OpenDNIe y Ceres en AZLinux

Transcript

1. OpenDNIe y Ceres en AZLinux Jose Antonio Chavarría 26 de

   mayo de 2011 OpenDNIe hackfest

2. 1 Antecedentes

3. 2 Ingeniería de paquetes

4. 3 Funcionalidades

5. 4 Encaje de bolillos

6. 5 Realidad y deseo

7. 6 OpenDNIe significa... 1. Sólo OpenSC 2. Todas las distribuciones

   3. Independencia tecnológica real

8. 7 Pero Ceres es más usado... 1. Administración electrónica nace

   en la propia Administración 2. Los ciudadanos no tienen tantos lectores de tarjeta 3. Si el DNIe caduca, no se suele renovar 4. Es más fácil de desbloquear que el DNIe

9. 8 • Linux • DNIe • y Ceres Tan sólo

   queremos usar... Todo a la vez. ¿Nos echáis una mano? ;)

10. Gracias [email protected]

11. OpenDNIe y Ceres en AZLinux Autor: Jose Antonio Chavarría Fecha:

    26 de mayo de 2011 Introducción Pertenezco al Grupo de Software Libre (GSL) del Ayuntamiento de Zaragoza y la visión de los proyectos Ceres y DNIe que voy a aportar en esta charla es más pragmática (de usuario final, de consumidor de productos) que técnica (como la que podría tener un desarrollador o alguien especialista en leyes). Mi labor principal dentro del GSL es preparar y acondicionar el software necesario para el trabajo diario de los funcionarios del Ayuntamiento para que funcione en el entorno Linux que hemos adaptado (que es a lo que nosotros llamamos AZLinux). Antecedentes Las organizaciones que más certificados digitales tienen emitidos en España, son: • FNMT (Fábrica Nacional de Moneda y Timbre): que emite certificados de 2 tipos: • Clase 2 (para trámites de los ciudadanos y empresas con la administración) • AP/APE (para el personal de las administraciones públicas) • DGP (Dirección General de Policía): que emite el DNIe. Ambos organismos han proporcionado software para sistemas Linux desde el principio, pero sin adaptarse al medio. Linux, como software libre, significa, entre otras cosas, evolución continua. El software que estas instituciones han puesto a disposición del público ha sido siempre adaptado para distribuciones concretas de Linux. No estaba disponible ni para todas las distribuciones ni para todas las versiones. Debido en gran medida a esto, siempre ha sido muy complicado hacer funcionar estos módulos criptográficos en estas plataformas, porque lo que funcionaba ayer, posiblemente dejaba de funcionar hoy (debido a las constantes actualizaciones de las distribuciones). AZLinux y los módulos criptográficos Para entender las soluciones adoptadas en el Ayuntamiento de Zaragoza respecto al software libre y los módulos Ceres y DNIe, es necesario conocer parte de su historia y evolución. Brevemente, este es el resumen.

12. Era pre-AZLinux En el año 2006, se inicia la elaboración

    de un prototipo de escritorio libre (puesto de trabajo del empleado municipal). Está basado en SuSE Linux Enterprise Desktop, ya que nuestros servidores de autentificación, correo y ficheros eran (y siguen siendo) sistemas Novell. En aquel momento, los técnicos encargados del proyecto no tenían formación específica en sistemas Linux y se requirió la asistencia de un consultor externo al Ayuntamiento para formar a los técnicos y realizar las primeras iteraciones del prototipo. Desde el principio, fue un requisito esencial que las tarjetas con certificados Ceres de los empleados municipales funcionaran en el sistema Linux, ya que el proyecto de Administración Electrónica estaba ya gestándose en el Ayuntamiento. La integración del módulo Ceres en este prototipo corre a cargo de este consultor externo debido a su complejidad técnica, puesto que no existía una versión específica para nuestra distribución Linux. Respecto al DNIe, aunque se intenta, no se consigue integrar conjuntamente al de Ceres, por lo que se descarta en ese momento. Al ser nuestra distribución específica para el empleado municipal, en aquel entonces el DNIe no era crítico para nosotros. AZLinux 1 (SLED 10) En el año 2008, el servicio de informática del Ayuntamiento amplía su plantilla con el objetivo de empezar la implantación del escritorio libre entre sus empleados. Después de 2 años, y gracias también a las nuevas incorporaciones, los técnicos del Ayuntamiento ya son auto-suficientes con el sistema Linux aunque también se cuenta con el soporte que proporciona Novell. Se sigue manteniendo SLED como sistema base, pero gracias a los conocimientos adquiridos, todas las modificaciones sobre el sistema están paquetizadas por los propios técnicos del GSL. Se empieza a gestar lo que luego se convierte en el proyecto MigasFree para la gestión del parque de ordenadores. Esta primera versión, al igual que el prototipo inicial, sólo tiene soporte para el módulo Ceres al no encontrar una misma versión de OpenSC que haga funcionar ambos sistemas criptográficos. Este es el otro gran problema que nos hemos encontrado. Al ser módulos adicionales al proyecto OpenSC, ambos dependían demasiado de una determinada versión de esta librería. Era necesario encontrar una versión concreta de OpenSC, y versiones de OpenSC-Ceres y OpenSC-DNIe adecuadas para esa versión, que además correspondieran a una versión concreta de una distribución determinada. En muchos casos, ha sido prácticamente imposible encajar todas las piezas. AZLinux 2 (openSUSE 11.2) En el año 2010, el GSL cambia el sistema base del escritorio, pasando a openSUSE 11.2, para tener acceso a versiones más modernas del software: Firefox, Thunderbird, Gnome, Evince, VLC... ya que el ciclo de desarrollo de SLED es bastante más lento (en 2006 salió SLED 10 y la siguiente versión no estuvo lista hasta 2010).

13. De nuevo, había que conseguir encajar las piezas (OpenSC, Ceres,

    DNIe) en este nuevo puzzle. La distribución openSUSE seguía sin estar entre las afortunadas que contaban con software liberado por la FNMT y la DGP. Mirando en foros de Kriptópolis, encontramos a RedDwarf, que estaba intentando hacer funcionar el DNIe en openSUSE. Gracias a una versión especial de OpenSC que él mismo compiló y a los paquetes de Ceres y DNIe que había para Fedora 10, conseguimos hacer la ingeniería de paquetes necesaria para hacer funcionar los 2 módulos criptográficos en nuestra plataforma. Fue una pequeña victoria, pero pasajera, ya que nos encontramos con un nuevo problema ajeno a nosotros y nos estábamos imponiendo, además, una pequeña barrera. Para que todo siguiera funcionando, teníamos que congelar (no actualizar) varios paquetes de la distribución: OpenSC, OpenSSH y OpenSSH- AskPass. Esta es la barrera que nos estábamos auto-imponiendo. Si nuevas versiones de software necesitaban alguna versión más actualizada de estos paquetes, sencillamente, no podíamos incorporar ese software. Si el cambio a Linux en el escritorio nos estaba proporcionando independencia tecnológica, acabábamos de perder esa ventaja. Volvíamos a depender de software de terceros (Ceres y DNIe) y no podíamos evolucionar nuestra distribución. El problema que apareció al tener disponible el DNIe en AZLinux fue que la plataforma de firma digital del propio Ayuntamiento, que es de una empresa externa, era incompatible con el software para Linux de OpenSC. Más concretamente, el applet que se ejecuta en el cliente cuando un usuario quiere acceder mediante su certificado a la plataforma de firma de digital. De nuevo, independencia tecnológica, era sólo un concepto vacío para nosotros. OpenDNIe A mediados de 2010, la DGP había liberado el fuente de OpenSC-DNIe y la comunidad había comenzado a realizar pruebas con él. Sin embargo, no quedaba clara la licencia con la que se liberaba ni si se había utilizado código de OpenSC dentro del software de la DGP. Los problemas legales paralizaron el proceso de adopción del proyecto por parte de la comunidad. Hacia finales de ese mismo año, OpenDNIe se presenta en sociedad. Un proyecto nuevo (desde cero), realizado por la comunidad (jonsito), amparado por CENATIC, en colaboración con la DGP, nacido con 2 claros objetivos: 1. Integrar el DNIe dentro del proyecto OpenSC. 2. Desatascar el problema legal que había generado la propia DGP. La integración dentro de OpenSC sólo ofrece ventajas: • Significa tener la seguridad que nuevas versiones de OpenSC van a soportar el DNIe. • Significa que el DNIe va a estar disponible para todas las distribuciones y todas las versiones de Linux para las que está disponible OpenSC.

14. • Significa, ante todo, independencia tecnológica real. En cuanto nos

    enteramos de su nacimiento, nos inscribimos en el proyecto. Algunos de nosotros aparecemos como desarrolladores en la forja, aunque en realidad sólo hemos sido probadores. OpenDNIe es un ejemplo a seguir y un ejemplo que debe repetirse. Sin ir más lejos, sería tremendamente interesante repetir esta experiencia con Ceres. El Ayuntamiento de Zaragoza, como administración pública, usa exhaustivamente este módulo criptográfico. Cada empleado municipal tiene una tarjeta Ceres, y en Zaragoza somos más de 5.500 personas trabajando en el Ayuntamiento. Actualmente, hay un uso más intensivo de los certificados Ceres que los del DNIe en España, por 3 motivos: • La administración electrónica se inicia en las administraciones públicas. • En cuanto se caduca un certificado DNIe, no se suele añadir otro. • No es tan fácil desbloquear un DNIe como una tarjeta Ceres. Resumiendo: queremos usar OpenDNIe por lo que implica y por lo que significa, pero no podremos hacerlo hasta que no se integre a Ceres dentro de OpenSC. Desde el Ayuntamiento de Zaragoza, deseamos que este hackfest sirva como incubador de un nuevo proyecto que haga esto posible. Muchas gracias a todos.