Poco más que evitar el proceso instala certificado-desinstala certificado. Con la tarjeta no necesitas ni instalar ni desinstalar, te lo reconoce directamente.
Si tienes que usar el certificado a diario no vas a estar instalando y desinstalando cada día. Con la tarjeta llegas, la conectas, cuando acabes te la llevas y en paz. ¿Te vas a otro ordenador? La tarjeta va siempre contigo.
Por otro lado dices lo del "micro para desencriptar"... micro ninguno. La tarjeta esa es un chip de almacenamiento y nada más, el que hace todo el trabajo sigue siendo el ordenador, que en vez de leer el certificado del almacén del windows lo lee de la tarjeta.
Echa una ojeada aquí. Diferencias, poquitas:
La diferencia reside en el lugar en el que se generará la clave privada. Si el certificado se solicita en tarjeta, la clave privada no podrá exportarse por lo que se considera un medio más.... Preguntas frecuentes para Problemas y dudas más habituales de clase 2 CA
www.sede.fnmt.gob.es
Si tienes que usar el certificado a diario no vas a estar instalando y desinstalando cada día.
¿Por qué no?
De hecho, en mi ordenador el certificado está desistalado, y lo instalo en el navegador exclusivamente a la hora de autentificarme.
Acto seguido lo desinstalo.
Por otro lado dices lo del "micro para desencriptar"... micro ninguno. La tarjeta esa es un chip de almacenamiento y nada más, el que hace todo el trabajo sigue siendo el ordenador, que en vez de leer el certificado del almacén del windows lo lee de la tarjeta.
Hasta donde yo se, las tarjetas actuales llevan un micro, no son sólo tarjetas con una flash.
De hecho, si son seguras, es porque el PC no puede acceder al certificado privado.
De hecho, fijate como sí que lleva un computador interno las tarjetas, en el link que pusiste, dice lo siguiente:
TARJETA CRIPTOGRAFICA FNMT-RCM La tarjeta criptográfica de la FNMT-RCM genera internamente las claves criptográficas lo que impide que las mismas puedan ser accedidas desde el exterior, realizándose todas las operaciones criptográficas con empleo de clave privada, en el interior de la propia...
tienda.fnmt.es
- La tarjeta ofrece como algoritmos de clave pública [...].
- Es decir, la tarjeta realiza computaciones (es activa).
- El sistema operativo de la tarjeta, diseñado e implementado por la FNMT-RCM [...].
- Dispone de SO, es decir, hay un computador completo.
El certificado digital de la FNMT es un archivo que lleva la clave pública y la privada, en formato PKCS#12.
Al instalarlo en el navegador, lo que se hace es poner en navegador ambos (creo) a partir del archivo con formato PKCS#12.
En el caso del DNI-e, se tiene un dispositivo criptográfico ACTIVO (es decir, tiene capacidad de computo sobre los datos comunicados) accedido mediante el protocolo de conexión/acceso PKCS#11.
En dichos dispositivos, el certificado privado es inaccesible desde el ordenador, por eso es un nivel más de seguridad (y por eso mismo la tarjeta-certificado de la FNMT NO se puede sacar una copia del certificado privado interno).
Mi pregunta era si se podía emular o forzar de alguna manera que un USB pasivo pudiera ser accedido estilo dispositivo PKCS#11, precisamente para evitar el paso de instala/desinstala el certificado cada vez que se quiera usar.
Quien dice USB dice tarjeta de memoria flash (accedida mediante lector USB).
O quizás NO se pueda emular, y haga falta un token USB con un micro que se comunique mediante PKCS#11.
A ver si alguien que sepa de algoritmos criptográficos nos ilumina un poco sobre mi duda del USB.
