certificado digital que sirva SOLO para identificarse?

garlor

pues quiza soy un poco paranoico pero me niego a usar certificados digitales software, principalmente porque no quiero que se pueda firmar algo con ellos, pero la verdad es que son muy comodos de usar, asi pues existe algun tipo de certificado digital que te permita identificarte ( para ver los puntos que te quedan del carnet de conducir pej ) pero que no tenga norepudio?

por ejemplo el de la FNMT tiene norepudio asi que no me sirve, he visto varios emisores oficiales y ninguno tiene la posibilidad de usarse solo para identificarse

hay alguna manera de que yo mismo pueda crear un certificado digital solo para identificarme a partir de uno que tenga norepudio como por ejemplo el dni?

Mikess

hazte el de persona fisica de la FNMT que te sirve para todo y te piden firmar con autofirma igualmente.

Lo pones con contraseña en tu pc y a volar.

No entiendo el problema.

4
Bachoqueto

Los certificados digitales son una forma segura de identificación en línea que se utilizan para verificar la identidad de un individuo o empresa. Los certificados digitales emitidos por entidades certificadoras oficiales, como la FNMT, tienen un nivel de confianza muy alto y están diseñados para ser resistentes al fraude y al norepudio.

Si no quieres utilizar un certificado digital con norepudio, una opción es utilizar una herramienta de autenticación de dos factores (2FA) que te permita identificarte con tu DNI y un código temporal. Esto te permitirá acceder a servicios online de manera segura, sin tener que utilizar un certificado digital.

También es posible que puedas utilizar una aplicación de autenticación móvil, como Google Authenticator, para generar códigos temporales que te permitan identificarte en lugar de utilizar un certificado digital.

En resumen, existen alternativas a los certificados digitales con norepudio que te permiten identificarte de manera segura en línea, aunque es importante tener en cuenta que estas opciones pueden ser menos seguras que los certificados digitales emitidos por entidades certificadoras oficiales.

KarlosWins

Si no quieres instalar el certificado puedes almacenarlo en una yubikey por ejemplo.

no puedes emitir tu propio certificado para eso, la cadena de validación no estaría soportada por las webs que comentas y no te serviría de nada.

KarlosWins

En el DNIe tienes un certificado solo de autenticación, ¿no te vale?

1 respuesta
garlor

#5 se puede extraer?

aparte, yo no tengo nada claro que sea un certificado solo para identificarse, en mi organizacion tienen un certificado software que al firmar con el aparecen dos opciones, una solo para identificarse y otra para firmar, pero es un solo archivo, no se si este podra usarse para extraer el de solo identificarse, o de alguna manera "quitar el atributo" no repudio, no se si esto ultimo tiene mucho sentido, no estoy muy metido en el tema certificados

1 respuesta
KarlosWins

#6 no se puede extraer del dni porque esa es la gracia xDDD si no, sería un certificado software común. No puedes modificar nada del certificado, romperías la integridad y dejaría de ser válido.

1 respuesta
garlor

#7 esque lo que yo quiero es un certificado software .... creo que es lo que he explicado en #1

1 respuesta
KarlosWins

#8 Vale, el problema es: quieres un certificado software reconocido por la Administración y que además solo te permita autenticación. El gratuito, que es el de la FNMT, tiene autenticación y firma.

Quizás puedas conseguir alguno de representante o algo similar que sea solo de identificación, pero cobrarán por él. Indaga por la web de la FNMT a ver qué certificados tienen.

Sobre el certificado de persona física de la FNMT no tienes que instalarlo en el keystore del sistema si no quieres (aunque a mí no me parece una mala opción siempre que lo marques como no exportable).

Si finalmente te rindes y usas el de la FNMT, tienes estas opciones.

Ordenando de más a menos seguro:
-Almacenar el certificado software en un almacén de claves hardware (tienes la oferta de yubikeys a 10$, no he probado a usarla para esto pero en la documentación de la yubikey 5 se indica que tiene almacén de claves).
-Almacenarlo en el almacén de claves del sistema operativo -marcándolo como no exportable-. Te quedarías una copia protegida con una contraseña fuerte en tu gestor de contraseñas (yo uso Bitwarden) o almacenamiento extraíble + backups.
-Tener el p12 en filesystem y meter la contraseña cada vez que quieras autenticarte con él.

¿Que peligro le ves a la segunda opción? El certificado estaría protegido con la autenticación de administrador del sistema, si crees que puede pasar usaría la primera opción.

2
nervlos

A ver, cómprate un lector de dnis (menos de 10 euros) y lo usas para identificarte, y cuando acabas te vuelves a guardar el dni en la cartera.

por curiosidad puedes conseguir el certificado digital de un dni para dejarlo instalado en el pc, link oficial

yo por ejemplo gestiono casi todos los de mi familia, porque me encargo de todos sus trámites, como pasa en cualquier asesoría donde manejan cientos de clientes

2 respuestas
KarlosWins

#10 El certificado que comentas no tiene nada que ver con el del DNI. Lo que haces ahí es utilizar el certificado de firma del DNIe para obtener un certificado de autenticación y firma de la FNMT.

Los certificados del DNIe los emite el Cuerpo Nacional de Policía y los de la FNMT los emite la propia FNMT.

garlor

#10 eso es lo que hago en la actualidad, estoy preguntando si hay otra forma de hacerlo solo para identificarme con un certificado software

eso es conseguir un certificado ( el de la FNMT ) usando otro certificado para autenticarte

nervlos

creo que quizás te funcione un certificado sin clave privada, que no permiten firmar, bueno en lo personal creo que no valen para nada, pero investiga a ver si te valen para autentificarte

1 respuesta
KarlosWins

#13 Te refieres a la parte pública del certificado, que ya está incluída en el p12 que contiene también la parte privada. No tiene nada que ver y no, no vale para autenticarse porque al ser pública no tiene sentido.

En PKI la clave pública sirve para desencriptar los datos que encripta la clave privada.

https://www.cloudflare.com/es-es/learning/ssl/how-does-public-key-encryption-work/
https://en.wikipedia.org/wiki/PKCS_12

1
kidandcat

Una pregunta, ¿no te fías de la seguridad del almacén de certificados de tu sistema operativo? o lo que quieres es por otro motivo?

1 respuesta
garlor

#15 eso y que quiero usarlo como un certificado software, osea tenerlo en por ejemplo google drive y usarlo donde me convenga sin miedo a que al usarlo en sitios que quiza no sean totalmente seguros se pueda usar para firmar algo

1 respuesta
KarlosWins

#16 El peligro en este caso lo veo en el equipo en el que lo tengas instalado, no en el sitio en el que te identifiques. Recuerda que la clave privada nunca sale de tu equipo.

1 respuesta
garlor

#17 cuando digo google drive y "en sitios que quiza no sean totalmente seguros" me refiero a descargarme el certificado de google drive y usarlo en un equipo que no sea el mio habitual

1 respuesta
kidandcat

#18 creo que eso sería bastante inseguro, incluso si es solo para identificarte, hay muchos servicios online oficiales donde puedes hacer trámites que no necesitan firma, además de qué se podría acceder a un montón de información personal.

Como mínimo tiraría de una yubi key, y que el certificado no pase al pc y puedas dejarlo ahí sin querer

Independientemente de que sirva para firmar o solo para identificarte

2 respuestas
TripyLSD

#19

Como mínimo tiraría de una yubi key, y que el certificado no pase al pc y puedas dejarlo ahí querer

This

Tras

Hasta donde sé, con Cl@ve puedes identificarte con la Administración pero no firmar, para la firma necesitas Certificado. No vale para todo pero para muchas cosas si.

https://clave.gob.es/clave_Home/clave.html

Otra opción es usar una tarjeta criptográfica + lector. Metes tu certificado en una tarjeta y así no lo dejarás nunca instalado en un dispositivo. (Como el DNI-e) Pero con esto no solo podrás identificarte si no firmar tb.


Si tienes mucha mucha "paranoia" con el tema, o si sospechas que tu certificado está circulando por ahí alante siempre puedes revocar los certificados cada X tiempo y volverlos a emitir. (Pero es un coñazo)

palickpre

Cuidado con la versión de Java a la hora de firmar un documento, que te puede putear pero bien. Creo recordar que la 1.8.1 era la buena

1 respuesta
KarlosWins

#22 ¿?

1 respuesta
Akiramaster

Esto ya lo hacían las palomas en la biblia.

palickpre

#23 cuando curraba dando soporte a funcionarios, estos tenían problemas a la hora de firmar documentos y era por la versión de Java. Solo que lo tengas en cuenta si tienes que firmar alguno

1 respuesta
KarlosWins

#25 Has confundido Autofirma con Java. Necesitas utilizar siempre una versión igual o superior (de Autofirma, no de Java) a la que se indique en las páginas de la Administración que te soliciten la firma.

1 respuesta
ReEpER

IDnow de aqui poco sacará cosas interesantes.

https://www.idnow.io/products/idnow-autoident/?utm_campaign=ROW_H1_IV_Brand&utm_source=google&utm_medium=cpc&utm_content=Brand&utm_term=id%20now&gclid=CjwKCAiAkrWdBhBkEiwAZ9cdcOG0nUvBIxbD37-XyGnnuy-49UQBMWmQUvpJwsUylXbBMPP04WZa9hoCeNkQAvD_BwE

Tengo 1 ex coworker trabajando ahi.

Yo trabajo con certificados (QES mayormente) ( trusted service provider ) y estoy constantemente en contacto con CAs. :)

Tengo 3 amigos que trabajan en Yubico. De hecho estube cerca de moverme.

n3On

#26 Lo que comenta el compañero es asi.. El java da mucho por saco depende de version y tambien si es 32bits o 64bits... Yo tengo clientes que si no tiene la 32bits no funciona :) :) y otros clientes tmb abogados, arquitectos y cosas asi, q depende d las plataformas donse se utiliza

Siempre lo digo, cuando funciona muy guai todo, pero cuando no... es un completo coñazo, porq lo mejor son los errores. Error desconocido. Fin xDDDD

1 respuesta
KarlosWins

#28 Sí, pero la versión que indica (1.8.1) es una versión de Autofirma, no de Java.

Para los requerimientos de Java puedes consultarlos aquí: https://sede.red.gob.es/en/ayuda/requerimientos-tecnicos

1 respuesta
palickpre

#29 cierto, he confundido la versión de Java con la del autofirma, pero recuerdo que la versión de Java que instalaba a los funcionarios era una de hace tiempo porque la nueva ni funcionaba, sobre todo en Windows 7.

Si tienes problemas con eso, envíame un mp que preguntare a mis antiguos compañeros de curro