jul 29 2008
És segura la vostra signatura digital?
Últimament comença a proliferar el costum de signar documents de tot tipus digitalment. Les institucions animen a les empreses a fer-ho, i últimament ja directament els ho obliguen a fer. Fins i tot els nous carnets d’identificació espanyols, permeten signar digitalment.
Però, ves per on, ningú ha pensat qui crea la signatura electrònica!!!
Abans de tenir tots aquests mètodes moderns, cap institució t’enviava un paper dient-te com havies de signar, cadascú signava del seu punt i lletra. I el fet de fer-ho manualment feia que es pogués saber si hom havia signat un document.
Avui en dia, les signatures són electròniques, aixà que la signatura no depèn de qui fa l’acció, ja que qualsevol pot fer-la. I només depèn de si disposes de la clau privada per realitzar-la.
Partint d’aquesta última consideració, ens trobem que si la nostra clau (normalment un nombre de 2048 bits, que són 256 carà cters) la té més d’una persona, tots poden fer-se passar per nosaltres i no hi haurà cap sistema que pugui contradir-ho. Ja que les signatures digitals són com un segell i totes surten igual.
Doncs bé, tornant a la pregunta inicial. Qui us ha creat la vostra clau privada per a signar? Quan aneu a fer-vos el carnet espanyol us la donen directament, o us demanen que us la genereu? Quan aneu a l’agència tributaria són ells qui us generen la clau privada?
Doncs bé, si la resposta és sÃ, la vostra signatura no és segura, i qui us l’ha generat pot haver-se’n guardat una còpia i pot signar qualsevol cosa en nom vostre i vosaltres no podreu dir que no ho heu fet. Quines coses, oi?
La forma segura d’actuar seria:
- Vosaltres us genereu una clau privada amb els parà metres que us diguin.
- Genereu una clau pública amb aquesta còpia privada.
- Doneu la clau pública a l’organisme certificador per a que us la certifiqui
- Ara ja podeu signar amb la seguretat que ningú més podrà signar sense la clau privada
- També teniu la clau pública certificada, per a que tothom pugui comprovar que sou vosaltres qui heu signat.
- Si perdeu la clau privada o us la roben, heu d’anar a l’organisme certificador per anular-la i tornar a fer el mateix procés per a tenir-ne una de nova.
Jo no en tinc encara, aixà que no estic segur que els organismes públics actuïn aixÃ. Però tinc la sospita que és aixÃ. Algú que ho pugui desmentir?Â
jul 29, 2008 @ 14:03:37
Doncs diria que en cap cas et deixen generar-te tu la clau privada, el que deixen és que posis una contrassenya al certificat, el qual pots canviar sempre que vulguis a l’ordinador.
Jo tinc l’idCat i el DNI electrònic, el primer vaig canviar la contrasenya només arribar a casa i el segon, a la mateixa comisseria hi ha lectors, on també vaig fer aquest pas.
No sé fins a quin punt aquestes contrasenyes limiten l’ús de la signatura a la persona que te l’ha emès…
Realment és un tema a tenir en compte, ja que cada dia hi ha més opcions a utilitzar aquestes eines electròniques, i com bé dius, pot ser molt fà cil suplentar la identitat d’algú!
jul 29, 2008 @ 15:02:03
La contrasenya no és per al certificat, ja que aquest és públic. El certificat conté la teva clau pública signada per l’autoritat certificadora. Serveix per comprovar que tu has signat un document, i ho avala l’autoritat certificadora amb la seva signatura. Signatura que també pots comprovar fins a arribar a una Autoritat Certificadora arrel en qui tothom confia.
Aixà que la contrasenya només serveix per a que ningú pugui accedir a “la teva” clau privada si te la roben. Però ells segueixen tenint la clau privada. Ja que te l’han generat ells. De totes formes, si te la roben el millor és revocar-la i generar-ne una de nova.
La pregunta és: perquè som tant submisos que acceptem això?
Penseu que al ser una signatura amb valor legal, us poden imputar qualsevol acte. Des de la compra de material utilitzat per actes terroristes, fins a la venda de la vostra pròpia casa, o qualsevol altra cosa que us pot portar molts problemes en un futur.
jul 29, 2008 @ 15:10:12
jo mles dec laracions trimestrals les envio amb certificació d’hicenda, vaig entrar en una web que desde la web de hicenta et recomana, poses les dades i et dona una numeració , despres t’atanses a la oficina de hicenta i et crea un certificat electronic amb una validesa de 2 anys i que serveix per treballar amb ells, als ajuntaments fan aixó del idcat, que no funciona mab safari ni amb la seguretat social o sigui un fracas ara per ara.
jul 29, 2008 @ 15:55:59
He decidit fer la consulta directament als de CATcert, viam que en diuen. Però suposo que li tocarà respondre a algú sense coneixements i seguirem amb el mateix dubte.
@rafel, és normal que no serveix el idCAT amb hisenda. Ja que CATcert és una Autoritat Certificadora Arrel, i no té cap relació amb Hisenda. Aixà que hisenda no té cap motiu per refiar-se dels seus certificats. És com si els policies haguessin de fer cas dels carnets del club de polo per identificar a una persona.
Respecte a l’ús dels certificats al MAC i per Safari cal utilitzar l’eina Accés a Clauers. On s’instal·len els certificats, claus, … i tels pots organitzar amb clauers amb diferents mesures de seguretat per cadascun d’ells.
jul 29, 2008 @ 16:45:10
aixó ho tinc que apemdre a fer, ja que tinc 2 comptes de correus que m’estan donan mal de cap amb el “punyetero” certificat.
salut
jul 29, 2008 @ 16:52:50
Ui, ara acabo de mirar com se fa per utilitzar xifrat al Mail, i es veu que no es pot fer. He trobat una eina que afegeix aquesta funcionalitat, però em diu que no serveix per la meva versió del Mail. Per si algú ho vol provar: – http://www.sente.ch/software/GPGMail/English.lproj/GPGMail.html
Per cert, estic buscant més informació sobre el tema, i llegeixo que la clau privada la genera la pròpia targeta i que en cap cas, ningú pot accedir-hi. De totes formes, segueixo pensant que és insegur.
jul 29, 2008 @ 17:20:05
No és per contradir, però l’idCat si que serveix per hisenda, és el que vaig fer servir per presentar la meva declaració.
I l’idCat es pot instal·lar al FireFox amb Mac, tinc pendent un post de fa temps, on explicar com s’instal·la i s’utilitza. A veure si trobo un moment i l’acabo. 
jul 29, 2008 @ 17:21:04
@Xin – Per altra banda l’idCat diu que només soporta Windows per fer la signatura electrònica, la resta diuen que no té suport.
jul 29, 2008 @ 17:28:12
Ahh, doncs bé. Senyal que els d’hisenda se’n refient.
Això va a gustos. 
Bé, només dir que abans m’he expressat malament, i no havia de ser tant categòric a l’hora de dir que no se’n refien perquè era una CA arrel.
Matisant-t’ho, s’ha de dir que cadascú és lliure de fiar-se de qualsevol entitat certificadora. Només cal importar el seu certificat i indicar que és de total confiança. Aixà que si algú s’identifica amb un certificat que ha emès aquesta CA, doncs en tractarà les dades com a và lides.
jul 29, 2008 @ 17:31:51
@mlaboria, en principi això dels navegadors és una ximpleria, ja que els certificats són tot iguals. I és cosa del navegador si els fa servir correctament o no.
Tanmateix, llegint per internet, diuen que el Safari no permet signar amb més d’una identitat un mateix document. Aixà que és possible que tingui limitacions. Però no té res a veure amb l’idCAT.
Viam si trobo més informació.
jul 29, 2008 @ 18:02:40
@Xin – El tema de l’idCat és que el certificat està a una clau usb, per tant ha d’instal·lar no sé què per funcionar i per això em sembla que només ho han adaptat al FireFox. Aquà hi ha més informació: http://www.idcat.net/idcat/jsp/guies/clauer/mac/guia%20usuari%20clauer%20idCAT_MAC_OS_(intel%20×86).pdf
jul 29, 2008 @ 18:56:30
Bé, he fet més investigació, i m’he creat una Autoritat Certificadora a qui li he demanat un certificat. Bé el procés ha estat el següent: - El MAC ha agafat la meva clau privada de l’ordinador (me’n podia crear una de nova) - Ha enviat una petició a la autoritat certificadora via mail, indicant-li la seva clau pública. - Com a CA he rebut la petició i li he creat un certificat que li he retornat per correu. - La pròpia CA s’ha guardat el propi certificat que ha creat. - Al fer doble clic, s’ha instal·lat el certificat i s’ha associat a la clau privada que l’ha demanat. - Ara mateix, tinc una clau privada amb dos certificats diferents.
He de suposar que l’Internet Explorer i el Firefox creen una clau privada i envien una petició de certificació indicant la clau pública. Quan la reben s’associen ambdues i ja queden instal·lades.
Xifratge amb el Mail | Bloc d'Apple en CatalÃ
ago 06, 2008 @ 12:09:48
[...] una entrada anterior (enllaç) vaig parlar sobre la relativa seguretat que ens oferien les entitats públiques. On mostrava les [...]