01 diciembre 2008

Thunderbird + DNI-E

Ya había escrito sobre como configurar Gmail y el DNI electrónico, ahora le toca a Thunderbird (para todos aquellos que aun no están en 'la nube').

El proceso es casi idéntico tanto para Linux como Windows, solo hay un paso que difiere a la hora de buscar el modulo PKCS#11 (el driver del DNI).

Al igual que con el post sobre Gmail, asumo que ya tienes el DNI digital configurado en tu PC y te funciona en Firefox y/o Explorer.

Sin mas preámbulos, empezamos:

Nos situamos en el menú Editar --> Preferencias, una vez ahí, nos vamos a 'Avanzadas', pinchamos en 'Dispositivos de seguridad'


Una vez ahí, pulsamos en 'Cargar'


Le ponemos como nombre al nuevo modulo 'Dni Digital' y, atención, aquí viene la diferencia entre Linux y Windows. En linux debemos localizar la ruta del fichero opensc-pkcs11.so lo podemos localizar con el comando
$ locate opensc-pkcs11.so
/usr/local/lib/opensc-pkcs11.so

En el caso de Windows el fichero que debemos poner es:
C:\WINDOWS\system32\UsrPkcs11.dll

Si todo ha ido bien se nos pedirá que confirmemos el nuevo modulo que hemos añadido

Thunderbird nos informa que ya tenemos disponible el DNI


Podemos ver que Thunderbird ya reconoce el DNI, en mi caso aparece asociado a mi lector de tarjetas que viene integrado en el teclado Dell (si, el teclado de la película Firewall ;)


Ahora tenemos que asociar un certificado digital a nuestra cuenta de correo para poder realizar el firmado de correos. Nos situamos en el menú Editar --> Configuración de las cuentas. Una vez ahí, pinchamos en 'Seguridad'. Como se puede ver en la parte derecha, podemos asociar un certificado para realizar la firma de correos, pinchamos en 'Seleccionar'


Dado que el DNI-E pide el PIN para poder acceder a los certificados digitales, nos solicita que introduzcamos el susodicho PIN.


Si el PIN es correcto, veremos los dos certificados digitales que hay en el DNI-E, uno para Firma y otro para autenticación. Seleccionamos el de firma


Ahora Thunderbird nos informa que podemos también asociar un certificado para recibir correos electrónicos cifrados. Como decía en mi anterior post sobre Gmail, el DNI no tiene certificados digitales validos para cifrado, así que pulsamos en 'Cancelar' (de lo contrario aparecerá un mensaje de error)


Con todos los pasos anteriores ya dados, podemos enviar nuestro primer correo electrónico que lleve una firma digital en Thunderbird. Para ello nos vamos a 'Redactar' (como si fuéramos a escribir un mail normal y corriente)


Para activar el firmado digital del correo, hemos de ir al candado de 'Seguridad' y entre las opciones que aparecen: 'Firmar digitalmente este mensaje'



Una vez le demos a enviar, se nos pedirá el PIN del Dni para realizar la firma del correo


Et Voilà ya hemos enviado un mail firmado digitalmente con Thunderbird

10 comments :

Anónimo dijo...

Curioso, tengo q probarlo...

Que chulo ese teclado DELL :P

Simón dijo...

Muchas gracias!! Precisamente acabo de poder enviar una reclamación a Jazztel, firmada digitalmente con mi DNIe, por mail gracias a este tutorial.

Simón dijo...

Se me olvidó antes!
Thunderbird ha enviado correctamente el mensaje, muestra el símbolo de que el mensaje ha sido firmado digitalmente pero que la misma no es válida. Por qué?
Me falta importar algún certificado?

Yago Jesus dijo...

@Simon prueba a importar en tu Thunderbird el certificado que puedes descargar desde aquí http://www.dnielectronico.es/seccion_integradores/autoridades_cert.html

Simón dijo...

Pues no me funciona.
He importado los certificados que ponen en esta página: Autoridades de Certificación y Autoridades de Validación del DNIe, en concreto los que corresponden a los apartados: "Autoridad de Certificación" y "Autoridad de Validación del DNIe".
Una vez importados en el Thunderbird, los he editado para activar que confío en cada uno de ellos, pero ni caso! :-(
Además que en la página del DNIe pone lo siguiente: "...La prestación de estos servicios de validación se realiza en base a Online Certificate Status Protocol (OCSP), lo que, en esencia, supone que un cliente OCSP envía una petición sobre el estado del certificado a la Autoridad de Validación, la cual, tras consultar su base de datos, ofrece - vía http - una respuesta sobre el estado del certificado."
Lo cual debería hacer innecesario el tener que importar nada para verificar esos certificados (siempre y cuando se tenga conexión a Internet donde se lee el correo, claro!).
¿A alguno de vosotros, Thunderbird os autentifica los correos firmados digitalmente?

Simón dijo...

Ya está, explico el tema aquí: http://t.simonbcn.net/post/172089264
Un saludo.

Yago Jesus dijo...

@Simón, el problema que tenías es que, efectivamente, faltaban elementos de la cadena (el certificado de la CA Subordinada que había firmado tu certificado de usuario). No obstante, si bien lo que planteas muy acertadamente en tu blog soluciona el tema, en realidad lo que se debería hacer es añadir en el paquete S/MIME tu certificado + el certificado de tu ca subordinada (como por ejemplo pasa en la auth vía web), de esa forma con importar únicamente el de la raíz, debería ser suficiente. Por lo que veo, Thunderbird no soporta añadir la cadena de certificados

Yago Jesus dijo...

@Simón, el problema que tenías es que, efectivamente, faltaban elementos de la cadena (el certificado de la CA Subordinada que había firmado tu certificado de usuario). No obstante, si bien lo que planteas muy acertadamente en tu blog soluciona el tema, en realidad lo que se debería hacer es añadir en el paquete S/MIME tu certificado + el certificado de tu ca subordinada (como por ejemplo pasa en la auth vía web), de esa forma con importar únicamente el de la raíz, debería ser suficiente. Por lo que veo, Thunderbird no soporta añadir la cadena de certificados

Jordi Morillo dijo...

Hola. Después de seguir todos los pasos Thunderbird me pide tres veces el pin. Se lo introduzco las tres veces correctamente y al terminar dice que no puede encontrar un certificado para firmar válido. Tras comprobar el pin con la opción "Ver certificados" (que aparece más abajo) compruebo que el pin funciona bien a la primera, sin embargo al tratar de seleccionar el certificado me pide tres veces el pin y al final termina con error. ¿Alguna idea?

Jordi Morillo dijo...

Después de estar "trasteando" con el thunderbird, he comprobado que este cliente de correo electrónico no es precisamente lo más compatible con el DNI electrónico que existe, ya que en ocasiones acepta el pin, y en ocasiones no. He visto que en muchas ocasiones para que lo acepte hay que retirarlo del lector y volverlo a introducir, cosa que no ocurre con los navegadores que sí son compatibles con este sistema. Además no he sido capaz de enviar ningún correo certificado ya que al menos en la versión para thunderbird para windows el cliente responde continuamente y a pesar de disponer de la certificación homologada por la Dirección General de la Policía, que el DNI electrónico no es un certificado válido. En fin, supongo que al menos en mi caso habrá que esperar o buscar un cliente nuevo. Probaré con Windows Live Mail...