• Soporte para el DNIe y lectores de C3PO en Firefox, Evolution y OpenOffice
• Soporte para certificados digitales en archivos p12 que se encuentren en una memoria USB
• Soporte para importar los certificados raiz de la Policía Nacional y de la FNMT en Firefox de forma sencilla
• Configuracion de las librerías de Java necesarias para que los trámites con la Junta de Andalucía que las requiren funcionen: JSS3.3

• Escribir manual de usuario
• Modificar la sesión por defecto de GNOME para que lance un script que mire si hay certificados en el directorio $HOME/certificados y si los hay los configure

• Cambio de una opción por defecto de Firefox: debe preguntar siempre qué certificado se tiene que usar cuando una web le pide uno.
• Los usuarios nuevos pertenecen al grupo scard (smart cards)
• El fichero /etc/libccid_Info.plist ha sido modificado para que funcionen los nuevos lectores de C3PO
• Hermes ha sido moficiado para que pueda ejecutar más de un actor en un mismo dispositivo hardware (memorias USB)
• El DNIe no permite firmar correos electrónicos ni tampoco cifrar mensajes. Para que pudiera firmar correos sería necesario que la dirección de correo electrónico del usuario estuviera almacenada dentro del DNIe.

• Probar todos los trámites posibles de la Junta de Andalucía:
  • Solicitud de carnet de lector la biblioteca: Probado
  • Generación de etiquetas fiscales: Probado

General:

• Spec

Certificados:

• Certificados FNMT en Linux Mini-HOWTO
• NSS Security Tools
• Manejo de certificados con Mozilla Network Security Services
• signtool (doc) y certutil (doc) están dentro del paquete libnss3-tools, que depende de libnspr4-0d y libnss3-0d (todos en Universe)
• Mirar Chapter 2: Security, concretamente el hack #17, de Firefox Hacks para una explicación de cómo manejar los certificados de Firefox desde la línea de comandos.
• La morada de Vradick: Uso práctico de un certificado digital
• Foro con problemas para firmar documentos en OpenOffice

Tarjetas:

• Soporte GNU/Linux para e-DNI en Ministerio Interior (drivers para tarjetas FNMT-Ceres actualmente en desarrollo)
• Utilizar tarjeta criptográfica en GNU/Linux

Lectores:

• Instalar driver Omnikey CardMan 2020 usb
• Instalación lectores C3PO en Linux

Antiguo (obsoleto):

• Sitio alternativo para descargar OpenSC-Ceres no contiene opensc-0.8.1
• Acceso repositorio proyecto OpenSC tb hay tiene antiguas versiones en releases
• Opinión de OpenSC-Ceres y FNMT con GNU/Linux
• OpenSC-Ceres no funciona actualmente

Firma de PDFs (actualmente fuera de alcance):

• librería java iText
• Tool basado en iText
• poner imágenes en otra capa para visualizar firma
• Firmar PDF con iText y Belgique eID

Recursos de e-administración:

• SOPORTE A LA ADMINISTRACIÓN ELECTRÓNICA
• http://andaluciajunta.es/aj-cat-.html?p=/Servicios/Administracion_electronica/&n=/Novedades/

• Lectores externos
  • C3PO: he hablado con Josep Monés (02-11-06) para obtener una lista de los VendorId/ProductId de todos sus lectores USB (cumplen CCID)
    • LTC31 USB v1
    • LTC31 USB v2
• Lectores teclado
• Lectores portátiles
• móviles

• estudiar Hermes
  • visto con Gumer
• estudiar posibilidad de tener paquetes preinstalados: pcscd, pcsc-tools, libccid
  • determinar tamaños de los paquetes necesarios para decidir si se proveen con los CDs o ya estarían instalados en los diferentes flavours de Guadalinex: < 200K.
• comprobar si el evento de inserción de tarjetas pasa a través de hald: No (probado con hermes_hardware.py corriendo, y sudo pcscd -f -d)
• estudiar cómo realizar las notificaciones para inserción a tarjetas
  • Alternativa 1: a través libccid, notificando al kernel que lo notifica a través de hald por dbus
  • Alternativa 2: a través de pcscd, insertando un mensaje en dbus
  • Alternativa 3 ?: a través de OpenCT
• pcscd y drivers:
  • carga de los drivers puerto serie RS232: config en /etc/readers.conf, drivers en: /usr/lib/pcsc/drivers
  • carga de los drivers USB: sin modificar /etc/readers.conf, drivers vienen bundles, usa: if-ccid.bundle (libccid)
  • libccid (para protocolo CCID con lector Smartcard), soporte de lectores se puede ver son apt-cache show libccid
  • para C3PO LTC31 USBv2 es necesario modificar el /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.list == /etc/libccid_Info.plist (para incluir vendorid:productid, podría hacerse con parche)
  • TODO: incluir lista VendorId/ProductId lectores en pcsc

• Tarjetas
  • para ver tipo de tarjeta insertada, usar: pcsc_scan
  • ruta lista tarjetas: dapper: /usr/lib/pcsc/smartcard_list.txt, en Edgy: /usr/share/pcsc/smartcard_list.txt (! ha cambiado !)
  • mandado correo a FNMT para obtener lista de tarjetas con sus ATR. Obtenido respuesta de Josep Monés con los ATR de 3 tarjetas.
  • mandado correo a ludovic para incluir tarjeta FNMT-WG10 y los que me ha dado Josep. (2-11-06)
  • TODO: verificar e incluir nuevo smartcard_list.txt

• Tarjetas criptográficas FNMT-Ceres y DNI electrónico
  • Hay en producción una nueva versión con versiones actualizadas para DNI-e y tb tarjetas FNMT-Ceres
  • OpenSC+drivers (DNI-e + Ceres) nuevos redistribuibles? En principio sí.
    • mandado otro correo a Juan Antonio Martínez (31-10-06), recibido respuesta 31-10-06
    • mandado correo a oficinatecnica@dnielectronico.es y a tarjetas@fnmt.es (2-11-06)
    • charla telefónica con Josep (2-11-06)
  • Es necesario OpenSC-Ceres para tarjetas FNMT para soporte pkcs#11
  • OpenSC-Ceres no está mantenido / actualizado. Se puede recompilar, pero necesita OpenSC-0.8.1 (se puede obtener desde repositorio OpenSC)
    • Mandado correo a Juan Antonio Martínez Castaño para preguntar posibilidad actualización. (26-10-06)
    • resuelto con nuevo OpenSC. (02-11-06)
  • estudiar OpenCT: ¿es alternativa a pcscd? TODO
  • ¿Qué es pkcs#11/Cryptoki? Estándar RSA para accesos a dispositivos (token) criptográficos (tarjetas), para firmar, comprobación de firma, etc. define API en C Sitio RSA
  • ¿Qué es pkcs#15? Estándar RSA de cómo almacenar la información en una tarjeta (token criptográfico)
  • ¿hace falta OpenSC-ceres para usarlo con tarjetas FNMT pkcs#11? Sí.

• En la direccion http://www.dnielectronico.es/descargas/PKCS11_para_Sistemas_Unix/DNIe_ubuntu_dapper.ZIP se han descargado los paquetes Debian para el DNIe. Son para Ubuntu Dapper pero es que los paquetes para Edgy estan aun en desarrollo y no estaran disponibles hasta mediados de Enero como muy pronto.

• Los paquetes son:
  • mozilla-opensc_0.11.1-svn1_i386.deb
  • libopensc2_0.11.1-svn1_i386.deb
  • opensc_0.11.1-svn1_i386.deb
  • libopensc2-dev_0.11.1-svn1_i386.deb
  • opensc-dnie_1.2.1-3_i386.deb
• Las dependencias de estos paquetes son:
  • libltdl3
  • pinentry-gtk2
  • libssl-dev (linux-libc-dev, libc6-dev, zlib1g-dev)
  • libopenct1
  • libpcsclite1
• Los siguientes paquetes no son dependencias directas pero son necesarios para que todo funcione:
  • pcscd
  • pcsc-tools
  • openct
  • libccid (este deberia estar instalado por ser una dependencia del paquete guadalinex-eadmin)

• El plugin para Mozilla no funciona porque instala un enlace simbolico roto en /usr/lib/[mozilla|firefox]/plugins/opensc-signer.so que apunta a /usr/lib/opensc/opensc-signer.so pero que no existe. No tengo claro que hace exactamente este plugin. Se ha solucionado instalando los paquetes anteriores pero en su version de Edgy y las dependencias no explicitas citadas mas arriba.

• El paquete opensc-dnie hace cosas especiales en el script de postinstalacion:
  • Modifica algunos archivos de configuracion de opensc
  • Modifica la sesion por defecto de GNOME y KDE.
  • Pide al usuario que cierre la sesion actual y vuelva a entrar.
  • En el siguiente inicio de sesion se lanza el Firefox dos veces:
    • La primera es para instalar el certificado raiz de la policia nacional
    • La segunda es para instalar el modulo pkcs11
• Se ha reempaquetado el paquete opensc-dnie para evitar estos problemas y cambiar sus dependencias a los paquetes mainstream.

• El paquete openct tiene un problema. Crea un directorio en /var/run/openct y solo permite acceder a root y al grupo scard. Por ello se han decidido hacer dos cosas:
  • Preconfigurar el grupo scard en la instalacion para que todos los usuarios sean miembros de este grupo
  • Aniadir una comprobacion al actor de Hermes de los lectores de tarjetas para que compruebe que el usuario es miembro del grupo scard, y si no lo es, lo meta. Ver ticket #211

Estos comandos se encuentran en el paquete libnss3-tools, que depende de libnspr4-0d y libnss3-0d. Todos estos paquetes estan en Universe.

* Para agregar un certificado raiz de una CA:

certutil -A -a -d "." -i /usr/share/ca-certificates/fnmt/FNMTClase2CA.crt -n "FNMT" -t "TCu,Cu,Cu"

Importante: a diferencia de lo que dice el hack 17 de los Firefox hacks, el certificado no puede estar en formato DER. Tiene que ser en ASCII.

* Para agregar un certificado de usuario:

pk12util -i /home/lgs/micertificado.pk12 -d "." -w fichero_con_el_password

* Para listar los certificados:

certutil -L -d "."

* Para incluir el modulo criptografico del DNIe:

modutil -add DNIe -libfile /usr/lib/opensc-pkcs11.so -mechanisms FRIENDLY -dbdir "."

* Para listar los modulos criptograficos:

modutil -list -dbdir "."

* Para crear un profile de Firefox en caso de que no hubiera ninguo creado aun:

firefox -CreateProfile "nombre"

• determinar ubicación de certificados en UBUNTU Dapper/Edgy
  • Certicados autoridades: /etc/ssl/certs, muchos enlaces a /usr/share/ca-certificates/*/*.{crt,pem}
  • Certificados autoridades: /usr/share/ca-certificates/[organizacion]/certificado.{crt,pem} certificados que vienen con distribución, se a todos se crean enlaces en /etc/ssl/certs
  • certificados considerados raiz de OpenSSL: /etc/ssl/certs/ca-certificates.crt
  • $HOME/.mozilla/firefox/<nombre-perfil>/cert8.db (secmod.db?)
  • Evolution: $HOME/.evolution/cert8.db (secmod.db?)
  • OpenOffice: indicado por variable de entorno: MOZILLA_CERTIFICATE_FOLDER, que tiene que tener la ruta completa, ejemplo: /home/erevilla/.mozilla/firefox/olqyhve8.default/. Sin embargo, OpenOffice peta al firmar: versión: OpenOffice 2.0.2, Ubuntu Dapper 6.06
• OpenOffice crash:
  • parece específicamente Ubuntu: https://launchpad.net/distros/ubuntu/+source/openoffice.org/+bug/48040
  • En Debian Sarge, no hay crash. La firma funciona correctamente (me lo ha demostrado Rafa Martin). De hecho, el OpenOffice 2.0 de la Sarge funciona perfectamente con Edgy y puede ser una alternativa buena.

• Spec antigua: http://development.openoffice.org/releases/1.9.m54_snapshot.html

• Josep Monés Teixidor: Desarrollador FNMT/C3PO opensc jmt en c3po punto es
• Juan Antonio Martínez Castaño: Desarrollador proyecto OpenSC-Ceres, OpenSC, pkcs#11, www: http://oasis.dit.upm.es/~jantonio/, correo: jonsito en teleline punto es
• Albert Solana: Desarrollador C3PO. asb en c3po punto es