Para poder usar una tarjeta inteligente en el sistema operativo Debian Buster debemos de instalar una serie de paquetes que permitan leer las contraseñas y los números PIN de las herramientas de cifrado y firmas digitales de forma segura.
Una tarjeta inteligente es un dispositivo físico, de aspecto similar a una tarjeta de crédito, difícil de falsificar o copiar. Puede almacenar y procesar de forma segura cierta cantidad de información.
Empecé por instalar con Synaptic “pinentry”, que es un paquete que contiene una serie de programas que permiten a GnuPG (software libre de firmas digitales y cifrado desarrollado por el programador y criptógrafo alemán Werner Koch) leer las contraseñas y números PIN de forma segura.
Pinentry-gtk2 implementa el cuadro de diálogo para introducir el PIN, y es ideal cuando se usa software de encriptación como GnuPG o cualquier otro cliente que use el mismo software. El protocolo es abierto, es decir, no propietario y, por tanto, no está vinculado a ningún producto de una empresa en particular.
También instalé pinentry-qt, así dispongo del cuadro de diálogo tanto para KDE como para Gnome y XFCE con pinentry-gtk2.
Luego instalé “pcscd”, un demonio para acceder a las tarjetas inteligentes usando PC/SC (Personal Computer/SmartCard) que ofrece, ademas de los que ofrece el sistema operativo, otros servicios y funciones comunes a las aplicaciones (Middleware); así, puede gestionar datos, la autenticación, etc.
PC/SC (Personal Computer/Smart Card) es un conjunto de especificaciones para la integración de tarjetas inteligentes en ordenadores personales, siendo de código abierto la PC/SC Lite, especificación para uso de tarjetas inteligentes con GNU Linux.
En otro paquete, llamado “pcsc-tools”, se encuentran diversas herramientas que podemos usar los usuarios de PC/SC, entre la que está “pcsc_scan”, con la que podemos, usando la línea de comandos, escanear las tarjetas inteligentes y mostrar los eventos detectados, como inserción, extracción y análisis de la tarjeta.
Instalaremos también el controlador o driver, "libccid", para poder usar las tarjetas inteligentes con protocolo CCID (Chip Card Interface Device) a través de los lectores de tarjeta USB. Se comunica con los lectores de tarjeta a través del administrador de recursos PC/SC Lite (pcscd).
Además, para poder usar tarjetas criptográficas en general compatibles con PKCS#11 y PKCS#15, y en particular, por ejemplo, en el DNIe, debemos instalar opensc y opensc-pkcs11.
OpenSC proporciona un conjunto de librerías y utilidades para acceder a un elevado número tarjetas inteligentes. Se enfoca principalmente en tarjetas que soportan operaciones criptográficas. Facilita su uso en aplicaciones de seguridad como encriptación de correo, autenticación y firma digital.
La compatibilidad con las tarjetas depende también de la versión de la tarjeta, la versión del sistema operativo de la tarjeta y el subprograma precargado.
Suelen admitir opensc y opensc-pkcs11 sólo un subconjunto de operaciones posibles para su tarjeta. En ocasiones, como la inicialización de la tarjeta, puede requerir software propietario de terceros.
Y, por qué no, añadimos también un módulo PAM (Plugable Authentication Module), que con él logramos una forma de autenticación flexible utilizando esta aplicación o módulo, permitiendo así a las demás aplicaciones y software abstraerse del proceso de identificación.
Las funciones adicionales incluyen la verificación completa de los datos de la tarjeta mediante cadenas de certificados y listas de revocación de certificados. Disponemos así de asignación avanzada de nombres de usuario, incluidos LDAP (Lightweight Directory Access Protocol), Active Directory (terminología Microsoft relacionada con protocolos LDAP, DNS, y otros) y Kerberos (otro protocolo más, éste creado por el MIT).
El módulo libpam-pkcs11 incluye todas las funciones para usar de este modo PKCS#11 con las tarjetas inteligentes.
