La Noticia Tecnológica de la Semana

Joaquín López Lérida

Posts Tagged ‘eal’

La seguridad de los eDNI cuestionada

Posted by Kwai en 9 agosto 2009

Fecha: 9 de agosto de 2009

bdniEsta semana salió la noticia de que la propuesta de DNI para el Reino Unido fue hackeado en apenas 12 minutos con la ayuda de un ordenador portátil y un teléfono móvil Nokia. Aunque se trata simplemente de una propuesta de eDNI ya que en el Reino Unido, al igual que en Estados Unidos por ejemplo, no existe a día de hoy DNI, la noticia tiene importantes implicaciones en muchos sentidos.

La cosa ha cambiado bastante desde que en los años 40 las diputaciones provinciales empezarán a proporcionar a los ciudadanos cédulas personales, que funcionaban solamente a nivel provincial y que no estaban normalizadas ni siquiera a nivel nacional o desde que a partir del año 44 se comenzara a unificar todo el marco de identificación para los ciudadanos españoles.

A partir de 2006, España comenzó a expedir documentos de identidad electrónicos. La propuesta de identidad electrónica que España está canalizando a través del eDNI tiene que ver en gran medida con la creación de un marco internacional de referencia que permita identificar a la totalidad de los ciudadanos europeos y de otros países desarrollados como Estados Unidos, Canadá, Japón, etc, por lo que el compromiso de las medidas de seguridad de alguna de sus variantes es una noticia que pone en evidencia este primer intento de hacer una especie de padrón a nivel mundial.

En concreto en Europa, ya existe eDNI además de España en Austria, Bélgica, Estonia, Finlandia, Italia, Portugal y Suecia dentro del proyecto eID que pretende crear un marco de interoperabilidad común de la identidades electrónicas en toda la Unión Europea. En este sentido cabe destacar los retrasos precisamente del Reino Unido e Irlanda. Este marco de interoperabilidad cuyo plan de acción arranca en 2010 abarcará todos los paises de la UE (27), más los paises candidatos (Croacia y Turquía) y Noruega, Islandia y Liechtenstein.

La seguridad del documento electrónico, que se ha puesto en cuestión esta semana, es un aspecto estratégico ya que podría desarmar todo el marco de interoperabilidad que se pretende poner en marcha a partir de 2010. Aunque esta seguridad está segregada en cinco aspectos: chip, soporte, comunicaciones, pki y expedición, el aspecto del chip se considera con lógica el más importante y es el que ha sido vencido esta semana para la versión británica (la versión española con más de 11 millones de documentos ya expedidos, y aunque cuestionada incialmente en determinados aspectos, no ha sido, que se sepa, vencida).

En la actualidad el chip del que hablaba contiene los siguientes datos del titular: certificado de autenticación y claves asociadas, certificado de firma y claves asociadas, certificado de autoridad de la entidad emisora, datos de filiación del ciudadano, imagen digitalizada, plantilla de la firma manuscrita, imagen de la impresión dactilar, y aplicación de Match On Card. Cualquier compromiso de este chip, como ha pasado esta semana en el Reino Unido podría tener unas consecuencias desastrosas sobre toda la estrategia de gestión digital de la identificación de los ciudadanos y sobre el propio marco de interoperabilidad europeo que comienza su implantación el próximo año de ahí la importancia del suceso en el Reino Unido.

Hay que considerar que si se consiguiera vulnerar la seguridad del chip, la del soporte sería prácticamente una consecuencia, y el resto a nivel de comunicaciones, pki y expedición no serían demasiado vinculantes para poder realizar suplantaciones de identidad.

A nivel de España en mi opinión podemos estar tranquilos en lo que a seguridad del chip se refiere. Nuestro eDNI tiene una certificación Common Criteria” EAL 4 + según el “Protection Profile” europeo para tarjetas inteligentes. Asimismo, gozan de certificación “Common Criteria” todas las aplicaciones (software) que se ejecutan en el e-DNI. Por tanto, la seguridad del chip no parece que vaya a ser un problema en los próximos años y los problemas de seguridad que más preocupan a los responsables están ubicados más en la parte de la seguridad del propio ordenador del usuario mediante la utilización de técnicas como skimming o evasdroping que en la propia seguridad del documento en sí, pero el marco de interoperabilidad europeo sí se podría ver seriamente amenazado si alguno de los países falla en sus medidas de protección.

Anuncios

Posted in europa, mundo | Etiquetado: , , , , , , , , | 5 Comments »