He recibido un mail muy agradable de Jose Pascual Gumbau comentando de forma entusiasta su proyecto clauer (llavero en valenciano), que se está empleando en la Universitat Jaume I de Castelló.
Yo había llegado a la página web del proyecto hace algún tiempo, una de esas veces que investigas con google para ver otros desarrollos españoles en torno a la firma electrónica. Y reconozco que me pareció una iniciativa muy interesante.
José Pascual me comenta que recientemente han recibido por el proyecto el premio europeo EUNIS 2006 (sector universidades).
Aprovecho para transcribir de su mail algunos puntos interesantes:
Basicamente el clauer es un software que te permite confiigurar, de manera segura y gratuita, un dispositivo de memoria (USB, cámara de fotos, móvil…) o en CDcard y de una manera cómoda gestionar los certiifcados a modo de llavero. De esta manera conseguimos, sin tener que instalarlos nunca en un ordenador, usarlos a modo de llave para identificarnos, etc.
Por ejemplo, un uso en la UJI ha sido el de aplicarlo al cambio de passwords de los estudiantes y del personal, con lo que nos ahorramos del orden de 16.000 cambios anuales, o logramos que a un nuevo usuario no haya que darle una password, sino que, una vez matriculado (o contratado en el caso del personal), él mismo pueda gestionarse la asignación de códigos de usuario y password, lo que permite de forma efectiva que pueda realizarse una serie de gestiones de manera no presencial ya que la identificación se hace en las oficinas de registro de las autoridades de certificación.
Teniendo en cuenta que es un sistema de adopción voluntaria, hemos conseguido que el 90% del personal y el 70% de los estudiantes soliciten el certificado, para lo cual les hemos regalado el dispositivo de memoria como señuelo (en total 18.000) y por tanto ya tenemos una población relevante con la herramienta necesaria para poder empezar a diseñar servicios electrónicos basados en certificados. Sin ir más lejos, este año ya hemos desplegado servicios de firma de actas, diligencias, etc.
El software se puede obtener de manera gratuita en el web del proyecto y próximamente liberarán el código fuente.
Ciertamente, es una iniciativa tremendamente prometedora, porque las llaves de memoria USB tienen unos precios bajos y decrecientes, y cada vez son más ubicuas, como lo son los puertos USB en los ordenadores. Es un nivel de seguridad cercano al de una tarjeta chip y tan cómodo o más en cuanto al uso.
Creo que es un proyecto sobre el que hay que estar pendientes (entre otros motivos, por su interés científico como experiencia de despliegue) y que conviene apoyar desde todas las instancias. Y que, de hecho, ya cuenta con el apoyo de la Autoridad de Certificación de la Generalitat Valenciana.
Todo es electrónico 
Pingback: 1.000.000 de visitas « Todo es electrónico
¿Y que ocurre si intentas identificarte en un cibercafé o en algún lugar donde no puedas o no te dejen instalar el software base?
Sin este sofware base la identificación USB no es reconocida, y realmente creo que estos ordenadores es donde más nos interesaría usar este sistema ya que en el de casa no me importa tener mi certificado digital instalado
Sin embargo, utilizar el dispositivo en una máquina sin instalar ningún software adicional se podría conseguir si el mismo dispositivo incluyera, por ejemplo, una instalación de Firefox portable previamente configurada con un módulo PKCS #11 que utilizara las claves del mismo dispositivo. Aunque no sé si el proyecto incluye un módulo PKCS #11.
Pingback: Firmando con Clauer. Casi un Dispositivo Seguro de Creación de Firma « Todo es electrónico
Las llaves privadas van protegidas, por defecto, mediante una contraseña (actualmente también existe la posibilidad de utilizar doble contraseña). Se utiliza PKCS#5 (PBES2) como esquema de cifrado con triple DES de tres llaves en modo CBC para su cifrado. Van razonablemente protegidas, salvo que, obviamente, el usuario utilice una contraseña débil.
En cualquier caso, si con eso no es suficiente, tienes la opción de revocar tus certificados realizando las gestiones pertinentes con la autoridad de certificación correspondiente.
Un saludo,
Juan.
Sí, pero ¿Qué pasa si «pierdes las llaves»? Según la cantidad de certificados que lleves en el llavero puede ser muy peligroso. ¿Sería posible crear alguna función que gestionara la baja de los certificados que lleves en un llavero concreto?