Instal·lació del clauer IdCat i de les seves aplicacions

Aquest tutorial explica com instal·lar el clauer IdCat en un ordinador a fi de poder treballar, en un context online amb certificats digitals propis, que ens serveixen per poder autenticar la nostra identitat davant de pàgines web o tercers. D'aquesta manera tenim accés a un ampli -o no tant ampli- ventall de recursos que sobretot estan dirigits a poder fer tramitacions en línia principalment en pàgines web de les administracions locals, de Catalunya i estatals.

El tutorial ens ha de permetre configurar correctament i funcional un clauer en un sistema Debian Lenny i dins les aplicacions Mozilla Firefox i Thunderbird en les seves versions 3.0.6 i 2.0.0.19, tot i que és probable i força esperable que funcioni en versions anteriors i posteriors també d'aquests dos darrers programes. Igualment, pel que fa a distribucions basades en Debian, no hi ha d'haver variacions abismals.

La tecnologia utilitzada en aquests clauers és la mateixa, o semblant si no vaig molt equivocat, a la que s'utilitza en els nous DNIs electrònics.

Avís: Quan jo mateix he intentat reproduir aquests passos i comptant amb els enllaços de suport, no he pogut. Aquí deixo uns altres enllaços que he recollit pel camí, però el tema està molt, però que molt malament. Aquí n'hi ha un altre que pensa que a les administracions catalanes els hauria de caure la cara de vergonya per com pot ser tan difícil instal·lar el clauer a GNU/Linux. Escrit a 11-12-2009

A 14 de gener de 2010, el problema que tenia amb el clauer i que em feia pronunciar-me en aquest sentit sembla haver-se resolt sol. Probablement la causa de la solució siguin les actualitzacions que recentment s'han alliberat des de Debian per al sistema Lenny. A aquest enllaç a Softcatalà m'estenc una mica més sobre el tema. Però la qüestió segueix sent igualment vergonyosa. Com se suposa que un usuari de GNU/Linux que acaba de començar ha de resoldre tot aquest esbarzerar?

• http://debiansid.wordpress.com/2009/04/16/el-certificat-digital-idcat-amb-debian/
• http://apple.bloks.cat/index.php/2009/02/14/instal-lar-lidcat-al-nostre-mac/ (alguns problemes o procediments en la solució poden ser semblants en Mac)
• http://linkat.xtec.net/portal/index.php?module=pnForum&func=viewtopic&topic=1433&start=0
• Sobre runlevels en Debian, pot semblar off-topic però ho he acabat consultant… http://www.debian.org/doc/FAQ/ch-customizing.en.html

Aquest tutorial ha estat elaborat partint de la informació continguda als següents enllaços:

• http://www.idcat.cat/idcat/ciutada/menu.do?clauer
• http://ubuntuforums.org/archive/index.php/t-945794.html
• http://clauer.nisu.org/linux
• http://blog.nucl3ar.net/2008/10/09/idcat-clauer-en-ubuntu-hardy-con-firefox-3/
• Agència Catalana de Certificació

Fes-los servir per informar-te més en el cas que tinguis problemes en els passos que jo et proposo.

El primer que necessitem és tenir un clauer que ens hagi tramitat i expedit una entitat autoritzada per a fer-ho. En el meu cas ha estat l'Ajuntament de Barcelona en un tràmit que no dura més d'un quart d'hora a la tauleta. Aquest clauer és un dispositiu USB d'emmagatzematge que, a més a més del convencional espai per desar-hi fitxers, té una part de la memòria invisible i reservada per tal d'emmagatzemar la informació de certificació digital que ens identifica davant de tercers. Per això no podem accedir fàcilment a aquesta informació i això és per garantir la seguretat d'aquestes dades, juntament amb el fet que estan protegides per una contrassenya. Aquest aspecte de la contrassenya està cobert àmpliament i correcta tant a la documentació oficial com als altres enllaços de referència que indico més amunt.

Desconec en quin moment del procés d'instal·lació cal tenir endollat a l'ordinador el nostre clauer, i ni tan sols potser és necessari. Però com que a mi m'ha funcionat tenint-l'hi tota l'estona, així us recomano que ho feu. És obvi, però, que sempre que necessiteu fer servir els vostres certificats a un ordinador (o fer operacions com un canvi de contrassenya d'accés als certificats), allà haureu de tenir connectat el vostre clauer.

Necessitem també tenir el codi font del programa que fa la comunicació entre aquesta informació de certificació del dispostiu USB i el nostre ordinador. Descarregar-nos el manual mai estarà de més, tot i que si faig aquest tutorial és perquè les coses no són tan òbvies ni lliures d'incidències com allà es pinten.

• Apunt: Valgui l'avinentesa per dir que els governs i administracions guanyaran en credibilitat quan parin d'omplir-se la boca sobre la societat de la informació i desenvolupin programes i creïn documentació una mica més solvents i estandaritzats per a diverses distribucions de GNU/Linux, evitant el paper suburbial a què -a la vista de la poca seriositat i exhaustivitat que transmet la documentació que posen a la nostra disposició- sembla que releguin el programari lliure. Queda clar que als seus ulls els ciutadans semblen només fer servir Mlcr0soft Wlnd0ws.

Amb el fitxer tar.gz descarregat, el situem dins la carpeta /tmp i fem el següent com a usuari root:

    # cd /tmp
    # tar zxf ClauerLinux-3.0.3.tar.gz
    # cd ClauerLinux-3?
    # ./configure

En cas que estiguem treballant en una arquitectura de 64 bits, a la darrera ordre li hem d'afegir l'opció –enable-64.

    # ./configure --enable-64

De totes maneres, després d'aquest procés i fent servir l'opció anterior, a mi m'ha aparegut un avís relatiu al fet d'estar compilant una aplicació de 32 bits dins una arquitectura de 64. Misteris… seguim:

    # make
    # make install

Si aquests processos donen algun error, que se'ns mostrarà tot just en les darreres línies abans d'acabar el procés, caldria veure quines dependències no estan resoltes i quins paquets caldria instal·lar. És particularment important tenir instal·lat el paquet libssl-dev.

    # /etc/init.d/clos start

En aquest moment pot ser que se'ns avisi d'un error:

    /usr/local/sbin/clos: error while loading shared libraries: libCRYPTOWrap.so.0: cannot open shared object file: No such file or directory

La solució passa per afegir un camí dins les nostres variables d'entorn, les environment variables. Aquesta addició es pot fer de manera temporal fent

    # export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib/

però a fi que ens funcioni correctament el clauer, també caldrà tard o d'hora afegir aquest path de manera permanent, de manera que quan l'ordinador s'iniciï ja ho faci tenint en compte aquesta variable d'entorn. Això ho podem fer obrint amb un editor de text i com a root el fitxer /etc/environment, per exemple així (per exemple!):

    # gedit /etc/environment

i afegint-hi la línia, després de l'última en cas que n'hi hagi d'altres:

    LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib/

Desem el fitxer i tanquem l'editor de text. Podem fer que el sistema carregui/observi la informació que acabem d'afegir a aquest fitxer utilitzant:

    # source /etc/environment

Això de totes maneres no m'ha estalviat la necessitat de reiniciar l'ordinador perquè deixés d'aparèixer el missatge relatiu a libCRYPTOWrap.so.0. Només ens queda sortir del terminal de root:

    # exit

Això ho hem de fer individualment per a cada usuari del sistema i no com a root.

    $ firefox-install-pkcs11.sh

Se suposa que això serveix per instal·lar el mòdul que permet a Firefox treballar amb els nostres certificats digitals. En la instal·lació em vaig trobar que em donava alguns errors, els primers dels quals van ser probablement per no seguir prou atentament el tutorial. Quan em va semblar, però, que el mòdul s'instal·lava satisfactòriament, ho feia mostrant un missatge final que donava a entendre que el mòdul ja havia estat instal·lat prèviament. Pot ser perquè aquest programari sembla estar pensat per a Firefox 2 i el 3 ja el porta incorporat… o no.

Amb això ja haurem fet els passos clau per instal·lar el clauer al nostre ordinador i el mòdul del firefox a fi que aquest navegador pugui gestionar els nostres certificats dins les pàgines que ens els demanin.

Mai serà superflu, vistes algunes incerteses amb les quals us trobareu fins i tot seguint aquestes pautes, reiniciar l'ordinador i comprovar llavors si tenim funcionals els nostres certificats a la secció Menú Edita o Menú Eines>Preferències>Avançat>Visualitza els certificats>Els vostres certificats del Firefox.

• a http://www.catcert.cat/web/cat/6_3_prova.jsp podem comprovar el funcionament del xifratge dins Firefox. M'atreveixo a afirmar, sense una completa seguretat, que no és un test gaire fefaent perquè la meva instal·lació i certificats semblen funcionar correctament en altres pàgines mentre que en aquesta la prova sembla donar un error que un no sap si atribuir a la pàgina en sí o a aspectes de compatibilitat de navegadors, o bé als certificats. Misteris again.