a la sociedad de la información en España (resolver parte de la falta de confianza en la identificación y autenticación en la red no es cualquier cosa).


Si la reciente Ley de Acceso de los ciudadanos a los servicios públicos es capaz plantear retos tan ambiciosos, se debe a muchos factores, pero sin duda, la existencia de un DNIe que hereda la misma confianza que nos genera un DNI tradicional, es una piedra angular sobre la que construir con la ambición que lo hace dicha ley (la ley expone como un derecho ciudadano, y por tanto exigible, el acceso telemático a los servicios ofrecidos por la administración, local, central o autonómica).


Creo que todos debemos sentir la pelota en nuestro tejado: ciudadanos, proveedores de tecnología, empresas, profesionales del sector IT, desarrolladores etc.. La Administracion ha desarrollado un trabajo envidiable y envidiado, pero después de “haber iniciado este fuego”, nos toca a todos el turno, ya sea como usuarios, proveedores, empresas etc, de, como dijo Marx (siempre citando a los clásicos;-) ), … echar MAAAAS MADERAAAA!!!!


Estaría muy bien que en este post contarais desde vuestra perspectiva ¿Que podeis hacer cada uno por el éxito del DNIe? …Y aprovecho para preguntaros además …¿Que pensais que debe hacer Microsoft ?

Comments (25)

  1. @Eduardo, no se si serán los primeros. Pero seguramente en la web http://www.dnielectronico.es puedas encontrrar bastante información relativa al DNIe.

  2. @Julian, tenerte por aquí es un auténtico lujo. No he conocido a demasiadas personas con un conocimieto tan amplio como el tuyo, por lo que mas que pedir permiso, te invito a ello. Es un honor tenerte por aquí.

  3. @Alicia, me acabo de conectar y me funciona perfectamente. Prueba a ver siguiendo este link: http://www.dnielectronico.es/

  4. @bastrado10, Aunque en efecto se tengan que resolver algunos problemas, no seamos demasiado severos con una iniciativa que tendrá tiempo de mejorar y evolucionar.

    @Javier Cao, ¿Sugieres que quizá deba crearse una especie de "certificación DNIe" que las aplicaciones expuestas tuvieran que pasar? Certificación dirigida a obligar por ejemplo y entre otras muchas cosas el uso de OCSP?

    "@No al secuestro". Sinceramente no se que responderte por que no tengo ni idea de a que te refieres… Las tecnologías ni son libres ni dejan de serlo. Son "funcionales" y sirven para mejorarnos la vida, de la misma forma que te la facilita un coche, un avión o un movil. A no ser que te encuentres también secuestrado por tener, no se, ¿Un movil NOKIA?

    "Una especia de secuestro de una multinacional"??? de verdad, te importa explicarte??

  5. @Ivan, en menos de un mes publicaremos en Codeplex y anunciaremos algo muy muy parecido a lo que sugieres en tu comentario 🙂

    Me alegra mucho ver que eso es algo realmente importante para los desarrolladores …

  6. @Alex, existen soluciones estupendas de partners de Microsoft a este respecto.

    Te recomiendo por ejemplo que hables con http://www.smartaccess.es Una empresa española con mucho conocimiento de Microsoft y del DNI.

  7. bastrado10 dice:

    casi resulta impresionate, pero el dni-e tiene unos pequeños problemas, algo asi, como, problemas con las liberias de control, pifias con el reconocimiento de los lectores USB externos que proporciona la casa de moneda y timbre, y la inexistencia de aplicaciones decentes que funcionen, tema de secuware y la costumbre de tirar codigo con librerias en el idioma incorrecto (Ingles Usa), que hace que las aplicaciones  "rompan" y que el estandar todavia no esta claro, aparte de utilizar un algoritmo de encriptacion ya superado, y otras pequeñeces.

    pero de eso saben un poquito los del inteco de leon, "centro demostrador de seguridad", los cuales no es que sean unos genios, "no lo son precisamante, son algo cortitos", pero no han sido capaces de pasar del reconocimiento del dispositivos USB.

  8. Javier Cao dice:

    Yo coincido contigo en que la oportunidad que el DNIe proporciona puede suponer un buen impulso para la sociedad de la información, pero si se hicieran las cosas bien garantizando un principio básico de la seguridad, proteger el eslabón más debil. Y por ese motivo, estoy algo decepcionado.

    Me parece que el DNIe como soporte es completamente robusto. Además, la iniciativa de certificarlo con los Common Criteria (ISO 15408) es la mejor garantía técnica que existe. El problema es que el DNIe es una pieza más de una infraestructura pública de certificación y eso es lo que no está adecuadamente protegido.

    Por un lado, tenemos el grave problema de la consulta a las listas de certificados revocados. Una firma electrónica (en su versión jurídica más robusta calificada como reconocida) debe poder ser validada en tiempo real. Aquí ya surge el primer escollo puesto que las aplicaciones por defecto no hacen esta consulta. Además se suma que el acceso vía OCPS a los servidores de validación tampoco parece que sea algo que tanto el MAP como la FNMT vayan a abrir a todo el público. Y además, todo eso mediante mecanismos transparentes al usuario que ni entiende ni tiene por qué entender que la firma está completa si no está revocada.

    Por otro y el más grave. Queremos igualar la firma digital a la firma manustrita para que tengamos la misma seguridad jurídica que en la vida real. Me parece correcto pero el DNIe es SOLO el bolígrado con el que firmar. Para poder garantizar el "PROCESO DE FIRMA" es necesario que DATOS FIRMADOS, BOLIGRAFO para FIRMAR y CIUDADANO tengan la completa seguridad de que no se viola ninguna de las propiedades de la seguridad del proceso: disponibilidad, confidencialidad e integridad. Como siempre, los técnicos olvidamos la importancia jurídica de nuestros actos. Yo ya he visto una prueba de concepto a nivel técnico de lo que se llama "firma a ciegas". Algo muy sencillo de entender. Un formulario Web te presenta un documento que dice "compro un televisor por 10€". Proporciona un boton para firmar con nuestro reluciente DNIe y tras introducir el pin de firma, aparece un documento firmado digitalmente (Con plena validez jurídica" que dice "Compro un televistor por 100000€".

    ¿Dónde está la confianza online para el ciudadano?

    Desde la perspectiva de la seguridad, la aplicación y el elemento utilizado para firmar son un mismo proceso y la seguridad por tanto, debe ser garantizada en ambas piezas. Por tanto, mientras estos problemas no se solucionen, no podremos presumir de verdad de las ventajas que debería tener introducir el DNI electrónico.

  9. No al secuestro dice:

    Algo tan personal e intransferible como el dni electronico deberia estar basado en tecnologias libres, sino es como una especie de secuestro por parte de una multinacional.

  10. Kiku dice:

    "@No al secuestro". Sinceramente no se que responderte por que no tengo ni idea de a que te refieres…"

    Venga, Héctor…no sabe como decirlo, pero se ve por donde va. Y sinceramente, creo que sí sabes a que se refiere.

  11. Fermin dice:

    @No al secuestro

    A buen entendedor pocas palabras bastan, yo lo he entendido perfectamente.

  12. HectorMontenegro dice:

    De verdad que estos comentarios ilustran la dificultad añadida que siempre tendremos en avanzar realmente y que poco a poco deberíamos poder superar . En lugar de ver como sacar partido de iniciativas como esta (más local y ejemplar imposible), parece que preferimos elucubrar sobre el sexo de los ángeles. Sobre si la tecnología es "libre", no libre, libre a medias, libertina, puritana o mediopensionista. Todo termina en lo mismo.

    La unica libertad que yo reconozco es la de elección en todo momento. La tecnología funciona o no funciona, resuelve o no resuelve, se adapta a requisitos o no lo hace, etc..

    Pero bueno, ese no es el tema.

    Si lo que "@No al secuestro" pretende insinuar (sin decir, porque en el fondo sabe que se tira a la piscina, pero como es Microsoft, seguro que la piscina tendrá agua) es alguna relación de Microsoft con el DNI electrónico, pues creo que te falta mucha información y la piscina estaba muy seca.

    No hay una sola linea de código de Microsoft en todo el proyecto. Ya me hubiera gustado, te lo reconozco, pero cuando no tenemos éxito, simplemente nos preparamos para que nuestra tecnología tenga más éxito la próxima (se aprende mucho de los errores), sin alborotos ni cartas abiertas…

    Así que tranquilo. Nadie ha secuestrado al DNIe.  Ya podemos centrarnos en su promoción, impacto y oportunidad para todos en torno al uso ciudadano.

  13. Javier Cao dice:

    [@Javier Cao, ¿Sugieres que quizá deba crearse una especie de "certificación DNIe" que las aplicaciones expuestas tuvieran que pasar? Certificación dirigida a obligar por ejemplo y entre otras muchas cosas el uso de OCSP?]

    Si, algo como lo planteado para el tema de factura electrónica por parte de la Agencia Tributaria, que ha publicado en el B.O.E. la Resolución de 24 de octubre de 2007, sobre procedimiento para la homologación de software de digitalización contemplado en la Orden EHA/962/2007, de 10 de abril de 2007 (B.O.E. del 1 de noviembre)

    Textualmente se dice:

    "El solicitante deberá aportar, junto con la solicitud, una descripción de las normas técnicas en las que se basa el procedimiento de digitalización certificada, así como los  protocolos o normas y procedimientos de seguridad, de control y de explotación referidos a la creación y consulta de la base de datos documental que contenga las imágenes digitalizadas de los documentos originales en papel suministrados por el obligado tributario y los sistemas de firma electrónica utilizados.

    Adicionalmente, deberá aportarse un informe emitido por una entidad de auditoría informática independiente con solvencia técnica acreditada en el ámbito del análisis y la evaluación de la actividad desarrollada, en el que se exprese la opinión acerca del cumplimiento por parte de la entidad solicitante, de las condiciones establecidas en la citada Orden y en la presente Resolución para la admisión de su sistema de digitalización certificada cuya homologación se solicita y sobre los procedimientos utilizados."

    Si esto es lo que la AEAT exige para creerse que una factura en papel al ser digitalizada sigue siendo legal, ¡Qué no habrá que hacer para que una aplicación que sirva para firmar digitalmente con validez jurídica!

    Respecto al resto de comentarios a colación del realizado por "No al secuestro" tampoco se por donde van esos tiros.

    El DNI ha sido certificado por la norma ISO 15408, que para quien no lo sepa, sirve para acreditar en materia de seguridad los productos TI. Y por esta norma pasa todo tipo de software, desde lectores de tarjetas, bases de datos, software de firewalls, sistemas operativos con Windows o Linux, etc. La lista de productos puede consultarse en http://www.commoncriteria.org.

    Esa es la única garantía técnica fiable de que el DNI-e cumple con los niveles de seguridad establecidos. Creo que es más tangible saber que un laboratorio acreditado ha revisado, inspeccionado y certificado el DNI-e que confiar en que "potencialmente" una "comunidad" pueda acceder al código fuente. El "código" sin los conocimientos para evaluarlo no sirve de nada. Además, para todos esos a los que le gusta la transparencia, ese proceso de certificación tiene la obligación de generar documentación accesible al público, para saber qué se ha mirado y cómo. Todo eso lo tenéis a vuestra disposición en http://www.commoncriteriaportal.org/public/files/epfiles/2007-04-INF-148.pdf y http://www.commoncriteriaportal.org/public/files/epfiles/2007-04-DS.pdf

    Por tanto, la obligación del Estado en este tema es garantizar que la tecnología funciona o no funciona, resuelve o no resuelve, se adapta a requisitos o no lo hace, etc… y es lo que se ha hecho.

    Además, el DNI-e es un elemento hardware con chip criptográfico que tal cual define la legislación, realizará las operaciones de acceso a las claves siempre en la tarjeta. Por tanto, si se quiere especular sobre las multinacionales implicadas en el tema del DNI-e, apuntar mejor hacia el fabricante de la tarjeta y los dueños de los algoritmos de cifrado que por cómo y desde qué medio de acceso se podrá utilizar el DNI-e.

  14. Jesus dice:

    El tema me viene ni que pintado a relacion de los servicios de validacion de los certificados.

    Según se dice en el portal oficial del DNIe, la "Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda, que  prestará sus servicios de validación con carácter universal: ciudadanos, empresas y Administraciones Públicas.". ¿Es esto cierto? ¿Mediante OCSP se puede validar un certificado de DNIe sea quien sea el que lo solicita? Si es así, en que URL esta disponible el servidor de OCSP.

    Según tengo entendido para consultar la CLR de los certificados emitidos por la FNMT había que pagar.

  15. Javier Cao dice:

    Ahí has dao en el talón de Aquiles de todo esto.

    Un certificado digital sin ser validado es como una fotocopia del DNI-e. Pensad en que si un ciudadano pierde el DNI, su única herramienta para anularlo es revocarlo. Si nadie comprueba en tiempo real si un certificado ha sido o no revocado, ¿qué seguridad jurídica se tiene?

    En las prácticas de certificación de la FNMT para los certificados generados con la FNMT como entidad raíz (http://www.cert.fnmt.es/content/pages_std/docs/00034_cit_obtain_cert_0000000000%20-%20Declaracion%20de%20Practicas%20de%20Certificacion.pdf) no queda claro que este acceso esté disponible para todo ciudadano que disponga de su certificado de la FNMT que son los que todos tenemos para hacer la Renta.

    En las prácticas de certificación del DNI-e tampoco se explica claramente cómo hacer esta comprobación aunque existe la posibilidad de acceder la Web http://ocsp.dnielectronico.es/ mediante un cliente OCSP que cumpla la norma IETF RFC 2560.

  16. macmarc dice:

    muy buena informacion, muchas gracias

  17. Hector Montenegro dice:

    @Javier Cao, hay una iniciativa en marcha que en parte viene a responder mucho de los aspectos que mencionas en tu comentario.

    El Ministerio de Industria y la Dirección General de la Policia, han encargado a INTECO la definición de unos perfiles de protección para el DNIe, mas concretamente, para incrementar la confianza en aquellas aplicaciones que vayan a hacer uso de los servicios del DNIe, tanto en el aspecto de identificación como en el de firma. Algunos expertos de la talla de Epoche&Espri (D. Miguel Bañón), están directamente involucrados y algunos representantes de la industría ya están opinando sobre estos perfiles de protección creados.

    Yo creo que el proyecto continua siendo muy prometedor y se respira mucho entusiasmo y empuje entre todos los involucrados directa o indirectamente.

  18. Iván Cruz. dice:

    Quizá por parte de Microsoft la mejor aportación sería publicar un programa (el código fuente me refiero) que lo utilizase y con una lista de hardware compatible. No que hiciese grandes cosas, simplemente leer el nombre del titular del DNI introducido haría que se publicase el tema en un montón de blogs y páginas sobre desarrollo.

    Tengo bastante claro que a los desarrolladores de a pie nos abriría un poco más fácilmente las puertas del eDNI y supongo que a Microsoft le podría interesar que con sus herramientas de desarrollo hubiese ejemplos de cómo usarlo.

    Un cordial saludo,

    Iván Cruz.

  19. Javier Cao dice:

    Hoy publica el INTECO el Estudio de utilidad desarrollo de servicios asociados a la implantación del DNI electrónico para la empresa. Como extracto de las principales conclusiones adjunto su contenido:

    "Una de las primeras y más claras conclusiones que cabe destacar es que no se prevé,

    tras la implantación del DNIe, la aparición inmediata de nuevos actores, sino que los

    actores ya existentes operando en Internet, complementarán y mejorarán su oferta de

    servicios, tanto para sus clientes actuales como para no clientes, por lo menos hasta que

    el grado de despliegue e implantación del DNIe supere una cierta masa crítica.

    Es decir, no se prevé una expansión en amplitud de nuevos servicios, sino en

    profundidad, por parte de las empresas que actualmente implementan servicios a través

    de Internet.

    Esta situación es idéntica a la producida en las Administraciones Públicas, donde los

    primeros usos del DNIe se han asociado servicios ofrecidos previamente mediante la

    utilización de certificados digitales. En estos casos a la gama de certificados digitales, ya

    utilizados se ha añadido el DNIe. Es decir, no se han creado específicamente nuevos

    servicios sino que se ha incorporado el DNIe a servicios ya existentes.

    No obstante, es necesario tener presente que el DNIe integra en un único soporte físico

    un mecanismo de identificación ampliamente utilizado en la vida diaria (ámbito

    presencial) y un mecanismo de identificación digital (certificado de firma electrónica). De

    esta forma, los ciudadanos españoles disponen de un mecanismo de Identidad Digital

    para operar telemáticamente con seguridad, facilidad de uso y, esto es muy importante,

    con la garantía del Estado. Se rompe así una importante barrera cultural al uso del

    certificado de firma digital al incorporarlo en un elemento de identificación presencial al

    que los españoles estamos completamente habituados lo que permite vislumbrar un

    despegue en el número de usuarios de servicios de la Sociedad de la Información tanto

    públicos como privados.

    En esta línea, dos de los primeros sectores donde parece claro el uso del DNIe son el

    sector financiero y el de seguros."

    El informe completo es accesible en

    http://www.inteco.es/frontinteco/files/frontIntecoAction.do;jsessionid=C3EE3131361BAB8A13250DACEF9D65B0?action=getFile&fileID=1000040533

  20. Julián Inza dice:

    Hola Héctor,

    Qué suerte tienes. Y qué envidia tengo yo.

    Te escriben comentarios sobre el DNI electrónico en cuanto sacas el tema.

    Yo llevo hablando de estos temas en mi blog desde hace 2 años y casi no me comenta nadie. Aunque no sea Coronel ("el coronel no tiene quien le escriba").

    Debe ser por tu adscripción a Microsoft.

    ¿Me dejas que conteste a algunos de los que te ponen comentarios o es meterme donde no me llaman?

  21. Eduardo Malvaez dice:

    Me agradría saber un poco más sobre este tema, actualmente desarrollo un reportaje de corte académico para un trabajo final en la universidad y me gustaría saber a ciencia cierta quien o quienes fueron los primeros desarrolladores de este tipo de tecnología, ojala alguien me pueda ayudar

  22. Alicia dice:

    Una duda, alguien sabe qué le pasa a la url del dnielectronico que NO funciona?

    Necesito información en relación al DNIe y esperaba poder encontrarla allí pero no hay manera…que desastre!

  23. alex dice:

    Estoy buscando información para habilitar el logon interactivo en Windows utilizando el eDNI y sólo encuentro información sobre el inicio de sesión en diferentes distribuciones de Linux. ¿Se puede utilizar el eDNI para identificarse en Windows?

  24. xurxo lariño dice:

    dni electronico estaria estupendo si funcionara, pero como estamos en españa y todo lo que españa toca huele a mierda, horas nos hemos pasado algunos con el dni electronico y total para nada, una chapuza española mas.

  25. Robto dice:

    Hombre! Está bien que las multiples administraciones publicas que se entretienen gastando nuestro asfixiante presupuesto lleven a cabo iniciativas innovadoras. Honestamente, me gustaría conocer detalladamente la utilidad del DNIe versus coste total real que ha tenido la iniciativa. En una gran cuidad lo veo claro: ahorrarse desplazamientos. Pero, para la inmensa mayoría de los Españoles…. Por otro lado, he sufrido una gran decepción al intentar utilizar el DNIe, ya que hay un gran número de administraciones publicas y empresas provadas donde sólo "medio funciona" y resulta dudosamente operativo. Por ejemplo: Agencia Tributaria, Caja Madrid.

Skip to main content