juny de 2013 – can.nandes.cat

13 juny 2013

No facis fotocòpia del teu DNI

Per motius de seguretat i tranquilitat personal: no facis fotocòpia del teu DNI, ni la lliuris. I molt menys si és una adminsitració pública. Des de l’any 2006 hi ha publicat un Reial Decret (Real Decreto 522/2006) que fomenta l’agilitat en les administracions públiques i no obliga la presentació d’aquest document.

Real Decreto 522/2006, de 28 de abril, por el que se suprime la aportación de fotocopias de documentos de identidad en los procedimientos administrativos de la Administración General del Estado y de sus organismos públicos vinculados o dependientes.

Així, si us adreceu a una administració pública i us demanen un DNI, comenteu-lis que des de l’any 2006 esteu excempts d’aquesta acció. Haureu de mostrar el DNI per demostrar que està vigent, que sou vosaltres, però no presentar o lliurar una fotocòpia.

Hacer más sencilla y amable la relación del ciudadano con la Administración General del Estado es una de las prioridades del Gobierno. En efecto, la política de simplificación y modernización de la gestión pública encuentra su justificación primera, no ya en requerimientos organizativos, sino en la atención a las necesidades y demandas de la ciudadanía, tanto más complejas y exigentes, cuanto que se corresponden con una sociedad democrática avanzada, consciente de que una Administración pública eficiente es condición indispensable para que el ejercicio de los derechos constitucionales sea efectivo.

A partir d’ara que no us enganyin. I molt menys si heu presentat la documentació per mitjans telemàtics validats electrònicament (signats electrònicament), ja que en aquest cas, haureu validat electrònicament la vostre identitat en el moment de l’enviament o de la firma electrònica.

Enllaços:

9 juny 2013

Firma electrònica en un mac, quan java i firefox no estan en conjunció

En l’entrada d’ahir (Firma electrònica DNIe, T-CAT i OSX Mountain Lion (MAC 10.8.4) comentava que és bàsic tenir activat JAVA a la vostre màquina, i que no tenia del tot clar si en 64bits es podia signar amb firefox.

Confirmat que:

de moment els aplicatius que donen catcert per fer servir la t-CAT només funciona amb firefox en mode 32 bits.
Ja versió de java 7 up22 només funciona en mode 64 bits.

Què provoca això? que si vols entrar un etram a un ajuntament (o sigui presentar una instància electrònicament per exemple), no podràs fer-ho amb un MAC ja que quan llegeix el navegador el teu certificat, no és capaç de carregar el java; i quan carrega el java no és capaç de llegir el teu certificat. Certament és lamentable aquesta limitació.

Opcions:

El navegador safari no llegeix el certificat d’un dispositiu
El navegador opera directament no està soportat.
El navegador Chrome és només 32 bits o sigui que tampoc serà capaç de fer servir el JAVA 64 bits.
Descarregar JAVA a una versió anterior, és insegur… però potser la millor opció.

Per aquesta última opció hi ha un “support case” d’Apple on explica com tornar a habilitar el java SE 6 web plugin per firefox (Java for OS X 2013-002: How to re-enable the Apple-provided Java SE 6 web plug-in and Web Start functionality) (http://support.apple.com/kb/HT5559?viewlocale=en_US)

Si, després d’instal lar Java per OS X 2013-002 i l’última versió de Java 7 d’Oracle, que desitja desactivar Java 7 i tornar a habilitar l’Apple proporciona Java SE 6 web plug-in i la funcionalitat Web Start, feu el següent .

Nota: Hi ha d’haver iniciat sessió com a administrador. Si se li demana la contrasenya d’administrador després d’un comandament, introduïu-lo i premeu la tecla Retorn o Retorn.

Obrir terminal, situada a la carpeta Utilitats.
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo mkdir-p / Library / Internet \ Plug-Ins/disabled
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo mv / Library / Internet \ Plug-Ins/JavaAppletPlugin.plugin / Library / Internet \ Plug-Ins/disabled
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo ln-sf / System/Library/Java/Support/Deploy.bundle/Contents/Resources/JavaPlugin2_NPAPI.plugin / Library / Internet \ Plug-Ins/JavaAppletPlugin.plugin
Per tornar a habilitar Java SE 6 Web Start, introdueixi aquesta comanda i premeu la tecla Retorn o Intro:
sudo ln-sf / System / Library / Frameworks / JavaVM.framework / Ordres / javaws / usr / bin / javaws

Informació addicional
Els següents passos desfer les ordres anteriors i restaurar Java 7.

Desactivar SE 6 obertura Java Web Start:
Introduïu aquesta comanda i premeu Retorn o Intro:
sudo ln-sf / System / Library / Frameworks / JavaVM.framework / versions / Actualitat / Ordres / javaws / usr / bin / javaws
Quan se us demani, introduïu la contrasenya d’administrador i premeu la tecla Retorn o Retorn.
Torneu a activar l’applet de Java 7 plug-in mitjançant la descàrrega i tornar a instal lar l’última versió d’Oracle Java 7 JRE.

Jo he seguit els passos indicats i he aconseguit que firefox versió 32 bits pugui tenir habilitat el java sense problemes. Però llavors em trobo que la pàgina web no acaba de carregar bé tots els components ja que la versió de java que faig servir és antiga… el peix que es mossega la cua.

Reitero el mateix que deia en l’artícle d’ahir: s’han de tenir ganes per firmar una cosa electrònicament amb les “facilitats” que es donen.

8 juny 20138 juny 2013

Firma electrònica DNIe, T-CAT i OSX Mountain Lion (MAC 10.8.4)

Farà ja algun temps vaig avisar que firmar electrònicament no era una cosa fàcil (http://can.nandes.cat/batalles-de-fer-servir-certificats-digitals-catcert-a-un-mac-lion). Després d’estar lluitant contra els elements he aconseguit firmar i validar-me electrònicament amb un MAC (amb sistema operatiu 10.8.4 mountain lion). Alerta, les aplicacions, claus públiques i passos per fer servir la firma electrònica d’una t-CAT o d’un DNIe de moment són diferents i independents entre elles. Pot semblar que al tenir un operatiu puguis tranquil·lament fer servir l’altre… paradoxes de les nostres administracions tenim eines i procediments diferents. Si només vols instal·lar o fer servir un dels mètodes de firma no cal que instal·lis i embrutis el teu sistema operatiu amb totes les aplicacions i certificats.

Guia bàsica per poder firmar amb un navegador a Mac OSX 10.8.4:

Disposar de l’última versió de java operativa a la màquina. En el meu cas tenia una versió anterior a la 7.21 i sense ser conscient el sistema operatiu tenia el motor java desactivat per motius de seguretat. Podeu veure com descarregar l’última versió de java o validar que teniu el java activat a la vostre màquina en aquest post.
No sempre els navegadors en 64bits podem firmar electrònicament. Comenceu validant que funciona en mode 32 bits.
No és el mateix fer servir el DNIe, que la targeta t-CAT o idCAT
- Guia DNIe (guia bàsica de DNIe així com accés a la descàrrega d’aplicacions per a la seva configuració i ús).
- Guies t-CAT (guies, aplicacions i manuals per fer servir una t-CAT a una màquina amb mac OSX, windows o linux).
- Guies idCAT (guies, aplicacions i manuals per fer servir un idCAT a una màquina amb mac OSX, windows o linux).
Safari no funciona ara per ara per firmar electrònicament amb aquests certificats. Millor centrar-se en firefox (la versió que sigui) i en mode 32 bits.
- http://support.mozilla.org/ca/questions/823873 guia per canviar la manera d’executar firefox.
Has de tenir les claus públiques del certificat que vols fer servir instal·lades en el navegador que faràs servir per signar electrònicament.
- Baixar claus públiques de catcert (http://www.catcert.cat/RECURSOS/Claus-publiques)
- Baixar claus públiques de FNMT (http://www.cert.fnmt.es/index.php?cha=adm&sec=19&page=202&lang=es)
- Baixar claus públiques de DNIe (http://www.dnielectronico.es/seccion_integradores/autoridades_cert.html)
- Un cop descarregades cal instal·lar-les i reconeixer-les com certificats i entitats de confiança (firefox / preferències / avançat / xifratge / visualitza certificats / Entitats / importar…
Firefox, necessitarà:
- saber quin dispositiu és el que llegeix la teva t-CAT o DNIe (o sigui quin controladors necesites per fer funcionar el lector de targetes),
  - Aplicació per DNIe
    - Instal·lar opensc.dnie-2.0.0.2.dmg amb la versió anterior també funciona però millor estar a l’última (http://www.dnielectronico.es/descargas/PKCS11_para_Sistemas_Unix/MacOS_X.html)
  - Aplicació per t-CAT
    - Instal·lar safeSign versió 3 http://www.catcert.cat/RECURSOS/Eines/SafeSign. La descàrrega de la versió 10.5 ja porta aquesta versió safesign 3.0.1732
- i quina aplicació utilitzarà el sistema per llegir el certificat mitjançant el dispositiu que llegeix la targeta. Aquest és el punt potser més complexe d’entendre: tens un controlador que llegeix certificats però en funció del certificat que sigui necessitaràs llegir-lo d’una manera o altre diferent. Dit d’una altre manera els certificats no són “compatibles” o “estàndards” a nivell d’aplicació d’aquí la complexitat d’instal·lació i ús dels mateixos.
  - Aplicació per DNIe
    - Firefox > Preferències > Avançat > Xifratge > Dispositius de seguretat
      - Carrega:
        
        Nom: DNIe
        
        Ruta: /Library/OpenSCDNIe/lib/dnieopensc-pkcs11.so
  - Aplicació per t-CAT
    - Firefox > Preferències > Avançat > Xifratge > Dispositius de seguretat
      - Carrega:
        
        Nom: t-CAT
        
        Ruta: /usr/local/lib/libaetpkss.dylib
  - Alertes, que els noms dels dispositius de seguretat siguin diferents i ben identificatius. En les captures de pantalla els noms no corresponen a l’indicat.
  - Potser que al introduïr la ruta del component no es localitzi. Validar previament que en aquesta carpeta està el fitxer (un cop instal·lada l’aplicació del pas anterior).

Amb aquests passos esquemàtics, si tot és correcte:

puntxeu el vostre lector de targetes,
introduïu la vostre t-CAT o DNIe,
obriu el firefox en mode 32 bits,
Preferències > avançat > xifratge > visualitza els certificats
I us demanarà el PIN de la vostre targeta, Si arribeu aquí heu triomfat!!

Ja només cal que no oblideu el vostre PIN o que tingueu bloquejat el vostre token de la vostre targeta criptogràfica.

Conclusions:

Els passos estan indicats de manera molt esquemàtica però serveixen per adonar-se de:

No és fàcil,
No és intuïtiu,
Podria ser encara més difícil, sí.
Falta integració amb el propi sistema operatiu MAC OSX. í‰s una llàstima aquest punt.
Cal aplicacions diferents en funció del tipus de certificats que vulguis fer servir malgrat que el “front-end” o entorn final sigui el firefox.
Tots aquests punts anteriors són els que provoquen que avui en dia encara no s’hagi estès l’ús de la firma electrònica. Ens queda molt per avançar.

7 juny 20138 juny 2013

Tens el java activat al teu mac?

Resulta que després de diferents intents frustrats, he descobert de casualitat que tenia el java desactivat al meu OSX 10.8.4. Per motius de seguretat si el sistema operatiu detectava una versió anterior a l’update 17, deixava la màquina de java inhabilitada. D’aquesta manera, algunes webs deixaven de funcionar de manera correcta. El més frustrant és que en cap moment apareix cap avís de que el java no està funcionant o que el problema de funcionalitat de la pàgina és el java.

Així, que si us trobeu en situació similar us recomano ràpidament descarregar l’última versió de java disponible i validar que teniu el java activat al vostre sistema operatiu.

Podeu descarregar l’última versió a: http://java.com/en/download/mac_download.jsp?locale=en
Podeu validar que teniu el java operatiu a: http://java.com/en/download/testjava.jsp

Dl	Dt	Dc	Dj	Dv	Ds	Dg
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30