[C&P] Si el ordenador está comprometido nada garantiza que no se acabe firmando lo que no se quiere, o lo que no se debe, lo que es un serio problema, sobre todo por cargar la prueba y las tintas en el lado del usuario. [...] El aumento de los servicios telemáticos y la generalización del uso del e-DNI, aumentará el riesgo y la rentabilidad de del malware específico [...] La solución podría estar en la tecnología "live", que permite arrancar un sistema operativo completo desde un DVD o CD-ROM o desde dispositivo USB.
Comentarios
#1 "La verdad es que no me parece viable la solución propuesta en el artículo".
El sistema es tan viable, como el de los usuarios que usan Linux para su trabajo habitual. Por otra parte, no hay mucho problema para que una "live" CD se pueda configurar adecuadamente para conectarse a la Red de distintos modos, de hecho, las distribuciones "live" se configuran sin problemas para conectarse a Internet. Lo que peor se puede llevar es el tema del hardware, pero afortunadamente las "live" actuales reconocen y configuran adecuadamente la gran mayoría del harware.
Lo dicho, no habría muchos más problemas que con un sistema Linux normal.
Pero es interesante lo que dices, aquí están las dos caras de la moneda, la comodidad y la seguridad. Los usuarios tienen sus sistemas como un zoo llenos de bichos y malware, pero seguomos diciendo que es mejor la comodidad que la seguridad.
Como se dice el artículo y bien reconoces, creo que no haya muchas opciones más que esta y esta, no deja de ser una opción más, para aquellos usuarios que la quieran utilizar.
#3 "demasiado tiempo perdido", en este caso, time is money, más claro que nunca, pero a la inversa, si no pierdes tiempo, perderás dinero.
Teniendo en cuenta que con el e-DNI puedo hacer casi cualquier cosa a través de Internet, creo que perder un poco de tiempo en un arranque puede ser interesante. De todos modos ¿cuántas veces se piensa usar el e-DNI al día?.
Respecto a la modificación del sistema limpio, se podría estudiar el guardar parte de la información necesaria de configuración en la tarjeta inteligente del e-DNI. Así no habría problemas en guardar la dirección de correo electrónico, los datos de configuración de conexión o los servidores de correo que se desean utilizar. De hecho el e-DNI tiene espacio de sobra para almacenar una serie de parámetros y "personalizar" el funcionamiento del sistema. Otra opción sería dar acceso a un directorio LDAP con los datos de configuración de usuario, que personalizase la distribución una vez que se activa el e-DNI, de esa forma no hay que modificar nada del CD y todo funcionará en pocos segundos después de configrar Internet e introducir el e-DNI en el lector.
Un modem USB siempre ha sido un problema, aunque cada vez menos, pero como todo, dependerá principalmente de la forma en la que se configure y se prepare la live, pero como es lógico, no habrá más remedio que establecer una lista de hardware aprobado, pero eso le pasa hasta a Windows con las distintas versiones, por lo que no hay que dramatizar.
#2 Con lo de soporte de hardware y problemas de red me refería a que, por ejemplo, yo no he encontrado ninguna live CD que haga funcionar mi modem USB a la primera. Y los famosos winmodems es mejor olvidarlos, que gracias a $DEITY ya no se ven mucho
Yo creo que es inviable estar reinciando cada vez que necesites usar el eDNI, demasiado tiempo perdido. O eso o estar usando todo el tiempo un sistema inmutable, ya que si permites que se modifique el sistema limpio, corres el riesgo de que se pueda convertir en inseguro
Pero sí, no parece que haya niguna otra opción 100% fiable.
La verdad es que no me parece viable la solución propuesta en el artículo. Uno no puede estar arrancando un sistema limpio cada vez que quiere usar el eDNI. Además, dudo que en esta live CD estén soportados tooodos los distintos sistemas para conectarse a la red, con lo que los que tuviesen hardware "minoritario" no podrían hacer uso de esta solución.
No sé, es peliagudo el asunto. Lo ideal sería conseguir que el entorno habitual del usuario fuese seguro al 100%, pero esto no se puede asegurar siempre (ni con linux :-P)