El DNI electrónico y la firma-e

CONSIDERACIONES TÉCNICAS Y OPERATIVAS

Votobit 24-04-2003

El viernes 4 de abril se aprobó en España el Anteproyecto de Ley de Firma Electrónica (pendiente de pase por el Congreso), como marco regulador que habilitará el uso de la firma electrónica y los sistemas de identidad electrónica (Documento nacional e Identidad Electrónico), en las relaciones con la Administración y entre particulares


Índice

EL DOCUMENTO NACIONAL DE IDENTIDAD ELECTRÓNICO
Introducción
Marco tecnológico probable
Problemas de compatibilidad
Problemas de seguridad
Seguridad por el oscurantismo/hardware
Fallos no detectados
Condiciones de trabajo adversas
Funcionamiento en el tiempo
Objetivo interesante de atacar
Problemas ante un fallo de seguridad
Generación de claves
Tecnología externa
Seguridad remota y limitaciones
Consideraciones sobre los derechos
Uso y abuso de la detección remota
Problemas con la información-contenido
Recomendaciones

Fluir del tiempo
Ben Goossens
Por FERNANDO ACERO. El anteproyecto de Ley establece la siguiente regulación:
La Administración General del Estado podrá incorporar al Documento Nacional de Identidad una acreditación electrónica de la identidad personal e instrumentos para la firma electrónica de documentos.
El Documento Nacional de Identidad electrónico surtirá plenos efectos para la acreditación de la identidad y de los demás datos personales del titular que, conforme a la normativa reguladora del Documento Nacional de Identidad, consten en el mismo.
El Documento Nacional de Identidad electrónico será un medio suficiente para acreditar, en un procedimiento administrativo, la identidad y demás datos personales de los interesados que consten en el mismo, así como para comprobar la integridad de los documentos firmados haciendo uso de los instrumentos de firma incluidos en él, a efectos de lo previsto en los artículos 45 y 70.1 de la Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Todas las Administraciones Públicas y las Entidades de Derecho Público vinculadas o dependientes de las mismas aceptarán el uso del Documento Nacional de identidad electrónico para la comprobación de la identidad y de los demás datos señalados en este apartado en sus relaciones por medios telemáticos con los particulares.”


Así pues el anteproyecto de Ley impulsa el uso de la firma/DNI electrónico por parte de las personas físicas y jurídicas. Esta legislación está en consonancia con lo que se dice en el informe de la comisión "Soto" de la Sociedad de la Información, como motor para lograr el despegue de la sociedad de la información, el gobierno-e y el comercio-e. Conclusiones con las que estamos de acuerdo plenamente, pero que como marco amplio, son necesario matizar y acotar. Al margen de que estemos de acuerdo con lo que establece la comisión "Soto" y de la conveniencia de una legislación habilitante, el uso del DNI electrónico y de la firma digital, no es algo baladí y requiere un profundo estudio tecnológico y de oportunidad, si se desean lograr los objetivos fijados. Por ello, se debe huir de los mensajes comerciales de los fabricantes de chips y tomar una decisión inteligente, basada en conocimientos tecnológicos fiables y debidamente contrastados.

No obstante, aunque estamos convencidos de la necesidad de algún medio para la autentificación remota y firma electrónica, también creemos necesario hacer algunas consideraciones antes de elegir una determinada solución tecnológica. Con el presente documento no queremos decir que la plataforma tecnológica elegida en España para el DNI electrónico no sea segura, simplemente queremos señalar los posibles riesgos, y vulnerabilidades de un sistema de este tipo, para que sean tenidos en cuenta por los responsables de su implementación, puesto que poco ha trascendido hasta el momento, de la tecnología que se piensa implementar. Por ello, tampoco pretende ser un documento definitivo, pero sí el germen para un estudio más detallado, que permita obtener un sistema de DNI/Firma electrónica completamente seguro, estándar, compatible y satisfactorio para todos.


> 2. Marco tecnológico probable

Parece ser que el marco tecnológico elegido en España para el DNI electrónico se basa en el uso de tarjetas inteligentes. No obstante, como no hay mucha información sobre las características y prestaciones de la solución que se implementará finalmente, este estudio se basa en las características más normales en este tipo de dispositivos.

Para el uso de estas tarjetas será necesario disponer de un interfaz de bajo coste, que permitirá su uso asociado a sistemas informáticos. Estas tarjetas pueden contener claves públicas y privadas, un sistema operativo de gestión, datos del usuario y un chip de detección remota, similar al que se usa para la identificación de llaves en los inmovilizadores electrónicos de los coches y en los chips intradérmicos, para la identificación de animales.

En estas tarjetas la autentificación del usuario se realiza sobre la misma tarjeta, que contiene el sistema operativo y las claves de autentificación, de forma similar a como se realiza la autentificación decodificación local en las tarjetas de las plataformas de televisión digital. Esta forma de operar, evita la necesidad de acceso a un sistema de verificación basado en servidores, pudiendo ser un dispositivo autónomo. Esto significa, que parte de su seguridad parte de la dificultad que debe haber para su clonación o manipulación. Posteriormente a la autentificación del usuario por el sistema, se puede generar una firma digital mediante la introducción de la password correspondiente. Alternativamente, se pueden establecer jerarquías de claves, por ejemplo usando una clave para permitir el acceso a los datos del DNI y otra clave distinta, para la generación de la firma, o para la realización de otras operaciones.

Lo primero que debemos considerar es la enorme diferencia que hay entre un mal llamado DNI electrónico y uno tradicional. Un DNI tradicional sirve para acreditar nuestra identidad ante terceros, pero no es capaz de firmar por nosotros. Por su parte el DNI electrónico, sin embargo, además de acreditarnos electrónicamente, es capaz de señalar nuestra presencia remotamente y puede firmar en nuestro nombre, si se introduce la clave adecuada. Este hecho tan trascendental se debe reflejar en toda la legislación asociada a su utilización y aunque parezca algo imposible o improbable, el usuario debe estar protegido ante los posibles malos usos de la tecnología, tanto por parte de los delincuentes como de la Administración, quedando bien claro lo que se puede y lo que no se puede hacer con el DNI digital.

Por lo tanto, mientras que la pérdida o sustracción del DNI tradicional no supone un riesgo grave para el usuario ya que normalmente requiere la presencia del usuario para su utilización, que es autentificado "biométricamente" por el interlocutor, mediante su firma y su fotografía, no es así con un DNI electrónico. En este caso, si se ve comprometida su seguridad, este artilugio electrónico puede obrar en nuestro nombre con total independencia y sin nuestro consentimiento, o conocimiento, con el riesgo que ello supone para nosotros y nuestros bienes. Además, debemos tener en cuenta que el DNI electrónico, por su naturaleza intrínseca, tendrá muchos más usos y funciones que las que tiene ahora un DNI tradicional. Con ello aumentarán considerablemente los ámbitos de aplicación, el interés por el producto y sus funcionalidades y con ello, las áreas de riesgo potencial para los usuarios.

Por ello, consideramos que la tecnología seleccionada debe ser segura y flexible para que dicha seguridad pueda tener perpetuación en el tiempo. Por otra parte, el hecho de incorporar un chip, no debe eliminar la posibilidad de su uso como DNI tradicional, por lo que deberá disponer de los sistemas de seguridad y de la información necesaria, que permita su uso como tal. Además, siempre que se establezca un sistema de gestión basado en el DNI electrónico, debe haber un procedimiento alternativo tradicional, que permita usar el DNI electrónico como si fuera un DNI tradicional.

También se debería permitir al usuario, limitar los usos y funcionalidades que desea obtener con su DNI electrónico, hecho que sí se contempla para las personas jurídicas. Por ejemplo, el DNI electrónico puede estar soportado por los notarios para la firma de escrituras públicas y otros documentos, pero este no es un uso del que sea necesario disponer a diario. Por lo que el sistema tecnológico utilizado, debería permitir que el usuario pudiera solicitar la activación o desactivación de las acciones que se pueden hacer con su DNI electrónico. De esta forma, en caso de fallo de seguridad, su ámbito de uso estaría limitado a una serie de acciones definidas por su usuario. Estas opciones también funcionarían como medida adicional de seguridad ante un mal uso del mismo, o como forma de limitar el abuso que se pueda hacer de él por empresas o instituciones.


> 3. Problemas de compatibilidad

Si se desean lograr los objetivos marcados por la comisión "Soto", es importante que estas tecnologías sean compatibles con todo el hardware y software disponible en la actualidad. Por ello, deben existir interfaces adecuadas y basar todo el hardware y software en estándares abiertos y convenientemente publicados para conocimiento de todo el mundo. Tanto las administraciones como las empresas, deben ser capaces de realizar aplicaciones/hardware que utilicen estos dispositivos de autentificación y firma, con libertad y sin problemas derivados de especificaciones secretas, o de patentes asociadas.

Como es lógico, estos dispositivos de hardware y el software asociado, deberá estar debidamente homologado y certificado por la Administración europea, comprobando que no suponen un riesgo para la seguridad, libertad o intimidad de los ciudadanos. En algunos casos, se deberá reglamentar o regular su uso y tenencia, por ejemplo, en el caso de los detectores remotos.

Es importante poder usar estos dispositivos como repositorios de claves privadas que permitan firmar documentos de correo electrónico, acceder a información personal, realizar transacciones mediante navegadores, etc. Por ello, es necesario garantizar, o como mínimo, facilitar y permitir, la compatibilidad del hardware y del software con todos los sistemas operativos y aplicaciones informáticas actuales y futuras. Evidentemente, esto no está al alcance de las administraciones europeas, pero se puede avanzar bastante publicando los estándares y la información necesaria, para que los fabricantes puedan desarrollar el hardware y el software que sea necesario.

Aquí hay que establecer las cautelas necesarias para evitar los monopolios de hecho, que se podrían producir al limitar el uso del DNI electrónico con determinadas plataformas de hardware o software. Es importante en un elemento tan básico como un DNI electrónico que haya competencia y alternativas, que exista libertad de elección en el hardware y en el software.


> 4. Problemas de seguridad

4.1 Seguridad por el oscurantismo/hardware.
La seguridad basada en el oscurantismo tecnológico o en sellos criptográficos de hardware no son garantía de una seguridad absoluta puesto que se puede hacer ingeniería inversa, se pueden realizar manipulaciones y crear circuitos, que emulen el funcionamiento o el comportamiento de estos dispositivos, con mayor o menor esfuerzo. Es más, si la seguridad se basa en el secreto de las especificaciones, tarde o temprano pueden haber filtraciones de información que comprometan el sistema completo.

Los sellos criptográficos por hardware se han manifestado como no seguros en muchas aplicaciones de las criptotarjetas, como es el caso de las utilizadas en las plataformas de televisión digital o en los teléfonos GSM. Por otra parte, hay medios técnicos avanzados, que aunque caros, permiten analizar un circuito electrónico y estudiar los sellos de hardware. Finalmente, en algunos casos, como el de las tarjetas de prepago para las cabinas telefónicas, se ha utilizado el sello criptográfico de una tarjeta gastada, para añadirle una memoria manipulable, simulando una tarjeta con todo el saldo disponible a la perfección.

4.2 Fallos no detectados
El hecho de que no se reporten o conozcan fallos de seguridad del dispositivo, no significa que no existan, incluso que no se estén explotando con éxito por delincuentes. Este hecho puede ser muy peligroso para los usuarios, ya que es posible que ante un eventual problema y una reclamación judicial, los peritos de la Administración, por desconocimiento de las vulnerabilidades, declaren que el sistema es completamente seguro. Esta situación, cuanto menos paradójica, puede suponer un serio problema para los perjudicados.

Aunque hablaremos de ello más adelante, este hecho es especialmente preocupante cuando se compra una tecnología propietaria y protegida mediante secretos comerciales, que puede no ser segura, inadvertida o intencionalmente.

4.3 Condiciones de trabajo adversas
El uso de estos dispositivos en el mundo real, es un de sus grandes retos. Estarán circulando una gran cantidad de dispositivos de este tipo (aproximadamente unos 35 millones en España), que se verán sometidos a las condiciones más variadas (alimentación inestable, frecuencias variadas, espúreos, temperaturas extremas, alimentaciones asimétricas, malos contactos en la interfaz, ruido eléctrico, interferencias electrónicas, etc).

En este exigente campo de pruebas, es muy fácil detectar vulnerabilidades y fallos. Ejemplos de ello los encontramos en muchos campos, uno de los más recientes, ha sido un fallo en una determinada serie de máquinas tragaperras, que ha permitido que algunas bandas organizadas, utilicen una secuencia conocida, para obtener los premios de forma fraudulenta.

Cualquier prueba de campo, por exigente que sea, no se puede comparar con el uso masivo de un dispositivo durante un tiempo indeterminado, en las severas condiciones de la vida real. Es posible que durante su uso se encuentren fallos y problemas, que pasaron desapercibidos a los diseñadores y que pueden ser de difícil solución, cuando no imposible. Otro ejemplo lo tenemos con una plataforma de televisión digital española, que para cortar el acceso no autorizado de sus emisiones, ha tenido que recurrir al cambio de tarjetas, por otras más seguras. Tarjetas que a fecha de hoy, no son imposibles de criptoanalizar teniendo los medios adecuados, todo depende de lo rentable que pueda ser. Hay que señalar, que esta misma plataforma pasó por varias versiones de la tarjeta que mostraron distintas vulnerabilidades, hasta que encontró una razonablemente segura y que ha logrado disminuir el fraude de forma sensible.

Dotar a toda la población española de un DNI electrónico, es un proyecto que puede necesitar tiempo, por ejemplo, en el caso de Bélgica, se estima la duración de la migración 5 años. Durante este tiempo, el mantenimiento de la seguridad se puede complicar con la convivencia de varias tecnologías o revisiones de un mismo producto, lo que provocará la necesidad de mantener un registro de versiones, usuarios y la localización de los mismos, por si hay que cambiarles la tarjeta. Además, si se tiene en cuenta el coste de estas tarjetas criptográficas, que ronda entre los 5 y los 40 euros, al problema logístico de sustitución, se unen los problemas económicos. No cabe duda del enorme coste que puede suponer la sustitución masiva de tarjetas en el caso de observarse un fallo de seguridad que así lo aconseje. Hay que señalar, que dadas las características específicas y posibilidades de uso del DNI electrónico, la mera sospecha de un fallo de seguridad, debería ser suficiente para paralizar su utilización por los usuarios, hasta comprobarlo o subsanarlo. Aquí no son válidos los estudios estadísticos de vulnerabilidad y las consideraciones de que el fallo puede afectar a relativamente pocas personas, para estas personas, las consecuencias pueden ser terribles.

En el caso de producirse un fallo de seguridad, al realizarse la autentificación sobre la tarjeta, sin necesidad de acceso a ningún servidor, también será complejo, si no imposible, impedir cautelarmente las operaciones con el DNI electrónico, hasta que se solucionen los posibles problemas de seguridad de la plataforma. Señalemos que si se logran clonar los DNI electrónicos, o se rompen los sellos criptográficos, no será necesario disponer de las tarjetas originales, que pueden seguir en poder de los usuarios, lo que dificultará la detección del fraude. Incluso con un sello criptográfico de hardware, si se tiene acceso a la tarjeta original durante un determinado tiempo que depende del tamaño de la clave, se pueden establecer pruebas de desafío, como se hace con las tarjetas GSM, e intentar clonarlas, o emularlas, usando un hardware específico, distinto al original. Incluso se pueden usar sistemas mixtos utilizando en dispositivos caducados, perdidos o robados, para usar un sello cripográfico real, al que se le ha añadido la circuitería y la información necesaria, para que se comporte como un DNI electrónico válido.

4.4 Funcionamiento en el tiempo
Un proyecto de este tipo, dada su envergadura y problemas logísticos, debe estar pensado para perdurar en el tiempo. Al establecer estas tecnologías, se deben tener en cuenta los avances informáticos y en análisis criptográficos que puedan ser aplicables en cada momento. En el caso de un dispositivo como un DNI electrónico, que nos puede suplantar nuestra personalidad completamente y está capacitado para generar nuestra firma ante la Administración o terceros, no sirve que sea razonablemente seguro, o muy seguro, es indispensable que sea un sistema completamente seguro a cualquier nivel y además, debe mantener esta seguridad en el tiempo, sin que ello suponga un problema logístico o económico excesivo para la sociedad. Hay que tener en cuenta, dado el enorme número de dispositivos necesarios, los costes asociados a la posible necesidad de cambiar la infraestructura en el caso de producirse un problema de seguridad.

Debemos tener en cuenta la variabilidad y las incertidumbres del mercado del hardware y software en el tiempo. Por ello, es necesario resaltar la necesidad de un sistema abierto y libre que permita evolucionar y adaptarse al futuro, por improbable que pueda parecer, puesto que los costes asociados a los cambios tecnológicos pueden ser demasiado elevados. En todo caso, se debería partir de las suposiciones pesimistas en cuanto a esta evolución, para reducir el impacto de los costes en el futuro.

4.5 Objetivo probable
La existencia de un dispositivo de autentificación y firma, con la garantía del Estado, puede ser un buen revulsivo tecnológico, que anime a empresas e instituciones a diseñar productos y servicios basados en su uso. Por ejemplo, cuando se generalice su uso, es posible que las empresas dedicadas a dar servicios con tarjetas de crédito, sustituyan sus dispositivos actuales, por el uso del DNI electrónico, como medio fiable de autentificación ante un cajero automático.

Esto significa que también serán importantes los intereses económicos y la cuantía de las operaciones que rodearán al uso de estos dispositivos, que como se indica por la comisión "Soto", es realmente lo que se pretende lograr con ellos. Por lo tanto cuanto mayor sean sus posibilidades y las cuantías económicas que muevan, su copia, manipulación, simulación, estudio y decodificación, más fácil será que se conviertan en objetivos prioritarios para las mafias tecnológicas. Estas mafias de delincuentes tecnológicos, muy cualificados y dotados de grandes medios materiales, como ya lo han hecho con otras tecnologías, pondrán su punto de mira en estos dispositivos. Estas mafias, en caso de romper la seguridad de las tarjetas, intentarán mantener en secreto los posibles fallos de seguridad, aprovechando el desconocimiento de las vulnerabilidades por parte de los técnicos de la Administración. Técnicos que pueden actuar como peritos en juicios y pleitos, protegiendo a los delincuentes por su eventual desconocimiento de lo que está pasando realmente.

4.6 Generación de claves
Si queremos que los usuarios tengan confianza, hay que evitar que la clave pública y privada no estén nunca al mismo tiempo en poder de la Administración. Sería conveniente que fuera el usuario el que generase sus claves, y posteriormente fueran activadas y autentificadas por la Administración, a petición del usuario. Es importante garantizar que no hay puertas traseras y que no se usan tecnologías de "key scrow" en torno a todo lo que rodea a un producto tan importante como el DNI electrónico. La seguridad del depósito de claves, se basa únicamente en la integridad de los funcionarios que las custodian, pero como personas humanas que son, no están exentas de defectos, errores y otras pasiones.

Para la generación remota de claves se pueden utilizar aplicaciones certificadas, basadas en tecnología Live, como la que se está desarrollando actualmente en Hispalinux, que permite arrancar un sistema operativo y unas aplicaciones certificadas, desde una unidad de CDROM con una finalidad determinada.

4.7 Tecnología externa
Dada la importancia y la envergadura económica que supone el proyecto de dotar a todas las personas físicas y jurídicas de España de un DNI electrónico, consideramos especialmente importante que los chips de dichas tarjetas, sean fabricados en España, con una tecnología propia, o licenciada, perfectamente conocida y auditada, que evite la inclusión inadvertida o premeditada de vulnerabilidades y que permita su modificación en caso necesario.

Es importante darse cuenta de que dado el caso, la Administración confiaría en lo que le dice una determinada empresa con sus intereses, alianzas y negocios. En cierta medida, se haría responsable, de avalar la seguridad de una tecnología que no controla y de la que es posible que no conozca todos sus detalles y secretos. Ni que decir, el daño que se produciría en la imagen y en el avance de la sociedad de la información, del e-comercio o de la e-administración, si después de lanzar un producto como el DNI electrónico, al poco tiempo se revelase inseguro, incompatible o poco útil tecnológicamente y no se pudiera utilizar.

Por ello, es indispensable que la tecnología sea perfectamente conocida y controlada por la Administración que la implementa. Aquí, la independencia, tecnológica es fundamental, como lo es en el caso de la fabricación de la moneda y no puede existir el riesgo de que se dejen se suministrar chips, se cambie la tecnología, o varíen las compatibilidades, o los estándares, por problemas de patentes, convenios comerciales o quiebras empresariales a lo largo del tiempo.

La administración debe tener la certeza de que no hay, ni habrá, puertas traseras, llaves maestras para las claves, fallos de seguridad intencionados, ni nada que pueda poner en peligro la seguridad del sistema por la simple revelación de un secreto por parte de un empleado de la compañía que fabrica los chips. Recientemente se ha producido una reclamación judicial de una plataforma digital europea, acusando a otra plataforma, de desvelar un fallo de seguridad en su sistema criptográfico lo que ha sido aprovechado para acceder a sus contenidos sin pagar. Esta información partió de un empleado de la empresa que fabricaba los chips criptográficos de las tarjetas, que vendió esa información a la empresa de la competencia, que a su vez la hizo pública a través de los foros en Internet.

Tampoco hay nada que nos garantice que una tecnología propietaria, que no controlamos y aparentemente segura, deje de serlo en el futuro por fallos inadvertidos en la fabricación, o por la inclusión de vulnerabilidades de forma maliciosa. De todos modos, ¿quién garantiza que la empresa que fabrica los chips no fabrica clones de los que ya se han fabricado? Es posible que la empresa sea seria y ponga los medios, pero no se puede descargar toda la seguridad de un sistema de DNI electrónico, en la fidelidad y buen hacer de un puñado de empleados de una empresa, posiblemente extranjera.

4.8 Seguridad remota y limitaciones
También se deben tener en cuenta las limitaciones impuestas por estas tecnologías y los escenarios probables en los que se desarrollarán los usos por parte de los usuarios. Partiendo de la base de que una firma manual no es igual que una firma electrónica y que es complicado asociar el trazo manual, a la introducción de una palabra de paso de una longitud determinada. En primer lugar, aún estando a la vista, las firmas son complicadas de falsificar, mientras que una clave de 8 cifras, una vez conocida, puede ser introducida por cualquiera, una vez en posesión de la tarjeta adecuada. Recordemos que una simple cámara de vídeo, o un teclado manipulado, además de la ingeniería social pueden servir acceder a las claves previamente al robo de la tarjeta.

Aquí también hay que señalar y tener en cuenta, las limitaciones que tienen los usuarios a la hora de establecer y recordar las contraseñas de seguridad. Estas se deberían poder crear por el usuario, para facilitar su recuerdo, pero sobre una base de control de su calidad y caducidad periódica. Si se quiere que el sistema sea seguro y funcional, es indispensable iniciar una campaña de concienciación, educación y uso que minimice los fallos de seguridad derivados del mal uso o de la aplicación de técnicas de ingeniería social sobre los usuarios.

En ocasiones, estas tarjetas se usarán en ámbitos no controlados, como el hogar o en instalaciones no vigiladas, en los que cabe la posibilidad de coacción o amenaza. Por ello, la limitación voluntaria de la operativa posible con la tarjetas criptográficas, puede ser una buena medida de seguridad y de confianza para los usuarios. De todos modos, los desarrollos reglamentarios deberán tener en cuenta todos estos problemas y limitaciones, defendiendo al usuario ante estos casos y contemplando su posibilidad, aunque sea remota. No se debe legislar pensando en que el sistema es seguro y que siempre lo será, es necesario estar preparados para el caso de que no lo sea, o que deje de serlo en un determinado momento, protegiendo a los usuarios ante cualquier eventualidad.


> 5. Consideraciones sobre los derechos

5.1 Uso y abuso de la detección remota
La detección remota puede ser útil para evitar falsificaciones y automatizar algunos procesos, como el control de accesos, cuando no es indispensable verificar la identidad de la persona que porta el dispositivo, o ya se ha realizado anteriormente mediante otros procedimientos. No obstante, mal utilizada esta tecnología, puede atentar seriamente la intimidad de los ciudadanos. Por ejemplo, colocando detectores en la entrada de comercios o instalaciones, se pueden controlar hábitos y costumbres, desarrollando publicidad personalizada. Con ello proliferarán las bases de datos, oficiales o extraoficiales, con información detallada sobre los movimientos y preferencias de los usuarios, a la espera de casar el número de la identificación remota, con sus datos personales y lograr una identificación completa.

Esta tecnología debería limitarse o eliminarse ya que se presta al mal uso o al abuso por parte de terceros, administraciones o las fuerzas de seguridad del estado. En cualquier caso, se debería evitar que se hiciera uso de ninguna de las funcionalidades del dispositivo, sin conocimiento y autorización del usuario.

5.2 Problemas con la información contenida
Si el DNI electrónico acaba en su evolución natural, conteniendo datos adicionales sobre el usuario, como información médica, históricos de transacciones, o información adicional a la que ahora consideramos como indispensable en un DNI tradicional, será muy complicado para el usuario, controlar accesos no autorizados a dicha información. Una vez que se ha introducido el dispositivo en una interfaz de lectura, estas funciones se realizarán de forma que el usuario no tenga conocimiento, ni haya dado su autorización expresa.

Por ello, se deben limitar los datos contenidos en el DNI evitando el almacenamiento de información sensible, que se pueda utilizar fuera del ámbito establecido para ello, sin conocimiento y consentimiento expreso del usuario.


> 6. Recomendaciones

Por todo lo anterior, consideramos que se debe realizar un estudio minucioso de las distintas soluciones disponibles, e intentar que se consigan los objetivos siguientes:

a) Que sea una solución abierta, basada en estándares internacionales reconocidos y compatible con cualquier aplicación y sistema operativo. Que permita a desarrolladores y fabricantes elaborar sus propias soluciones. Para ello, la utilización de software libre y sus herramientas de seguridad, consideramos que son una opción indispensable para lograr estos objetivos. Ha de ser un tecnología abierta, independiente del sistema y de la plataforma. Teniendo en cuenta que los lectores no solo van estar conectados a PC's, sino que también a otros dispositivos como TPV's, PDA's, Teléfonos, cabinas, etc, es indispensables elaborar planes para que los programadores puedan competir en igualdad de condiciones cuidando los siguientes aspectos:

Libertad de acceso a las especificaciones
Existencia de un API de referencia, de libre acceso
Necesidad de homologación de las aplicaciones desarrolladas

Mantener una tecnología propietaria sujeta a las presiones de los fabricantes, puede redundar en unos elevados costes de mantenimiento e implantación.

b) Que se base en una tecnología de la que se conozca su funcionamiento a la perfección, sobre la que se tenga la posibilidad de hacer modificaciones en caso necesario, sin tener que recurrir a la autorización, o a la ayuda del fabricante. En todo caso no se debería adoptar ninguna solución que no estuviera disponible a través de al menos dos fabricantes, evitando en todo caso, la firma de convenios de exclusividad.

c) Que igual que se desarrolla una legislación habilitante del servicio, se desarrolle una reglamentación de protección del usuario, que contemple el posible mal uso, los abusos y los posibles fallos de seguridad de esta tecnología, aunque inicialmente se consideren improbables. En cualquier caso, se debería legislar la posibilidad de revocar las operaciones realizadas con estos sistemas. Que el usuario pueda elegir los servicios que desea obtener con el uso de esta tecnología, dejando constancia oficial de los que se tienen activados o desactivados en un determinado momento, al tiempo que se mantienen los sistemas tradicionales de acceso a la Administración, para aquellos usuarios que no desean utilizar los métodos electrónicos.

d) Que se elija una tecnología en caso de fallo de seguridad, se pueda desactivar su utilización a todos los niveles y que permita su actualización de forma remota, evitando o paliando, los problemas logísticos y los costes asociados a una sustitución masiva de los dispositivos. Estas actualizaciones deberá realizarse mediante un sistema tecnológico que sea seguro y verificable por el usuario. La tecnología debe permitir su actualización mediante cambios en el software/tamaño de las claves, para garantizar su vigencia en el tiempo. Las tarjetas se deben poder deshabilitar a petición del usuario, en el caso de que sean robadas junto con las claves de acceso y/o firma.

e) Que se eliminen las prestaciones que puedan suponer un riesgo para la intimidad o libertad de los usuarios, tales como información adicional almacenada, o detección remota de los dispositivos.

f) Que la generación de claves se realice mediante un método que garantice que solamente el usuario pueda tener la clave pública y privada al mismo tiempo y que no existen puertas traseras, debilidades en la longitud de la clave, o claves maestras.

g) Que necesiten una comprobación de seguridad y una autorización previa administrativa, todos los servicios que se deseen implantar usando como base de autentificación/firma el DNI electrónico.

h) Que todo el software y hardware asociado a estos dispositivos, esté certificado y verificado por la Administración Europea. En algunas aplicaciones críticas se debería exigir el uso de esos dispositivos asociados a sistemas de verificación biométrica, preferentemente asociados a la firma manual, que a fecha de hoy es el sistema que se ha demostrado como más fiable.

i) Garantizar que el ciudadano conoce y tiene la posibilidad de ajustar la "versatilidad" y usos de su DNI electrónico, inhabilitando aquellos usos que no desee.


--------------------
Texto. © Fernando Acero Martín • © Hispalinux
Fecha. Abril-2003



Patrocinio · Publicidad · Contacto

OVE (Observatorio Voto Electrónico) · Campus de Vegazana
Edificio Tecnológico, s/n · 24071 León - España · tel +34 987 291 915


Primera
Informes a los Presidentes
La llave · Artículos
OVE
Ediciones Votobit
ESPAÑOL
II Votobit
CONGRESO CIENTÍFICO
7 - 8 octubre 2004
ENGLISH
II Votobit
International Workshop
7 - 8 october 2004
Informe a los
PRESIDENTES
--NUEVO • IV Informe
¿Cuánto vale confiar?
Emisión 15-09-04
III Informe
El Efecto hip-hop sobre el voto-e
OVE · Emisión 15-07-2003
II Informe
La urna que guarda silencio
OVE · Emisión 15-01-2003
I Informe
La información que decide
OVE · Emisión 15-08-2002
NUEVO Emisión 05-10-04
CONSEJO DE EUROPA Recomendaciones legales y técnica sobre voto electrónico
(EN INGLÉS)
Informe. Elecciones catalanas de 2003
Por Jordi Barrat i Esteve y Josep Maria Reniu i Vilamala
DNI electrónico y firma electrónica
Por Fernando Acero
Emisión 24-04-03

La democracia
se pone al día

Por Javier Tornadijo
Emisión 28-03-2003

La automatización del proceso electoral
Por Ángel A. de la Rosa
Emisión 07-03-2003

Esto es lo que parece
Por Antonio Yuste
Emisión 10-02-2003

La reconversión o el fin
Por Jorge A. García Diez
Emisión 03-02-2003

Estrategias civiles para crear transparencia
Por Antonio Yuste
Emisión 03-02-2003

El bucle decisor
Por Ángel Alonso
Emisión 15-08-2002

Estándares para los sistemas de votación
Comisión Electoral Federal de los EE UU

































--Fernando Acero

Miembro analista del OVE, miembro de la Junta Directiva de Hispalinux , Comandante del Ejército del Aire y experto en temas se seguridad electrónica.
•••