En un post ante­rior vaig expli­car com instal·lar el cer­ti­fi­cat digi­tal d’idCAT al Firefox. Ja he comen­çat a fer pro­ves sobre xifratge i sig­na­tura digi­tal amb aquest cer­ti­fi­cat i diver­sos cli­ents de correu/​plataformes per inten­tar escriure un petit tuto­rial sobre la qües­tió que m’ajudi a acla­rir el fun­ci­o­na­ment pràc­tic de tot plegat.

D’entrada, i a falta de rea­lit­zar més pro­ves per a l’elaboració del tuto­rial, per fi he tro­bat la forma d’extreure només la clau pública del cer­ti­fi­cat idCAT; acció que m’ha donat prou maldecaps.

El pri­mer pas és expor­tar el cer­ti­fi­cat des de Firefox en for­mat P12 (PKCS#12), cosa que pot fer-​​se des de Preferències > Avançat > Xifratge > Visualitza els cer­ti­fi­cats > Els vos­tres cer­ti­fi­cats esco­llint l’opció Fes-​​ne còpia de segu­re­tat.

Posteriorment, en un ter­mi­nal (Linux o Mac OS X) on tin­guem OpenSSL instal·lat exe­cu­ta­rem:

L’opció –nokeys és pre­ci­sa­ment la que indica que no volem expor­tar la clau pri­vada. Si poste­ri­or­ment volem con­ver­tir (PEM to P7B /​ P7C) la clau pública a una estruc­tura PKCS#7, per exem­ple per a assignar-​​la a un con­tacte d’Outlook, hau­rem de fer (una de les dues, segons el for­mat que vul­guem):

Tot i que tinc pen­dent algun altre post sobre cer­ti­fi­cats digi­tals dins de la sèrie Certificats digi­tals dels nas­sos (1a part i 2a part), avui he revo­cat el meu cer­ti­fi­cat ante­rior i n’he dema­nat un de nou: tot sigui per fer més proves…

Avui a classe hem instal·lat una colla de cer­ti­fi­cats idCAT en for­mat cla­uer amb el nou pro­gra­mari i no ens han donat cap pro­blema. Jo en canvi tinc un nou cer­ti­fi­cat en for­mat pro­gra­mari. Format amb el qual hem tin­gut nom­bro­sos pro­ble­mes quant a l’exportació del cer­ti­fi­cat un cop instal·lat a l’ordinador. Primera obser­va­ció: a Osona con­ti­nuen donant cer­ti­fi­cats en cla­uer, al Bages ho fan en el que en diuen “pro­gra­mari” (un fit­xer que cal des­car­re­gar del web).

Em dis­poso, per tant, a instal·lar em meu cer­ti­fi­cat idCAT. Tinc una “Sol·licitud pre­sen­cial d’emissió del cer­ti­fi­cat idCAT” com a punt de par­tida i l’instal·laré usant Mozilla Firefox 3.6.6 en un Mac 10.6.4. L’objectiu no és el de rea­lit­zar una guia d’instal·lació sen­zi­lla sinó més aviat enten­dre com­ple­ta­ment tot el pro­cés i mirar de treure l’entrellat del con­flicte de l’exportació. Intentaré no obviar res que pugui ser important…

Començo lle­gint les ins­truc­ci­ons del docu­ment de què dis­poso. Són prou clares:

Instruccions per obtenir el certificat idCAT

Per con­cloure el pro­cés d’obtenció ha de seguir les següents passes:

1. Accedir a la web del ciu­tadà idCAT (http://​www​.idcat​.cat).
2. Seleccionar l’opció 3. Instal·lació del programari.
3. Introduir el número de docu­ment (NIF, NIE, Passaport o DNI d’altres paï­sos) més una paraula de pas com­posta per una part gene­rada de forma auto­mà­tica (impresa en aquest docu­ment) i una part intro­du­ïda per­so­nal­ment. Paraula de pas (part auto­mà­tica) (sem­pre en minúscules): ********

Obro el Firefox i intro­du­eixo l’adreça i clico l’opció 3… Primer contratemps:

La pàgina de l’idCAT uti­litza un cer­ti­fi­cat expe­dit per l’Agència Catalana de Certificació per xifrar la con­ne­xió amb SSL però l’entitat cata­lana encara no ha tan­cat l’acord amb Mozilla per for­mar part de les enti­tats cer­ti­fi­ca­do­res de con­fi­ança inclo­ses per defecte amb el nave­ga­dor Firefox. Conclusió? Podem afe­gir una excep­ció de segu­re­tat o refiar-​​nos de CATCert i instal·lar el seu cer­ti­fi­cat arrel. Al seu lloc web expli­quen, pre­ci­sa­ment, per­què cal que instal·lem aquest cer­ti­fi­cat manualment…

CATCert acom­pleix tots els requi­sits neces­sa­ris per ser inclosa en els nave­ga­dors més cone­guts. Aquest trà­mit ja ha estat ende­gat per part de CATCert i s’estan rea­lit­zant els tre­balls neces­sa­ris per tal d’aconseguir-ho el més aviat possible.

Mentre se segueix aquest pro­cés, com que les claus no venen pre­car­re­ga­des als nave­ga­dors, cal instal·lar manu­al­ment les claus públi­ques de l’entitat de cer­ti­fi­ca­ció en què es con­fia. Aquestes claus són neces­sà­ries per veri­fi­car que els cer­ti­fi­cats que arri­ben als nos­tres equips infor­mà­tics han estat eme­sos per alguna de les auto­ri­tats de cer­ti­fi­ca­ció de la jerar­quia d’entitats de CATCert.

El cer­ti­fi­cat arrel de CATCert el podem des­car­re­gar des d’aquesta mateixa pàgina, podem esco­llir l’opció d’instal·lar les claus de totes les enti­tats de la jerar­quia del CATCert (un total de 9 cer­ti­fi­cats) per si més enda­vant hem de fer trà­mits amb aques­tes admi­nis­tra­ci­ons o quedar-​​nos amb la pri­mera a la qual també podem acce­dir cli­cant l’enllaç l’arrel de CATCert.

Encara que ens digui que aquest dar­rer és només per tre­ba­llar amb apli­ca­ci­ons de cor­reu elec­trò­nic segur, és exac­ta­ment el mateix enllaç que si instal·lem el pri­mer cer­ti­fi­cat que apa­reix en cli­car Baixada de totes les claus públi­ques. Ho posen per des­pis­tar això del cor­reu elec­trò­nic segur?

El cas és que si ara, un cop instal·lat el cer­ti­fi­cat (fit­xer acc.crt), recar­re­guem la pàgina de l’idCAT que ens deia que no es podia con­fiar en la con­ne­xió, la podrem veure per­fec­ta­ment i verificada.

Seguim. En aquesta pàgina se’ns indica que si fem ser­vir Windows cal que com­pro­vem que el nos­tre sis­tema ope­ra­tiu està actu­a­lit­zat (de fet com­prova si tenim instal·lat el Cryptographic Service Provider). Com que no és el cas (no ho estic fent amb Windows), ignoro aquest pas i continuo.

Posteriorment em demana que instal·li la clau pública de CATCert (EC-​​ACC) i la de ciu­ta­dans (EC-​​idCAT). Segona obser­va­ció: Si no arribo a instal·lar l’EC-ACC no hau­ria pogut acce­dir a la pàgina on em diu que he d’instal·lar l’EC-ACC, a no ser que hagués esta­blert una excep­ció de seguretat!

Provo d’instal·lar la dels ciu­ta­dans per­què no ho he fet abans i resulta que el Firefox no sap com ges­ti­o­nar el fit­xer ec-idcat.cer Dit d’una altra manera, el web de CATCert em pro­por­ci­o­nava aques­tes matei­xes claus en for­mat .CRT (que el Firefox podia ges­ti­o­nar per­fec­ta­ment) i ara idCAT me les ofe­reix en .CER que Firefox no sap com obrir… *sospir*

Procuraré escriure un altre post par­lant sobre aquesta qües­tió dels cer­ti­fi­cats .CRT o .CER i com fer-​​ho per tal que Firefox ens ges­ti­oni auto­mà­ti­ca­ment els .CER (encara no ho sé) ja que, de fet, si l’importem manu­al­ment des de les pre­fe­rèn­cies fun­ci­ona bé.

Per no allar­gar –encara més– el post, instal·lo el cer­ti­fi­cat EC-​​idCAT des del lloc web de CATCert (és el quart si esco­lliu l’opció Baixada de totes les claus públi­ques) (enllaç directe) i con­ti­nuo intro­duint les meves dades:

En el següent pas sim­ple­ment se’m mos­tren les meves dades per­so­nals com­pler­tes (inclosa la pre­gunta de segu­re­tat –i la seva res­posta– que no puc can­viar) i em trobo amb el pro­blema de la lon­gi­tud de la clau: hi ha un des­ple­ga­ble per triar nivell de segu­re­tat alt o mitjà i només em deixa con­ti­nuar si trio el mitjà… Havent esco­llit la única opció pos­si­ble el cer­ti­fi­cat s’instal·la cor­rec­ta­ment i ter­cera obser­va­ció: és expor­ta­ble (tot i que no ha sor­tit per enlloc l’opció de declarar-​​lo exportable)

El cer­ti­fi­cat m’identifica cor­rec­ta­ment però no em demana cap con­tra­se­nya. Qualsevol per­sona que uti­litzi el meu ordi­na­dor es pot fer pas­sar per mi…

Si l’exporto si que em demana que creï una con­tra­se­nya per garantir-​​ne la segu­re­tat. Deso el cer­ti­fi­cat expor­tat en un fit­xer .P12 en un lla­pis de memò­ria i l’importo al por­tà­til amb Firefox 3.6.6 i Ubuntu 10.04. En importar-​​lo em demana la con­tra­se­nya que he usat per exportar-​​lo però un cop instal·lat ja no demana cap mena de con­tra­se­nya per a fer-​​lo servir.

La única manera de protegir-​​lo que he tro­bat, com ja vaig comen­tar, és esta­blir una con­tra­se­nya mes­tra per al Firefox…

He de dir que, a banda de la con­fu­sió sobre l’exportació de la qual par­lava en el post ante­rior (encara no acla­rida), dema­nar i instal·lar l’idCAT és sen­zi­llís­sim. Utilitzar-​​lo, a pri­ori, també. De totes mane­res vol­dria refle­xi­o­nar una mica entorn d’algunes qües­ti­ons que no veig gaire clares…

Identificació en llocs web

L’ús prin­ci­pal que un ciu­tadà com ara jo pot voler donar al seu cer­ti­fi­cat digi­tal és el d’identificar-se en llocs web de l’administració per a rea­lit­zar trà­mits des de casa. L’anterior cer­ti­fi­cat en for­mat cla­uer era força segur en aquest aspecte per­què per identificar-​​me pri­mer de tot havia de con­nec­tar el cla­uer USB i poste­ri­or­ment se’m dema­nava cada vegada una paraula de pas. Ara, amb el cer­ti­fi­cat per­ma­nent­ment instal·lat al nave­ga­dor, cada cop que un lloc web sol·licita l’ús d’un cer­ti­fi­cat el nave­ga­dor em per­met esco­llir el cer­ti­fi­cat que vull emprar (només en tinc un, però igual­ment…) però no he d’introduir cap con­tra­se­nya. Així, qual­se­vol per­sona que tin­gui accés al meu ordi­na­dor (per exem­ple si em roben el net­book) pot fer-​​se pas­sar per mi…

A les PMF de l’idCAT hi trobo la següent: Com puc pro­te­gir el meu idCAT amb un codi PIN per utilitzar-​​ho de forma segura? però a la res­posta em diu que durant la instal·lació hau­ria d’haver esco­llit el nivell de segu­re­tat alt. Errada meva si no fos per­què recordo per­fec­ta­ment que durant la instal·lació hi havia una llista des­ple­ga­ble amb les opci­ons de segu­re­tat nivell mig i nivell alt i un comen­tari just a cos­tat on em deia que esco­llís l’opció nivell mig!

La broma no s’acaba aquí, si opto per modi­fi­car el cer­ti­fi­cat per habi­li­tar aquesta opció em trobo amb el següent:

El pri­mer que des­ta­ca­ria és que aquí em torna a dema­nar que selec­ci­oni el valor «1024», nivell mig. El segon és que no té res a veure la lon­gi­tud de la clau amb el fet que et demani un PIN per a usar el cer­ti­fi­cat… però jo només he seguit les ins­truc­ci­ons de l’arxiu de PMF! :»( Si no faig cas de la “reco­ma­na­ció” i final­ment escu­llo nivell alt…

I jo em pre­gunto… per què hi posen el des­ple­ga­ble? WTF! Si algú sap com acla­rir tot això, si us plau, que faci un comentari!

La única manera que he tro­bat, per ara, d’aconseguir que em demani una con­tra­se­nya quan un lloc web demana el cer­ti­fi­cat és habi­li­tar una con­tra­se­nya mes­tra al Firefox (Preferències > Seguretat > Utilitza una con­tra­se­nya mes­tra).

< Continuarà… >

Ja fa uns deu anys que vaig estu­diar crip­to­gra­fia de clau pública a l’assignatura de segu­re­tat com­pu­ta­ci­o­nal amb el Sr. Rifà; però els con­cep­tes bàsics sobre l’ús de les claus públi­ques i pri­va­des i els pro­ces­sos de sig­nar i xifrar els recordo per­fec­ta­ment. La teo­ria la tinc clara, però la pràc­tica s’entesta a dur-​​li la contrària…

Dies enrere en JM –arran d’un curs de pre­pa­ra­ció per l’ACTIC, pre­ci­sa­ment– va revo­car el seu cer­ti­fi­cat digi­tal idCAT en for­mat cla­uer per tenir-​​ne un dels nous en for­mat –en diuen– “pro­gra­mari” (ara es dema­nen pre­sen­ci­al­ment i es des­car­re­guen via web). Per sor­presa seva, un cop instal·lat en un ordi­na­dor, no podia exportar-​​lo de cap de les mane­res per utilitzar-​​lo en un altre màquina.

En una tru­cada al ser­vei d’atenció de l’idCAT (902901080) li diuen que, efec­ti­va­ment, el cer­ti­fi­cat no és expor­ta­ble (!?). Confós, repe­teix la tru­cada i una altra per­sona li con­firma que sí, que el cer­ti­fi­cat és expor­ta­ble però que en el pro­cés d’instal·lació (men­tre el des­car­re­gava del web) hau­ria d’haver mar­cat l’opció de fer-​​lo expor­ta­ble i que si se n’havia des­cui­dat no li que­dava més remei que revocar-​​lo i demanar-​​ne un altre.

Segon intent: en JM revoca el cer­ti­fi­cat, en demana un altre i es dis­posa a instal·lar-lo, aquesta vegada amb l’ajuda d’una ope­ra­dora del 902901080 a l’altra banda del telè­fon. Clic per clic, segueix les ins­truc­ci­ons i ¡oh, sor­presa! l’opció de Marcar el cer­ti­fi­cat com expor­ta­ble no apa­reix per enlloc… Però, ¡més sor­pre­ses! ara sí que pot expor­tar el cer­ti­fi­cat! L’operadora li diu que, en rea­li­tat, l’opció de fer un cer­ti­fi­cat expor­ta­ble l’ha de triar el fun­ci­o­nari de l’ajuntament durant el pro­cés de sol·licitud del cer­ti­fi­cat. Tercera ver­sió dels ope­ra­dors del telè­fon de con­sul­tes de l’idCAT. Recordem:

1. El cer­ti­fi­cat NO és exportable.
2. El cer­ti­fi­cat SÍ que és expor­ta­ble, sem­pre i quan així ho indi­qui l’usuari durant la instal·lació.
3. El cer­ti­fi­cat SÍ que és expor­ta­ble, sem­pre i quan així ho indi­qui el fun­ci­o­nari durant la sol·licitud del certificat.

No està mala­ment… Doncs bé, avui m’ha tocat a mi. El meu cer­ti­fi­cat en for­mat cla­uer que, no sense barallar-m’hi, vaig acon­se­guir fer fun­ci­o­nar no només amb Windows sinó també amb Ubuntu i Snow Leopard; ja feia dies que havia dit prou. Suposo que és per les dar­re­res actu­a­lit­za­ci­ons del Firefox, però per una cosa o altra ja no em fun­ci­o­nava ni inten­tant car­re­gar manu­al­ment el mòdul que indi­cava l’script d’instal·lació (script que, efec­ti­va­ment, no fun­ci­o­nava amb les dar­re­res ver­si­ons de Firefox).

He anat a l’ajuntament de Manresa a revo­car el meu cla­uer i dema­nar un altre cer­ti­fi­cat, però pre­vin­gut per en JM els he expli­cat el seu cas i he dema­nat que em mar­ques­sin, si us plau, l’opció de fer-​​lo expor­ta­ble tal com ens havia indi­cat la dar­rera ope­ra­dora del telè­fon de con­sul­tes. La fun­ci­o­na­ria, sor­presa, ha dit que aquesta opció l’havia de mar­car jo durant la instal·lació (!?) i molt ama­ble­ment ha tru­cat a idCAT per confirmar-​​ho. I, per des­es­pe­ra­ció meva, li han confirmat!

Un cop a casa he instal·lat el cer­ti­fi­cat, la re-​​maleïda opció no ha apa­re­gut per enlloc durant la instal·lació i, mal­grat tot, he pogut expor­tar el cer­ti­fi­cat com­plet (clau pública + clau pri­vada) en for­mat .P12 i usar-​​lo per identificar-​​me a un parell de llocs web tant amb el Lucid Lynx com amb el MAC.

< Continuarà… >