#176 Cambia FNMT por Telefónica. El operador ya sabe que entro en Bluesky. Nunca se ha intentado evitar que lo sepa, ¿por qué ahora es un problema?
La separación puede ser útil, el proveedor de identidades (sea la FNMT, Telefónica o quien sea) es un servicio que sabe que le piden información y quién se la pide (algo que igual se puede evitar de todas maneras a través de redirecciones), lo que conseguimos es que BlueSky no tenga que "conservar los datos indefinidamente". Este es el punto que negaba del texto.
Otras soluciones basadas en ZKP pueden ser también válidas, pero no se me ocurre cómo implementarlas sin incluir un servicio de terceros o confiar en el
Si cogerle un documento a tu hermano y usarlo para conseguir un bien no es suplantación de identidad, no sé que puede serlo. El CP dice textualmente "se entenderá por uso de documento, despacho, certificación o documento de identidad falsos el uso de los correspondientes documentos, despachos, certificaciones o documentos de identidad auténticos realizado por quien no esté legitimado para ello" y "El que usurpare el estado civil de otro será castigado con la pena de prisión de seis meses a tres años"
#16 horas complementarias solo se pueden hacer si están pactadas en contrato de trabajo o acordadas en convenio. No surgen de repente, así que si eres un trabajador a tiempo parcial no puedes hacer horas extras ni complementarias si no las tienes acordadas... Para todo lo demás... Inspección de trabajo.
#173 Sí, lo has dicho... pero es que lo que dices no se corresponde con la realidad.
Dices que no va de certificados y firmas, y precisamente va de eso. No se intercambia ningún dato con el servicio que requiere validarlos. Ni tienen que comunicarse a tres bandas, ni hay 'backend de verificación'. No entiendes cómo funciona, ni entiendes un simple gráfico, pero vienes aquí a sentar cátedra con tu ignorancia.
#172 Necesitas garantizar que no hay suplantación de identidad de igual manera en un caso que en otro.
Pongo un ejemplo, entro en Bluesky, le digo que mi proveedor de identidad es la FNMT, por decir algo (podría ser Telefónica, mi Ayutamiento, la Policía Nacional o Endesa), BlueSky hace una le pregunta si este usuario tiene más de 18 años a FNMT. Esta, que sí tiene mis datos, me autentica diciéndome para qué y, tras esa autenticación, le dice a BlueSky que ese usuario por el que preguntaba sí tiene más de 18 años, pero no le da ninguna información adicional.
Si yo me salto la ley y hago una suplantación de identidad con credenciales que no son mías frente a la FNMT,. pues es verdad que me puedo saltar el proceso, pero claro, ya puestos a cometer un delito penal haciendo una suplantación de identidad con las credenciales de la FNMT mejor la hago en el Banco Santander y me compro algo caro.
#171 Como ya te he dichooo... ya me lo leí en su día y ahora le he vuelto a echarun ojo por encima como te he referido en #157.
Lo bueno de un sistema así es que se podría saber tu nombre y apellidos, y podríamos ver tus comentarios aquí señalando a quién los ha hecho. Desde luego si te dedicases a algo de esto y pudiera identificarse no ibas a poder trabajar en la vida!
A mí me encantaría tener tus comentarios con nombre y apellidos para que todo el mundo sepa como eres
#163 No tienes ni puta idea de lo que hablas si dices que esto no tiene que ver con certificados ni firmas. O no te has leído el protocolo o no sabes ni de qué va.
#157 Mucha palabrería para acabar diciendo que 'no me lo voy a volver a leer', porque a saber qué entendiste (si es que te leíste algo).
El único problema de la implementación que se presentó es que el emisor (el estado) al conocer las claves públicas generadas podría llegar a cruzar datos con los prestadores de servicios. Es el único punto que técnicamente se podría mejorar, pero que encima legalmente en la normativa indica que no se permite hacer.
Pero claro, el que empieza diciendo que 'algo es imposible', termina enmarañando todo porque 'él sabe'.
#162 Da la casualidad de que sí tengo algo de idea pero esto no tiene naaaada que ver con certificados ni firmas, NADA. Lo he mencionado antes en #110, también he hecho un resumen en #157 de los problemás que aparecen con la propuesta de un vistazo.
#158 No tienes ni idea de cómo funcionan las firmas digitales.
Yo firmo un PDF con mi firma de la FNMT. Tú recibes ese PDF firmado. Cuando compruebas la firma ¿mandas algo a la FNMT? ¿Mandas algo a algún servicio externo? El emisor del certificado (FNMT) no sabe nada de qué documentos firmo ni quién valida o deja de validar esas firmas.
#110 pero si se hace en local en la aplicación del móvil.
Entiendo y comparto la preocupación de #112 que sin ver el código fuente no sabemos lo que realmente hace la aplicación web y nos tenemos que fiar de lo que dicen.
Pero la arquitectura no necesita ninguna conexión entre el proveedor de contenido y ningún servidor del gobierno. El validador de acceso es la aplicación del móvil que tiene la lista blanca de proveedores de contenido.
#113 A ver, que no te enteras. Que el estado no sabe para qué vas a usar el certificado, ni a dónde vas a acceder ni a nada. De ahí el 'cachondeo' con el 'pajaporte' porque generas paquetes de certificados (10 - 20... los que sean) que después puedes usar donde te dé la gana hasta que se te gastan y tienes que volver a generar más.
Si no entiendes ni cómo funciona, te puedes ahorrar el sentar cátedra con que si algo es o no posible.
#55No existe forma técnica de verificar tu edad sin identificarte personalmente. En el momento en que tienes que pasar esa verificación estás poniendo nombre y apellidos a toda tu actividad y pasando tus documentos de identificación a terceros.
MENTIRA
Ya se hace con IAs. En Australia google y meta lo hacen con IAs. Sin pedir NADA a nadie q no tuvieran ya.
Ademas se habla de medidas 'eficaces', no perfectas. Con una IA bien entrenada vale.
#103 Lo que basta es que te leas tú cómo funciona.
Tu 'anonimato' contra la empresa de servicios se mantiene. La parte 'no anónima' se produce entre tu dispositivo y el certificador (el estado, que ya tiene tus datos). A la empresa de servicios lo único que le mandas es un certificado que lo único que puede hacer la empresa de servicios es comprobar si está firmado por el certificador y es válido y para ello no tiene que consultar a nadie.
#100 ¿podrías explicar esa conexión entre backends que comentas? porque jugando con certificados no hay ninguna necesidad de movimento de informacón entre backends más allá de los certificados raíz para validar el certificado presentado por el usuario.
#55 El llamado "pajaporte" no parecía un mal sistema y por lo que recuerdo sólo había un punto en un ordenador del ministerio, que al final era el que comprobaba si el usuario era mayor de edad, que podría ser usado para recabar información más allá del si/no. Asegurando la transparencia de ese nodo creo que es un sistema que se podría usar.
Por el sistema de tokens múltiples que usaba se supone que no es posible que el Estado sepa qué página habría pedido el dato de la edad, ni la página sabría más datos aparte del país y si el usuario es mayor de edad. Aunque quizás haya usuarios más paranoicos que usen VPNs y que no querrían que la página sepa ni de qué país son. Ahí ya no sé cómo podría implementarse
Para que podáis hablar con conocimiento y no haya gente diciendo cosas al tun tun. Algunos de los que enlazo andáis bastante bien encaminados con vuestras propuestas, pero otros no.
Con el esquema propuesto por España ni el gobierno sabe a qué web te estás metiendo ni la web sabe nada de ti.
No hay ningún backend del gobierno que compruebe nada, se hace todo en local en la aplicación del móvil.
pero esto no tiene naaaada que ver con certificados ni firmas, NADA. Lo he mencionado antes en 
.svg){kind=link}
La separación puede ser útil, el proveedor de identidades (sea la FNMT, Telefónica o quien sea) es un servicio que sabe que le piden información y quién se la pide (algo que igual se puede evitar de todas maneras a través de redirecciones), lo que conseguimos es que BlueSky no tenga que "conservar los datos indefinidamente". Este es el punto que negaba del texto.
Otras soluciones basadas en ZKP pueden ser también válidas, pero no se me ocurre cómo implementarlas sin incluir un servicio de terceros o confiar en el
Si cogerle un documento a tu hermano y usarlo para conseguir un bien no es suplantación de identidad, no sé que puede serlo. El CP dice textualmente "se entenderá por uso de documento, despacho, certificación o documento de identidad falsos el uso de los correspondientes documentos, despachos, certificaciones o documentos de identidad auténticos realizado por quien no esté legitimado para ello" y "El que usurpare el estado civil de otro será castigado con la pena de prisión de seis meses a tres años"