Puntualizaciones sobre las Jornadas de usos prácticos del Certificado Digital

En la lista de Jaén, actualmente y dado que se acerca el primer taller sobre el Certificado Digital (el de Mayo se suspendió por problemas técnicos), no dejan de solicitar información a los responsables (Diputación son los más cercanos) sobre la forma de actuar en los centros Guadalinfo.

En los centros Guadalinfo, cada persona tiene un usuario y una contraseña. El usuario suele establecerse con algún "algoritmo" sencillo (la primera letra del nombre más el primer apellido o cosas similares, en general), la contraseña suele ser algo que el usuario no vaya a olvidar facilmente y en caso que lo haga, que el dinamizador pueda averiguar (tristemente se suele usar mucho el 12345 o contraseñas similares). Dado que normalmente a los centros se acercan personas que van a realizar su primer acercamiento a la informática e internet, en principio esto no supone ningún problema, ya que apenas si hay datos que se puedan comprometer.

El "problema", por llamarlo de alguna forma, viene cuando instalamos los certificados de los usuarios en estos ordenadores del centro, que es público!. Ahora cualquier persona malintencionada podría acceder a la sesión de otra y utilizar el certificado de ésta, con las consecuencias que su uso puede conllevar.

Quizás penseis que estoy un poco paranoico pero esto que indico se puede hacer si este usuario malintencionado se lo propone.

Por último, llamar la ateción sobre varios artículos de kriptopolis donde se habla precisamente de esto:

• ¿Firma digital = Firma manuscrita?
• Grave fallo de diseño en PKI compromete las firmas digitales
• Mis impresiones con el proyecto Ceres y su uso con una smart card