[Programa .deb] AutoFirma (Solucionado)

[pcmaster]

He hecho un ebuild que creo que funciona. Se puede descargar desde:
https://gitlab.com/quilosaq/qq-gentoo/- ... -r1.ebuild

Se puede usar en un repositorio local o clonar el repositorio en el que está:
https://gitlab.com/quilosaq/qq-gentoo.git

Editado para actualizar enlace al ebuild.

Tu ebuild me ha funcionado. tanto para firmar archivos como desde el navegador. Muchas gracias por hacerlo y publicarlo.

[cameta]

El ebuild funciona de maravilla.
En mi caso con el paquete
dev-java/openjdk-jre-bin-8.272_p10:8::gentoo
Y he solucionado el problema con que no detecta las firmas electrónicas en los profiles.
Hay que editar
~/.mozilla/firefox/profiles.ini

Code: Select all

Profile2]
Name=default3
IsRelative=1
Path=c5lybz6d.default

[Profile1]
Name=dev-edition-default
IsRelative=1
Path=caushzss.dev-edition-default

[Profile0]
Name=default
IsRelative=1
Path=wyq9p96d.default
Default=1

[General]
StartWithLastProfile=1
Version=2

[Install11457493C5A56847]
Default=wyq9p96d.default
Locked=1

Y poner el profile que usamos por defecto y donde tenemos instalados los certificados en primer lugar. tal como muestro en este ejemplo. Así no hay que borrar los profiles como dice el ebuild.

Code: Select all

[Profile0]
Name=default
IsRelative=1
Path=wyq9p96d.default
Default=1

[Profile2]
Name=default3
IsRelative=1
Path=c5lybz6d.default

[Profile1]
Name=dev-edition-default
IsRelative=1
Path=caushzss.dev-edition-default

[General]
StartWithLastProfile=1
Version=2

[Install11457493C5A56847]
Default=wyq9p96d.default
Locked=1

Eso si como que nunca hay felicidad en casa del pobre.
1º Para hacer funcionar el DNIe con la nueva versión de dev-libs/opensc-0.21.0
hay que instalar app-crypt/ccid-1.4.33::gentoo USE="usb -kobil-midentity -twinserial"
O en caso contrario no os va a detectar el lector del DNIe

Code: Select all

dnie-tool
No smart card readers found.

2º Los certificados de mi DNIe están revocados desde el 2017 por la famosa vulnerabilidad ROCA (CVE-2017-15361.
No me había dado cuenta porque uso la firma electrónica de la FNMT. Ahora es cuestión de ir a la comisaria y ver si puedo renovarlos. No hay duda esto del DNIe es capaz de volver loco al Gran Hacker.

[cameta]

Ya he ido. Por lo visto necesito un DNIe nuevo. Me han dado cita para mañana. Ya veremos si funciona.

[cameta]

Ya tengo el DNI nuevo, y a diferencia del antiguo me he dado cuenta que después de entrar la contraseña del DNI (la ventana donde la entro es distinta que la que tenía antes) aparece la pantalla donde te ofrece la opción de continuar con el DNIe o usar cualquier certificado.
Si le das a la del DNIe te da el siguiente error.

No ha sido posible inicializar su DNIe
Se continuará con el almacén por defecto del sistema.

De manera curiosa los certificados del DNIe aparecen sin problemas por lo que podemos firmar igual. Si usamos la opción usar cualquier certificado no hay error y también tenemos los certificados del DNIe.

Mi versión de DNIe
DNIe Version: DNIe 04.21 A9 H 0155 EXP 2-(5.3-6)

[expobi]

Hay otra forma de instalar AutoFirma.

A consecuencia de tener que renovar mis certificados de la FNMT me dio por probar 'app-arch/rpm', visto que el resultado fue satisfactorio lo probé también con AutoFirma.

No se necesita reinstalar dev-libs/openssl con la use [rfc3779] si no la tenias antes.

Todo lo comentado en este hilo en cuanto al resto de paquetes sería lo mismo.

Code: Select all

    www-client/firefox || www-client/firefox-bin
    virtual/jre
    dev-util/desktop-file-utils
    app-misc/ca-certificates
    dev-libs/nss[utils]

Para instalar 'AutoFirma'

Code: Select all

# rpm -i --nodeps autofirma-1.6.5-1.noarch.rpm

Si da algún fallo de que falta algo, arreglarlo y reinstalar así:

Code: Select all

# rpm -i --nodeps --replacepkgs autofirma-1.6.5-1.noarch.rpm

Al final de la instalación sale esto:

Code: Select all

Enter Password or Pin for "NSS Certificate DB":

es la contraseña maestra de Firefox, (sin pistas sobre que usuario ) , es una petición por cada uno de los usuarios que tengan Firefox con contraseña maestra.

!Importante¡
Después de la instalación hay que cambiar el 'shebang' del archivo /usr/bin/autofirma

Code: Select all

#!/usr/bin/bash por #!/usr/bin/env bash o por #!/bin/bash

Editar el archivo ~/.mozilla/firefox/profiles.ini de cada uno de los usuarios que usen Firefox
y poner el [Profile0] al principio del archivo

Code: Select all

[Profile0]
Name=default-release
IsRelative=1
Path=xxxxxxxx.default-release

Y con esto ya funciona perfectamente.

Página para comprobarlo: https://valide.redsara.es/valide/inicio.html

Por cierto si se pierde la carpeta ~/.mozilla
o se instala Firefox después de AutoFirma
o se crea un nuevo usuario y queremos que use AutoFirma con su Firefox
hay que acordarse del anterior paso con el profiles.ini


Mensajes de mi instalación:

Code: Select all

# rpm -i --nodeps /home/xxxxxx/Descargas/AutoFirma_Linux/autofirma-1.6.5-1.noarch.rpm 
error: El macro %__python tiene un cuerpo vacío
feb 25, 2021 8:50:02 PM es.gob.afirma.standalone.configurator.AutoFirmaConfigurator <init>
INFORMACIÓN: Se configurara la aplicacion en modo nativo
feb 25, 2021 8:50:02 PM es.gob.afirma.standalone.configurator.ConsoleManager getConsole
INFORMACIÓN: Se utilizara la consola del sistema
feb 25, 2021 8:50:02 PM es.gob.afirma.standalone.configurator.ConfiguratorLinux configure
INFORMACIÓN: Identificando directorio de aplicación...
feb 25, 2021 8:50:02 PM es.gob.afirma.standalone.configurator.ConfiguratorLinux configure
INFORMACIÓN: Directorio de aplicación: /usr/lib64/autofirma
feb 25, 2021 8:50:02 PM es.gob.afirma.standalone.configurator.ConfiguratorLinux configure
INFORMACIÓN: Generando certificado para la comunicación con el navegador web...
feb 25, 2021 8:50:03 PM es.gob.afirma.standalone.configurator.ConfiguratorLinux configure
INFORMACIÓN: Se guarda el almacén de claves en el directorio de instalación de la aplicación
feb 25, 2021 8:50:04 PM es.gob.afirma.standalone.configurator.ConfiguratorLinux configure
INFORMACIÓN: Se va a instalar el certificado en el almacen de Mozilla Firefox
feb 25, 2021 8:50:04 PM es.gob.afirma.standalone.configurator.ConfiguratorFirefoxLinux createScriptsToSystemKeyStore
INFORMACIÓN: Comprobamos que se encuentre certutil en el sistema
feb 25, 2021 8:50:04 PM es.gob.afirma.standalone.configurator.ConfiguratorLinux configure
INFORMACIÓN: Fin de la configuración
Enter Password or Pin for "NSS Certificate DB":
Enter Password or Pin for "NSS Certificate DB":

[mimosinnet]

He hecho un ebuild que creo que funciona.

Estaba intentando aprender a hacer ebuilds para instalar autofirma y he encontrado este ebuild (que supongo será el mismo que está en el overlay guru). Para instalarlo:

Code: Select all

eselect repository enable guru
emerge --sync guru
emerge -av app-crypt/autofirma

¡Mil gracias!

[quilosaq]

mimosinnet:

Los 2 ebuils son distintos. El de gentoo.org es posterior (SEP20) y presumiblemente tendrá mayor calidad que el primero.

[expobi]

mimosinnet:

Los 2 ebuils son distintos. El de gentoo.org es posterior (SEP20) y presumiblemente tendrá mayor calidad que el primero.

Eres muy generoso quilosaq y eso te alaba, pero el ebuild app-crypt/autofirma-1.6.5-r1::guru no esta bien pensado para que AutoFirma funcione correctamente.

Después de muchas pruebas para que AutoFirma haga lo que se supone que debe hacer usando este ebuild estos son los pasos necesarios:

1 - Como comentó mimosinnet

Code: Select all

eselect repository enable guru
emerge --sync guru
emerge -av app-crypt/autofirma

( por cierto si quieres que app-eselect/eselect-repository sincronice los repositorios basados en git tienes que tener instalado dev-vcs/git ) ( me costo un rato darme cuenta )

2 - Editar el archivo ~/.mozilla/firefox/profiles.ini de cada uno de los usuarios que usen Firefox y poner el [Profile0] al principio del archivo.

Con esto AutoFirma firma, pero no te identifica. (Cuando una página de la administración requiera AutoFirma para identificarte, la conexión dará error y no podrás identificarte)

3 - Instalar

Code: Select all

dev-libs/nss[utils]

4 - Ejecutar como administrador:

Code: Select all

 java -jar '/usr/share/autofirma/lib/autofirmaConfigurador.jar'

5 - Ejecutar como administrador:

Code: Select all

. '/usr/share/autofirma/lib/script.sh'

Ahora si que podrás usar AutoFirma para identificarte en las páginas de la administración usando Firefox.



Si alguien sabe como hacerle llegar estos detalles al amigo chuso (Jesus Perez Rey), igual puede mejorar el ebuild. Yo no se como va esto de informar sobre los ebuilds.

[xickwy]

Desde chromium funcionando a las maravillas. He realizado los mismos pasos y solo he tenido que añadir esto desde bash

Code: Select all

modutil -add "DNI-e" -libfile /usr/lib64/opensc-pkcs11.so -dbdir sql:/home/$USER/.pki/nssdb

Reiniciamos el chrome, o forzar salir con htop y al volver a arrancar y darle a Configuración->Certificados, nos aparece el menú pidiendonos el pin del DNIe

Lo unico, que aún no he probado es a reiniciar el equipo o al menos reiniciar XFCE. Porque no me abre los enlaces tipo afirma://..... Al darle el click en la pagina murciana, antes me decia que no exstia, al hacer emerge en el paquete anterior, mira, al menos desapareció. Pero no me abre la ventana del pin. Cosa rara...

Sin contar, antes de las dependencias que necesita el DNIe, realice los emerges en los paquetes opensc pcsc-tools jss y ccid con los USE pcsc-lite, secure-messaging y ssl. Lo activé con OpenRC.

Code: Select all

# rc-update add pcscd default
# /etc/init.d/pcscd start

y verificado con usuario estandar

Code: Select all

$ dnie-tool -d -w

Lo saqué de esta pagina y desde luego, ya me reconocía el DNIe, pero no los navegadores, gracias a Google pude encontrar el post y una solución

[jpscasas]

A mí me ha funcionado app-crypt/autofirma-bin-1.6.5-r1 a la primera desde Firefox-78.11.0esr. Previamente modifiqué .mozilla/firefox/profiles.ini colocando [Profile0] en primera posición como se ha indicado en este tema, aunque no sé si en mi caso influyó en algo. Muchas gracias por las indicaciones para conseguirlo.

[quilosaq]

Por si a alguien le interesa, he hecho una nueva versión del ebuild de autofirma:
https://gitlab.com/quilosaq/qq-gentoo/- ... -r2.ebuild

Instrucciones para usarlo desde el repositorio en que está alojado:
https://gitlab.com/quilosaq/qq-gentoo/- ... /README.md

[quilosaq]

Por si le interesa a alguien, he actualizado el ebuild de AutoFirma:
https://gitlab.com/quilosaq/qq-gentoo/- ... -r1.ebuild

[expobi]

Gracias quilosaq, instalada la nueva versión y funciona perfectamente.

[mani001]

Por si a alguien más le sirve...para que me funcione en Firefox yo tuve que ejecutar

Code: Select all

ln -sf /etc/autofirma/AutoFirma.js

dentro del directorio /usr/lib64/firefox/defaults/pref

[quilosaq]

Por si a alguien más le sirve...para que me funcione en Firefox yo tuve que ejecutar

Code: Select all

ln -sf /etc/autofirma/AutoFirma.js

dentro del directorio /usr/lib64/firefox/defaults/pref

Ya no debería ser necesario hacerlo. Corregido en el ebuild.

[mani001]

Gracias!!

[expobi]

Para el caso de que se tenga varios usuarios que usen AutoFirma:
Cuando se piden las claves de la cuenta de firefox al final de la instalación, se pedira una por cada usuario. El orden en que se piden se encuentra en el archivo:

Code: Select all

/usr/lib/AutoFirma/script.sh

[papu]

Por si le interesa a alguien, he actualizado el ebuild de AutoFirma:
https://gitlab.com/quilosaq/qq-gentoo/- ... -r1.ebuild

gracias amigo
ya actualice , aunque el enlace este no funciona iendo a tu pagina base https://gitlab.com/quilosaq/qq-gentoo ya ta

[quilosaq]

...
ya actualice , aunque el enlace este no funciona iendo a tu pagina base https://gitlab.com/quilosaq/qq-gentoo ya ta :)

Gracias por el aviso. Actualicé a una revisión 2 y no puse el enlace directo al contenido del ebuild. Es este:
https://gitlab.com/quilosaq/qq-gentoo/- ... -r2.ebuild

[mvasi90]

Un cordial saludo todos los participantes y lectores.
Quiero aportar mi experiencia con AutoFirma en Gentoo a fecha 31 de Mayo de 2022.

Paquetes instalados

Code: Select all

www-client/firefox-bin-91.9.0::gentoo was built with the following:
USE="alsa ffmpeg gmp-autoupdate pulseaudio wayland (-selinux)" ABI_X86="(64)" L10N="-ach -af -an -ar -ast -az -be -bg -bn -br -bs -ca -ca-valencia -cak -cs -cy -da -de -dsb -el -en-CA -en-GB -eo -es-AR -es-CL -es-ES -es-MX -et -eu -fa -ff -fi -fr -fy -ga -gd -gl -gn -gu -he -hi -hr -hsb -hu -hy -ia -id -is -it -ja -ka -kab -kk -km -kn -ko -lij -lt -lv -mk -mr -ms -my -nb -ne -nl -nn -oc -pa -pl -pt-BR -pt-PT -rm -ro -ru -si -sk -sl -son -sq -sr -sv -ta -te -th -tl -tr -trs -uk -ur -uz -vi -xh -zh-CN -zh-TW"

dev-java/openjdk-bin-8.322_p06::gentoo was built with the following:
USE="alsa cups -examples -headless-awt (-selinux) -source" ABI_X86="(64)"
FEATURES="assume-digests binpkg-docompress binpkg-dostrip binpkg-logs config-protect-if-modified distlocks ebuild-locks fixlafiles ipc-sandbox merge-sync multilib-strict network-sandbox news parallel-fetch pid-sandbox preserve-libs protect-owned qa-unresolved-soname-deps sandbox sfperms strict unknown-features-warn unmerge-logs unmerge-orphans userfetch userpriv usersandbox usersync xattr"

dev-java/icedtea-web-1.8.4-r1::gentoo was built with the following:
USE="-debug -doc" ABI_X86="(64)"
FEATURES="assume-digests binpkg-docompress binpkg-dostrip binpkg-logs config-protect-if-modified distlocks ebuild-locks fixlafiles ipc-sandbox merge-sync multilib-strict network-sandbox news parallel-fetch pid-sandbox preserve-libs protect-owned qa-unresolved-soname-deps sandbox sfperms strict unknown-features-warn unmerge-logs unmerge-orphans userfetch userpriv usersandbox usersync xattr"

dev-java/icedtea-bin-3.16.0::gentoo was built with the following:
USE="alsa cups gtk pulseaudio (-big-endian) -doc -examples -headless-awt (-selinux) -source" ABI_X86="(64) -32 (-x32)"

dev-libs/openssl-1.1.1o::gentoo was built with the following:
USE="asm -rfc3779 -sctp -sslv3 -static-libs -test -tls-compression -tls-heartbeat -vanilla -verify-sig -weak-ssl-ciphers" ABI_X86="(64) -32 (-x32)" CPU_FLAGS_X86="(sse2)"
CFLAGS="-march=skylake -O2 -pipe -fno-strict-aliasing -Wa,--noexecstack"
CXXFLAGS="-march=skylake -O2 -pipe -fno-strict-aliasing -Wa,--noexecstack"
FEATURES="binpkg-logs distlocks xattr config-protect-if-modified ebuild-locks news unknown-features-warn merge-sync parallel-fetch sandbox unmerge-logs network-sandbox strict fixlafiles binpkg-docompress usersandbox qa-unresolved-soname-deps pid-sandbox sfperms unmerge-orphans userpriv ipc-sandbox assume-digests protect-owned usersync userfetch multilib-strict binpkg-dostrip preserve-libs"

Java en uso

Code: Select all

eselect java-vm list
Available Java Virtual Machines:
  [1]   icedtea-bin-8
  [2]   openjdk-bin-8  system-vm
  [3]   openjdk-bin-11

java -version
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on
openjdk version "1.8.0_322"
OpenJDK Runtime Environment (Temurin)(build 1.8.0_322-b06)
OpenJDK 64-Bit Server VM (Temurin)(build 25.322-b06, mixed mode)

Resultados

• AutoFirma (manual) -> Funciona
• AutoFirma (Firefox)
  • https://www.sededgsfp.gob.es/es/Paginas ... firma.aspx -> Funciona
  • https://sede.carm.es/cryptoApplet/ayuda ... firma.html -> No funciona (1)
  • https://expinterweb.inclusion.gob.es/sc ... firmaTest/ -> No funciona (1)
  _____________
  (1) No funciona: Sólo funciona al cambiar de openjdk a icedtea (sudo eselect java-vm set system icedtea-bin)

Investigación

Al editar el fichero /usr/bin/AutoFirma activando la depuración SSL:
java -Djavax.net.debug=ssl -Djdk.tls.maxHandshakeMessageSize=50000 -jar /usr/lib/AutoFirma/AutoFirma.jar $*, descubrí el origen del fallo:

Code: Select all

javax.net.ssl|FINE|01|main|2022-05-31 15:57:57.957 CEST|SSLCipher.java:438|jdk.tls.keyLimits:  entry = AES/GCM/NoPadding KeyUpdate 2^37. AES/GCM/NOPADDING:KEYUPDATE = 137438953472
javax.net.ssl|SEVERE|1C|WebSocketSelector-28|2022-05-31 15:58:00.405 CEST|TransportContext.java:316|Fatal (INTERNAL_ERROR): problem wrapping app data (
"throwable" : {
  javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
  	at sun.security.ssl.HandshakeContext.<init>(HandshakeContext.java:171)
  	at sun.security.ssl.ServerHandshakeContext.<init>(ServerHandshakeContext.java:62)
  	at sun.security.ssl.TransportContext.kickstart(TransportContext.java:220)
  	at sun.security.ssl.SSLEngineImpl.writeRecord(SSLEngineImpl.java:159)
  	at sun.security.ssl.SSLEngineImpl.wrap(SSLEngineImpl.java:130)
  	at sun.security.ssl.SSLEngineImpl.wrap(SSLEngineImpl.java:110)
  	at javax.net.ssl.SSLEngine.wrap(SSLEngine.java:471)
  	at org.java_websocket.SSLSocketChannel2.wrap(SSLSocketChannel2.java:182)
  	at org.java_websocket.SSLSocketChannel2.<init>(SSLSocketChannel2.java:112)
  	at org.java_websocket.server.DefaultSSLWebSocketServerFactory.wrapChannel(DefaultSSLWebSocketServerFactory.java:71)
  	at org.java_websocket.server.WebSocketServer.doAccept(WebSocketServer.java:429)
  	at org.java_websocket.server.WebSocketServer.run(WebSocketServer.java:344)
  	at java.lang.Thread.run(Thread.java:750)}

)

Esto se debe a que se utiliza protocolos y algoritmo de cifrado deshabilitado por motivos de seguridad.
Para comprobarlo he deshabilitado temporalmente dicha característica, comentando la siguiente entrada en fichero /opt/openjdk-bin-8/jre/lib/security/java.security:

Code: Select all

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    include jdk.disabled.namedCurves

Al volver a ralizar la prueba (sin haber cerrado el navegador ni haber salido de la página), funciona.

A diferencia de openjdk, icedtea no deshabilita los protocolos TLS previos a la versión 1.2 ni tampoco los algoritmos de cifrado vulnerables. En java.security de icedtea:

Code: Select all

jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024, \
    EC keySize < 224, 3DES_EDE_CBC, anon, NULL

Solución

Usar openjdk en lugar de icedtea y usar únicamente los sitios web actualizados, exigiendo a las administraciones públicas actualizar sus servicios que ponen en riesgo la seguridad y privacidad de nuestros datos y dispositivos.

Notas
No estoy de acuerdo en absoluto con esta mala práctica de ejecutar código remoto en los dispositivos de los usuarios. Aún existen sitios de la administración que descargan código bytecode de java en jnlp y lo ejecuta.

En lugar de desarrollar software en WebAssembly que se ejecuta directamente en el navegador, lo hacen en Java porque es más fácil, complicando la vida a los usuarois.
Aún así, Java 8 está en camino de la obsolescencia, y a partir de la versión 9 de Java (la 10, 11,12,13,14,15,16,17) se incorporaron los módulos, lo que exige al desarrollador proporcionar una versión reducida de la máquina virtual de Java en el própio paquete que instala el usuario.

Por otro lado, tampoco estoy de acuerdo con estos instaladores que aparecen en las distribuciones ArchLinux, Gentoo, Debian, etc.
¿Qué es eso de ejecutar java como superusuario root?
... java -jar AutoFirmaConfigurador.jar...

Somos usuarios de Linux y Unix por motivos de privacidad y seguridad, pero parece que no se respeta eso, y el resultado es una falsa sensación de seguridad y de privacidad.

En mis sistemas ninguna aplicación tiene acceso a internet. Todas las que tienen acceso a internet están aisladas en un sandbox bwrap (bubblewrap), y sólo tienen acceso cuando yo lo activo explícitamente (activando un flag en el momento de ejecución) y al sitio o sitios web concreto/s (dominio/subdominio/IP).

Las garras de los espías están en todas partes. Hay muchísimas aplicaciones que recopilan información del usuario: Android Studio, plugins de vim/nvim para el desarrollo de software, Signal Private Messenger, etc.

En el ejemplo de Signal, aunque incorpore cifrado de extremo a extremo, utiliza librerías de Google que se conectan constantemente a los servidores de Google. Nadie se preocupa por nada últimamente.

[papu]

Un cordial saludo todos los participantes y lectores.
Quiero aportar mi experiencia con AutoFirma en Gentoo a fecha 31 de Mayo de 2022.

Paquetes instalados

Code: Select all

www-client/firefox-bin-91.9.0::gentoo was built with the following:
USE="alsa ffmpeg gmp-autoupdate pulseaudio wayland (-selinux)" ABI_X86="(64)" L10N="-ach -af -an -ar -ast -az -be -bg -bn -br -bs -ca -ca-valencia -cak -cs -cy -da -de -dsb -el -en-CA -en-GB -eo -es-AR -es-CL -es-ES -es-MX -et -eu -fa -ff -fi -fr -fy -ga -gd -gl -gn -gu -he -hi -hr -hsb -hu -hy -ia -id -is -it -ja -ka -kab -kk -km -kn -ko -lij -lt -lv -mk -mr -ms -my -nb -ne -nl -nn -oc -pa -pl -pt-BR -pt-PT -rm -ro -ru -si -sk -sl -son -sq -sr -sv -ta -te -th -tl -tr -trs -uk -ur -uz -vi -xh -zh-CN -zh-TW"

dev-java/openjdk-bin-8.322_p06::gentoo was built with the following:
USE="alsa cups -examples -headless-awt (-selinux) -source" ABI_X86="(64)"
FEATURES="assume-digests binpkg-docompress binpkg-dostrip binpkg-logs config-protect-if-modified distlocks ebuild-locks fixlafiles ipc-sandbox merge-sync multilib-strict network-sandbox news parallel-fetch pid-sandbox preserve-libs protect-owned qa-unresolved-soname-deps sandbox sfperms strict unknown-features-warn unmerge-logs unmerge-orphans userfetch userpriv usersandbox usersync xattr"

dev-java/icedtea-web-1.8.4-r1::gentoo was built with the following:
USE="-debug -doc" ABI_X86="(64)"
FEATURES="assume-digests binpkg-docompress binpkg-dostrip binpkg-logs config-protect-if-modified distlocks ebuild-locks fixlafiles ipc-sandbox merge-sync multilib-strict network-sandbox news parallel-fetch pid-sandbox preserve-libs protect-owned qa-unresolved-soname-deps sandbox sfperms strict unknown-features-warn unmerge-logs unmerge-orphans userfetch userpriv usersandbox usersync xattr"

dev-java/icedtea-bin-3.16.0::gentoo was built with the following:
USE="alsa cups gtk pulseaudio (-big-endian) -doc -examples -headless-awt (-selinux) -source" ABI_X86="(64) -32 (-x32)"

dev-libs/openssl-1.1.1o::gentoo was built with the following:
USE="asm -rfc3779 -sctp -sslv3 -static-libs -test -tls-compression -tls-heartbeat -vanilla -verify-sig -weak-ssl-ciphers" ABI_X86="(64) -32 (-x32)" CPU_FLAGS_X86="(sse2)"
CFLAGS="-march=skylake -O2 -pipe -fno-strict-aliasing -Wa,--noexecstack"
CXXFLAGS="-march=skylake -O2 -pipe -fno-strict-aliasing -Wa,--noexecstack"
FEATURES="binpkg-logs distlocks xattr config-protect-if-modified ebuild-locks news unknown-features-warn merge-sync parallel-fetch sandbox unmerge-logs network-sandbox strict fixlafiles binpkg-docompress usersandbox qa-unresolved-soname-deps pid-sandbox sfperms unmerge-orphans userpriv ipc-sandbox assume-digests protect-owned usersync userfetch multilib-strict binpkg-dostrip preserve-libs"

Java en uso

Code: Select all

eselect java-vm list
Available Java Virtual Machines:
  [1]   icedtea-bin-8
  [2]   openjdk-bin-8  system-vm
  [3]   openjdk-bin-11

java -version
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on
openjdk version "1.8.0_322"
OpenJDK Runtime Environment (Temurin)(build 1.8.0_322-b06)
OpenJDK 64-Bit Server VM (Temurin)(build 25.322-b06, mixed mode)

Resultados

• AutoFirma (manual) -> Funciona
• AutoFirma (Firefox)
  • https://www.sededgsfp.gob.es/es/Paginas ... firma.aspx -> Funciona
  • https://sede.carm.es/cryptoApplet/ayuda ... firma.html -> No funciona (1)
  • https://expinterweb.inclusion.gob.es/sc ... firmaTest/ -> No funciona (1)
  _____________
  (1) No funciona: Sólo funciona al cambiar de openjdk a icedtea (sudo eselect java-vm set system icedtea-bin)

Investigación

Al editar el fichero /usr/bin/AutoFirma activando la depuración SSL:
java -Djavax.net.debug=ssl -Djdk.tls.maxHandshakeMessageSize=50000 -jar /usr/lib/AutoFirma/AutoFirma.jar $*, descubrí el origen del fallo:

Code: Select all

javax.net.ssl|FINE|01|main|2022-05-31 15:57:57.957 CEST|SSLCipher.java:438|jdk.tls.keyLimits:  entry = AES/GCM/NoPadding KeyUpdate 2^37. AES/GCM/NOPADDING:KEYUPDATE = 137438953472
javax.net.ssl|SEVERE|1C|WebSocketSelector-28|2022-05-31 15:58:00.405 CEST|TransportContext.java:316|Fatal (INTERNAL_ERROR): problem wrapping app data (
"throwable" : {
  javax.net.ssl.SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suites are inappropriate)
  	at sun.security.ssl.HandshakeContext.<init>(HandshakeContext.java:171)
  	at sun.security.ssl.ServerHandshakeContext.<init>(ServerHandshakeContext.java:62)
  	at sun.security.ssl.TransportContext.kickstart(TransportContext.java:220)
  	at sun.security.ssl.SSLEngineImpl.writeRecord(SSLEngineImpl.java:159)
  	at sun.security.ssl.SSLEngineImpl.wrap(SSLEngineImpl.java:130)
  	at sun.security.ssl.SSLEngineImpl.wrap(SSLEngineImpl.java:110)
  	at javax.net.ssl.SSLEngine.wrap(SSLEngine.java:471)
  	at org.java_websocket.SSLSocketChannel2.wrap(SSLSocketChannel2.java:182)
  	at org.java_websocket.SSLSocketChannel2.<init>(SSLSocketChannel2.java:112)
  	at org.java_websocket.server.DefaultSSLWebSocketServerFactory.wrapChannel(DefaultSSLWebSocketServerFactory.java:71)
  	at org.java_websocket.server.WebSocketServer.doAccept(WebSocketServer.java:429)
  	at org.java_websocket.server.WebSocketServer.run(WebSocketServer.java:344)
  	at java.lang.Thread.run(Thread.java:750)}

)

Esto se debe a que se utiliza protocolos y algoritmo de cifrado deshabilitado por motivos de seguridad.
Para comprobarlo he deshabilitado temporalmente dicha característica, comentando la siguiente entrada en fichero /opt/openjdk-bin-8/jre/lib/security/java.security:

Code: Select all

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    include jdk.disabled.namedCurves

Al volver a ralizar la prueba (sin haber cerrado el navegador ni haber salido de la página), funciona.

A diferencia de openjdk, icedtea no deshabilita los protocolos TLS previos a la versión 1.2 ni tampoco los algoritmos de cifrado vulnerables. En java.security de icedtea:

Code: Select all

jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, DH keySize < 1024, \
    EC keySize < 224, 3DES_EDE_CBC, anon, NULL

Solución

Usar openjdk en lugar de icedtea y usar únicamente los sitios web actualizados, exigiendo a las administraciones públicas actualizar sus servicios que ponen en riesgo la seguridad y privacidad de nuestros datos y dispositivos.

Notas
No estoy de acuerdo en absoluto con esta mala práctica de ejecutar código remoto en los dispositivos de los usuarios. Aún existen sitios de la administración que descargan código bytecode de java en jnlp y lo ejecuta.

En lugar de desarrollar software en WebAssembly que se ejecuta directamente en el navegador, lo hacen en Java porque es más fácil, complicando la vida a los usuarois.
Aún así, Java 8 está en camino de la obsolescencia, y a partir de la versión 9 de Java (la 10, 11,12,13,14,15,16,17) se incorporaron los módulos, lo que exige al desarrollador proporcionar una versión reducida de la máquina virtual de Java en el própio paquete que instala el usuario.

Por otro lado, tampoco estoy de acuerdo con estos instaladores que aparecen en las distribuciones ArchLinux, Gentoo, Debian, etc.
¿Qué es eso de ejecutar java como superusuario root?
... java -jar AutoFirmaConfigurador.jar...

Somos usuarios de Linux y Unix por motivos de privacidad y seguridad, pero parece que no se respeta eso, y el resultado es una falsa sensación de seguridad y de privacidad.

En mis sistemas ninguna aplicación tiene acceso a internet. Todas las que tienen acceso a internet están aisladas en un sandbox bwrap (bubblewrap), y sólo tienen acceso cuando yo lo activo explícitamente (activando un flag en el momento de ejecución) y al sitio o sitios web concreto/s (dominio/subdominio/IP).

Las garras de los espías están en todas partes. Hay muchísimas aplicaciones que recopilan información del usuario: Android Studio, plugins de vim/nvim para el desarrollo de software, Signal Private Messenger, etc.

En el ejemplo de Signal, aunque incorpore cifrado de extremo a extremo, utiliza librerías de Google que se conectan constantemente a los servidores de Google. Nadie se preocupa por nada últimamente.

es vergonzoso lo de del java y las instituciones publicas.
por eso mismo luego las webs del estado son un excremento infame.

lo de tener que usar Autofirm es inenarrable...

[quilosaq]

...
Java en uso

Code: Select all

eselect java-vm list
Available Java Virtual Machines:
  [1]   icedtea-bin-8
  [2]   openjdk-bin-8  system-vm
  [3]   openjdk-bin-11

java -version
Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on
openjdk version "1.8.0_322"
OpenJDK Runtime Environment (Temurin)(build 1.8.0_322-b06)
OpenJDK 64-Bit Server VM (Temurin)(build 25.322-b06, mixed mode)

Resultados

• AutoFirma (manual) -> Funciona
• AutoFirma (Firefox)
  • https://www.sededgsfp.gob.es/es/Paginas ... firma.aspx -> Funciona
  • https://sede.carm.es/cryptoApplet/ayuda ... firma.html -> No funciona (1)
  • https://expinterweb.inclusion.gob.es/sc ... firmaTest/ -> No funciona (1)
  (1) No funciona: Sólo funciona al cambiar de openjdk a icedtea (sudo eselect java-vm set system icedtea-bin)

...

En mi caso las 3 páginas para probar Autofirma con Firefox han funcionado con openjdk-bin-11 (dev-java/openjdk-bin-11.0.14_p9-r1) produciendo una firma correcta de los datos.

...
Esto se debe a que se utiliza protocolos y algoritmo de cifrado deshabilitado por motivos de seguridad.
Para comprobarlo he deshabilitado temporalmente dicha característica, comentando la siguiente entrada en fichero /opt/openjdk-bin-8/jre/lib/security/java.security:

Code: Select all

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, \
    DH keySize < 1024, EC keySize < 224, 3DES_EDE_CBC, anon, NULL, \
    include jdk.disabled.namedCurves

...

La configuración de jdk.tls.disabledAlgorithms en openjdk-bin-11 es la misma que en openjdk-bin-8 y sin embargo me ha funcionado sin hacer esas modificaciones temporales. Quizá la conclusión sobre que la administración está utilizando algoritmos inseguros pudiera estar equivocada.

[wellno1]

En una máquina nueva no me deja autenticarme en la página de Clave, sigue en loop. Se que no es un problema de autofirma, pero a lo mejor alguien se ha encontrado con el mismo fallo y lo ha solucionado.
Mismo problema tanto con firefox como con chromium

[mvasi90]

En mi caso las 3 páginas para probar Autofirma con Firefox han funcionado con openjdk-bin-11 (dev-java/openjdk-bin-11.0.14_p9-r1) produciendo una firma correcta de los datos.
...
La configuración de jdk.tls.disabledAlgorithms en openjdk-bin-11 es la misma que en openjdk-bin-8 y sin embargo me ha funcionado sin hacer esas modificaciones temporales. Quizá la conclusión sobre que la administración está utilizando algoritmos inseguros pudiera estar equivocada.

Hola quilosaq, acabo de ver tu post. Esto no me avisó cuando escribiste.

Acabo de realizar una prueba, y confirmo lo que dijiste. Con la versión 11 de Java funciona, incluso teniendo la misma configuración de seguridad.

El error de Java 8 es el mismo que antes, el protocolo utilizado es inseguro.
Si funciona con Java 11 debe ser que AutoFirma invoca algún método que se ha reescrito en las versiones recientes de Java y utiliza los protocolos de comunicación cifrada más recientes, o quizás eso lo elija el script de la Administración (porque algunas webs sí que funcionan con Java 8 ). No dispongo de más tiempo para investigar.

Saludos.

[cameta]

openjdk-bin-8 Funciona aplicación. No funciona en web
openjdk-bin-11 Funciona aplicación Funciona en web
openjdk-bin-17 La aplicación advierte que no esta preparada y podría dar errores. Funciona en web