La seguridad de los eDNI cuestionada
Posted by Kwai en 9 agosto 2009
Fecha: 9 de agosto de 2009
Esta semana salió la noticia de que la propuesta de DNI para el Reino Unido fue hackeado en apenas 12 minutos con la ayuda de un ordenador portátil y un teléfono móvil Nokia. Aunque se trata simplemente de una propuesta de eDNI ya que en el Reino Unido, al igual que en Estados Unidos por ejemplo, no existe a día de hoy DNI, la noticia tiene importantes implicaciones en muchos sentidos.
La cosa ha cambiado bastante desde que en los años 40 las diputaciones provinciales empezarán a proporcionar a los ciudadanos cédulas personales, que funcionaban solamente a nivel provincial y que no estaban normalizadas ni siquiera a nivel nacional o desde que a partir del año 44 se comenzara a unificar todo el marco de identificación para los ciudadanos españoles.
A partir de 2006, España comenzó a expedir documentos de identidad electrónicos. La propuesta de identidad electrónica que España está canalizando a través del eDNI tiene que ver en gran medida con la creación de un marco internacional de referencia que permita identificar a la totalidad de los ciudadanos europeos y de otros países desarrollados como Estados Unidos, Canadá, Japón, etc, por lo que el compromiso de las medidas de seguridad de alguna de sus variantes es una noticia que pone en evidencia este primer intento de hacer una especie de padrón a nivel mundial.
En concreto en Europa, ya existe eDNI además de España en Austria, Bélgica, Estonia, Finlandia, Italia, Portugal y Suecia dentro del proyecto eID que pretende crear un marco de interoperabilidad común de la identidades electrónicas en toda la Unión Europea. En este sentido cabe destacar los retrasos precisamente del Reino Unido e Irlanda. Este marco de interoperabilidad cuyo plan de acción arranca en 2010 abarcará todos los paises de la UE (27), más los paises candidatos (Croacia y Turquía) y Noruega, Islandia y Liechtenstein.
La seguridad del documento electrónico, que se ha puesto en cuestión esta semana, es un aspecto estratégico ya que podría desarmar todo el marco de interoperabilidad que se pretende poner en marcha a partir de 2010. Aunque esta seguridad está segregada en cinco aspectos: chip, soporte, comunicaciones, pki y expedición, el aspecto del chip se considera con lógica el más importante y es el que ha sido vencido esta semana para la versión británica (la versión española con más de 11 millones de documentos ya expedidos, y aunque cuestionada incialmente en determinados aspectos, no ha sido, que se sepa, vencida).
En la actualidad el chip del que hablaba contiene los siguientes datos del titular: certificado de autenticación y claves asociadas, certificado de firma y claves asociadas, certificado de autoridad de la entidad emisora, datos de filiación del ciudadano, imagen digitalizada, plantilla de la firma manuscrita, imagen de la impresión dactilar, y aplicación de Match On Card. Cualquier compromiso de este chip, como ha pasado esta semana en el Reino Unido podría tener unas consecuencias desastrosas sobre toda la estrategia de gestión digital de la identificación de los ciudadanos y sobre el propio marco de interoperabilidad europeo que comienza su implantación el próximo año de ahí la importancia del suceso en el Reino Unido.
Hay que considerar que si se consiguiera vulnerar la seguridad del chip, la del soporte sería prácticamente una consecuencia, y el resto a nivel de comunicaciones, pki y expedición no serían demasiado vinculantes para poder realizar suplantaciones de identidad.
A nivel de España en mi opinión podemos estar tranquilos en lo que a seguridad del chip se refiere. Nuestro eDNI tiene una certificación Common Criteria” EAL 4 + según el «Protection Profile» europeo para tarjetas inteligentes. Asimismo, gozan de certificación «Common Criteria» todas las aplicaciones (software) que se ejecutan en el e-DNI. Por tanto, la seguridad del chip no parece que vaya a ser un problema en los próximos años y los problemas de seguridad que más preocupan a los responsables están ubicados más en la parte de la seguridad del propio ordenador del usuario mediante la utilización de técnicas como skimming o evasdroping que en la propia seguridad del documento en sí, pero el marco de interoperabilidad europeo sí se podría ver seriamente amenazado si alguno de los países falla en sus medidas de protección.
La Noticia Tecnológica de la Semana 
Reena said
Te has colado…
El eDNI ya se esta dando en UK. Los inmigrantes estan todos identificados de esta manera y, a partir de Noviembre, Manchester (donde vivo) comenzara con el proyecto piloto de darselo a los Britanicos. Es opcional y no ha tenido muy buena acogida, asi que seguramente los numeros de carnes en circulacion seran muy bajitos.
Pero vamos, que se esta dando desde hace tiempo
Laurie is holding one of 51,000 ID cards issued by the Home Office to foreign nationals currently working or studying in Britain.
Si te hubieras parado a leer la noticia en Ingles lo hubieses visto. Esta enlazada en la web que enlazas tu
http://www.dailymail.co.uk/news/article-1204641/New-ID-cards-supposed-unforgeable–took-expert-12-minutes-clone-programme-false-data.html#
Saludos.
einger said
Esperemos que no suceda en otros lugares. No acabo de entender que seguridades da la certificación Common Criteria EAL 4 +. Ojeando un poco el enlace a la wiki he leido esto:
«If a product is Common Criteria certified, it does not necessarily mean it is completely secure. For example, various Microsoft Windows versions, including Windows Server 2003 and Windows XP, have been certified at EAL4+»
Si no he entendido muy mal el certificado Common Criteria simplemente asegura que un grupo de expertos a probado su seguridad. En cuanto al nivel EAL 4 +, he leido esto en el mismo enlace:
«Higher EALs do not necessarily imply «better security», they only mean that the claimed security assurance of the TOE has been more extensively validated.»
¿Realmente es seguro? ¿Hay algo aparte de lo que he dicho que otorgue el certificado?
Barrapunto | La seguridad de los eDNI « El camello, el Leon y el niño. O la evolución del perro al lobo said
[…] desde el dept. identidades-compartidas Un pobrecito hablador nos cuenta: «La semana pasada se comprometió en apenas 12 minutos el chip del proyecto del eDNI británico. La suerte ha sido que no está en curso, pero las intenciones de la Unión Europea de crear un […]
Juan E. Lagunas said
Hola, muy buen blog, esta muy bueno el contenido, te invito a pasar por el mio:
http://juano18.wordpress.com/
Saludos!!!
sexchat said
For example, such things as visits to another place, family gatherings,
marriages, or the visitor will be unpleasant.
Geiler PrivatsexSeid willkommen bei den sexchats live.
I just spent six action-packed days in New York City Mayor Michael R.
The Sensation is a simple and untainted joy in the hand, make a wish and throw it over your shoulder?