Firma digital de actas UPV/EHU en Linux

Bueno, el Vicegerente de las TICS en la UPV/EHU prometió que para Junio habría soporte Linux en la aplicación de firma online. Pues bien, ha cumplido su promesa.

El problema viene de hace tiempo. En febrero de este año nos quejamos dentro de la lista de distribución de ITSAS, porque los profesores que no usamos Windows estábamos obligados a pasar por el aro si queríamos firmar digitalmente las actas de nuestras asignaturas. La queja no fue al aire: nos organizamos para llamar coordinadamente al CAU (Centro de Atención al Usuario) y documentar todas las incidencias. El resultado fue inmediato: al día siguiente le comentaron a Dani G. que paráramos la queja, porque «estaban trabajando en elloooo» 🙂 y que en Junio estaría la nueva versión funcionando en Linux.

Resumiendo, la semana pasada me enviaron un mensaje indicando que ya estaba disponible en pruebas la versión Linux. Basta con entrar en http://gestion.ehu.es/gaur (la misma URL para Windowseros y Linuxeros) como profesor, y en la parte izquierda seleccionar Exámenes / Programa Prueba Firma Digital. En la parte superior también podéis descargar la documentación. El proceso es sencillo si has trabajado antes con firma digital. Si no, tendrás que instalar distintos paquetes para soporte de SmartCards .

Mis pruebas han sido hechas con Ubuntu 8.04 (viejita, ¿eh?), Firefox 3.6 y el JRE 1.6.20.

Tarjeta ONA, Izenpe y Firefox… ¡en Windows!

En Enero de 2008 publiqué un documento explicativo sobre cómo hacer funcionar la tarjeta ONA de Izenpe en Firefox… bajo Linux, lógicamente. Lo hice en euskera y, gracias a la traducción de Aitor Cuartango, también en castellano. El caso es que, tiempo después, Izenpe vió que Linux era bueno, y creó la luz… digoooo, creó el how-to para Linux, o más bien, para distintasversiones de Linux (yo creo que con una bastaba, pero está bien… mejor que sobre que no que falte 😉

UPDATE (7/09/2009): Las URLs de los manuales han cambiado, dado que los propios manuales han sufrido un lavado de cara (¡a mejor!). Éstas son las nuevas direcciones (agradecer a IZENPE por el aviso que nos ha enviado):

Ubuntu 8.04 Fedora 9 OpenSUSE 11

(dejo aquí las referencias a las versiones anteriores, para que veáis que efectivamente, ha habido renovación Ubuntu 8.04, Fedora 9, OpenSUSE 11 )

El caso es que hoy he tenido que probar la tarjeta ONA en Windows. No problem, me he dicho, hago uso del instalador de IZENPE para Windows y se acabó, ¿no? Pues no. No ha instalado los certificados de Izenpe en el sitio correspondiente (Herramientas/Opciones/Avanzado/Cifrado/Ver Certificados/Autoridades). Hay que hacerlo a mano. Pulsando (una vez situados en la pestaña indicada) en el botón «Importar…». y seleccionándolos del CD PROGRAMASCERTIFICADOS_IZENPE. Yo he instalado los 6 que había (aunque seguramente con menos valdría).

¿Ya está? Pues no. Ahora hay que instalar la DLL que permite a Firefox consultar el lector de tarjetas inteligentes y en concreto comunicarse con la tarjeta ONA. ¿Cómo? Desde la pestaña Herramientas/Opciones/Avanzado/Cifrado/, pulsamos en «Dispositivos de Seguridad». Ahora en el botón Cargar. Le damos el nombre Izenpe y en «Archivo del módulo» seleccionamos c:windowssystem32aetpkss1.dll . Ver imagen adjunta.

Por fin, puedo firmar desde Firefox tanto en Linux… como en Windows. 😉

El diablo está en los detalles

Idoid Mendía, portavoz del Gobierno Vasco y consejera de Justicia y Administración Pública, indicó recientemente algunas líneas de trabajo que el Gobierno Vasco acometerá relacionadas con temas que nos interesan en este blog: software libre, firma digital y neutralidad tecnológica; básicamente: mayor atención al software libre y de código abierto por parte de la Administración (como venimos pidiendo desde hace años, incluído el partido de la portavoz, estando en la oposición), promoción de la accesibilidad de los servicios públicos «para los usuarios de todos los sistemas operativos» (hasta que no lo vea no me lo creeré, porque llevamos años sufriendo situaciones bochornosas), e integración de los certificados de Izenpe con el DNI electrónico (ya hablamos sobre los reinos de Izenpe, FNMT, Camerfirma… y que nuestras carteras – no por dinero, sino por espacio físico – agradecerían cualquier iniciativa de integración).

No obstante, no entraré en los puntos anteriores (ya habrá tiempo cuando las palabras se transformen en hechos… ¡y ojalá que así sea!) Entraré en otros detalles (Devil Is In The Details). En detalles que saltan a la vista (al menos a la de los lectores tiquismiquis 😉 Frases que chocan.

Apostaremos por la neutralidad tecnológica y desarrollaremos un modelo de estándares de software libre. De esta manera, las soluciones abiertas competirán en igualdad con aquellas basadas en licencias

Sé que la portavoz del Gobierno controla perfectamente la diferencia entre software libre y privativo. O entre software libre y no libre como prefiero decir por ciertos detalles. Así que, quiero atribuir el despiste al periodista más que a la portavoz. El caso es que contraponer «soluciones abiertas» a aquellas basadas en licencias me suena poco menos que a herejía.

Si en algo se basa el éxito del software libre y/o de código abierto es precisamente en su LICENCIA. Las licencias son la razón de ser del software libre (por cumplir alguna licencia libre aprobada por la FSF), por cumplir alguna licencia aprobada por la OSI, o por cumplir ambas dos. Contraponer «soluciones abiertas» a aquellas basadas en licencias es un error.

No ha sido el único error relacionado con licencias que he visto hoy en prensa. En Diario Vasco, a raíz de la presentación de ayer del proyecto GureGipuzkoa.net, podemos leer :

De ahí que, aunque a los usuarios que quieren subir una fotografía a GureGipuzkoa.net se les ofrece elegir entre ocho tipos de licencias de uso, desde la Diputación se recomienda la de Creative Commons Reconocimiento-Compartir, que permite el uso libre de las imágenes siempre que se cite su procedencia.

CC-by-sa permite el uso de las imágenes siempre que se cite su procedencia y se mantenga la licencia cc-by-sa (igual, similar o compatible dice la propia web de CreativeCommons)

Así que no vale con únicamente «citar su procedencia». Es obligatorio e igual de importante mantener la misma licencia. Detalles, detalles, detalles.

Mal de muchos consuelo de tontos pensarán algunos. Noticias de Gipuzkoa se apunta también a las erratas e incorrecciones tecnológicas que los medios nos cuelan últimamente. En la misma noticia sobre GureGipuzkoa.net, se indica:

Eskisabel explicó que los usuarios pueden acogerse a ocho licencias, si bien desde el Departamento de Cultura recomiendan hacer uso de la licencia Creative Commos, que es compatible con Wikipedia y posibilita ampliar el uso de las fotografías.

Aquí el error es cuádruple (en una sóla frase, no está mal): Eskisabel no dijo lo que el artículo dice que dijo. Eskisabel dijo explícitamente que se recomienda el uso de la licencia CC-by-sa, compatible con los textos y fotografías de la Wikipedia.

El nombre de la licencia es incorrecto: Creative «Commos» no existe (segundo error). Tampoco existe la licencia Creative Commons a secas (tercer error). Tiene que ser alguna de las seis que se indican en esta tabla (cc-by, cc-sa, cc-by-nd, cc-by-nc, cc-by-nc-sa, cc-by-nc, nd).

El cuarto error (implícito) es que la Wikipedia tiene como licencia principal de sus contenidos la CC-by-sa (y en concreto esa licencia y no otra de las 6 licencias CC posibles). Esto ha sido un proceso largo y costoso que culminó recientemente.

El diablo está en los detalles. Y más que debería estarlo en medios de comunicación masivos del siglo XXI.

Certificados digitales: algunas ideas de uso

Estos días, sufro en mis carnes, con la llegada de mi hijo Jon, la pesadilla de la burocracia post-parto que el Agorante Aberrante ya nos adelantó hace unas semanas. A pesar de que lo tenía en mente, la pereza ha podido conmigo y he preferido pasar por el aro: comprarme una carpeta azul y a llenarla de fotocopias. Lo peor no son las fotocopias, sino la peregrinación por la Seguridad Social, ambulatorio, SAC, caja de ahorros, guardería, … para realizar numerosos trámites burocráticos CON PAPEL, BOLI Y FOTOCOPIAS. Sí, en pleno siglo XXI, con la cartera llena de certificados digitales (el certificado de ciudadano Izenpe, el certificado de pertenencia a empresa – UPV/EHU -, el certificado de la tarjeta sanitaria ONA, el certificado del DNI electrónico, el certificado de estudiante -de postgrado- de la UPV/EHU …) NO puedo usar ninguno de ellos para:

* apuntar a mi hijo a la guardería (Haurreskolak): necesario -fotocopias del libro de familia-, sello por triplicado de la caja de ahorros, asegurando que el número de cuenta que les paso es de mi propiedad, fotocopia del DNI de ambos padres, fotocopia de la última declaración de la renta de ambos padres, fotocopia del certificado de empadronamiento.

*solicitar la ayuda por hijo: fotocopia DNI de los padres, fotocopia del libro de familia, documento que acredite que la cuenta bancaria me pertenece, fotocopia del padrón.

El Agorante ya creó un grupo «Trámites sin fotocopias» en Facebook para protestar por este anquilosamiento de la administración. Realmente disponemos de la tecnología y los conocimientos necesarios para evitar TODOS los papeles, fotocopias, viajes, sellos y manguitos de los que hemos hablado: basta con hacer uso de alguno de los 5 o 6 certificados distintos que tenemos cada uno de nosotros en las carteras. Bastaría con que la administración se decidiera a apostar de verdad por una administración sin papeles, digital, propia del siglo XXI.

Mediante el certificado digital podría autenticarme ante la administración y firmar digitalmente cualquier documento. Las marcas de tiempo (timestamp) permitirían garantizar que el documento se firmó en los plazos convenidos. La firma múltiple permitiría que mi mujer y yo pudiéramos firmar el mismo documento digital. El identificador único de usuario debería de permitir cruzar nuestros datos con las bases de datos de la administración (ya existentes), de tal forma que se comprobara de forma automática que efectivamente somos ciudadanos vascos residentes en Irún, Donostia o Abaltzizketa, empadronados hace X años y con determinada cuenta corriente en el banco (esto último ni siquiera hay que comprobarlo con el banco, bastaría con verificar con el usuario que el mismo número que se ha dado a la administración en las 547 veces anteriores sigue siendo válido) Verbigracia: cójase el número de cuenta corriente de la última declaración de la renta.

Por supuesto, el sitio web que albergara estos formularios, dispuestos para ser cumplimentados y firmados digitalmente, debería de ser accesible para todos los ciudadanos (evitando situaciones bochornosas por muchos botoncitos WAI que se pongan).

Y ya puestos a rizar el rizo, dado que la cumplimentación sería digital, podríamos hacer un seguimiento del estado por el que pasa cada documento (la petición de ayuda económica ha sido cumplimentada en Irún, ha llegado a Donostia, ha sido aprobada, el ingreso se ha realizado…) vía web…

Adelantándome a los «peros» que siempre oigo al proponer el uso masivo de la firma digital:

* «pero es que la ley de protección de datos no haría posible que _póngase_aquí_aquello_que_no_se_quiere_ver_implementado»

Espero que la ley de protección de datos permita que el usuario, libremente, de su consentimiento a que sus datos puedan ser usados por la administración pública (todas ellas) para facilitarle la vida burocrática. Es decir, que si Salud quiere comunicarse con Hacienda para validar mi última declaración, o mi última cuenta bancaria, lo pueda hacer.

* «pero es que las bases de datos de las administraciones no se comunican bien entre sí…»

Y mientras sigan así nos tiraremos los próximos 2000 años con la misma excusa…

* «Pero es que el certificado de Izenpe no es válido, este documento sólo se puede firmar con el de la FNMT»

¡Aaaaargghhh! Reino de Taifas… ¿Por qué cada autoridad de certificación se quiere colgar sus propias medallas? ¿Por qué no hay un reconocimiento global de autoridades Izenpe/FNMT/Camerfirma…?

* «pero es que los funcionarios no saben usar los certificados digitales esos…»

[BIS] Y mientras sigan así nos tiraremos los próximos 2000 años con la misma excusa…

Sí, lo sé, a veces da la impresión de que vivo en otro mundo – de Yuppy? – , pero dificilmente conseguirás aquello que ni siquiera consigues visualizar en sueños.

Sinadura 1.3 publica el código fuente y manual técnico

David Olmos (Zylk.net) me envió a finales de año información sobre el código fuente de la versión 1.3 de Sinadura, la aplicación libre para el uso de firma digital en Linux (en concreto, para la firma digital de documentos PDF).

«Acabamos de publicar las fuentes de la versión 1.3 de sinadura, está dividido en en core y en desktop como en la v.1.0. Hemos estado limpiándolas un poco y, todavía no tenemos manual para explicar cómo se configura el proyecto para compilar desde las fuentes y satisfacer las dependencias, pero dános unas semanas y estará todo publicado.»

Dicho y hecho, han pasado unas semanas y ya tenemos manual técnico, que nos explica paso a paso cómo descargar y compilas las fuentes de Sinadura. Entre las funcionalidades que se requieren con más urgencia yo destacaría el soporte a la comprobación de listas de revocación (si no se comprueba no podremos realmente confirmar la validez de un certificado) y el soporte a la firma múltiple (imprescindible para firmar actas con certificado digital por parte de varias personas).

Igual hasta se podrían proponer estas funcionalidades al Google Summer Of Code 2009… si es que este año Google también se anima a llevarlo adelante (con eso de la crisis, lo veo difícil…)