Empieza la era de la paranoia. No hace mucho el gobierno británico obligó a sus ciudadanos a cambiar el soporte de su identificación para modernizarse, actualizando los DNI de todo el país al nuevo modelo electrónico, similar al español. Hubo recelos, incluso quejas generalizadas, ante la vulnerabilidad a la que se exponían los datos de la ciudadanía ante una plataforma, la digital, susceptible de ser intervenida por hackers o piratas informáticos.
Desde el gobierno se calmaron los nervios afirmando que el sistema era totalmente infranqueable, y que la seguridad de la información contenida en la identificación electrónica estaba garantizada. Lamentablemente, todos los esfuerzos del gobierno por aliviar la desconfianza de sus ciudadanos acaban de irse al traste.
Sólo ha hecho falta una persona, dedicada profesionalmente a la seguridad de entornos elecrónicos, para reventar la seguridad que protegía al DNI británico, dejando al descubierto los datos que en él se contienen (información personal, domicilio, huella digital, datos sanitarios, etc). Pero lo peor es la evidente sencillez con la que ha procedido. En tan sólo doce minutos, el técnico pudo clonar la tarjeta y modificar los campos de información privada, ejecutando una obra de falsificación perfecta que ni el propio gobierno podría haber descubierto.
El caso pone de relieve la importancia de la actualización en lo referente a contenedores de información digital, ya que en lo electrónico, como en lo analógico, la ley suele ir bastante por detrás de la realidad. Los países que actualmente tienen impuesto el modelo de DNI electrónico (entre ellos España) deberían hacer los deberes a partir de ahora para garantizar la máxima eficiencia en la protección de datos.
Vía: Gizmología
Buenas,
yo soy ingeniero técnico en informática e inevitablemente me surge una pregunta. Aunque no soy experto, hace un año hice el proyecto de fin de carrera sobre seguridad en wifi con el dni electrónico español. Ello me obligó a toquetear bastante el tema 🙂 así que creo que algo sé, y la pregunta que me surge es:
—-> qué algoritmos y estándares siguieron las almas que fabricaron el dni británico?? <—- 🙂
Es decir, si alguien hackease el dni español en 12 minutos, significaría que algoritmos y estándares mundiales como RSA, SHA-X, PKCS#11, los cuales son utilizados por el propio gobierno de eeuu y a diario por miles de empresas y organismos, se hackean en 12 minutos.
Hasta donde yo sé, un ataque a estos algoritmos no será factible (y suponiendo una longitud de clave RSA y resumen SHA-X considerables) hasta que se desarrolle más la computación cuántica (por el tema de la complejidad exponencial de los algoritmos). Incluso teniendo en cuenta paradojas de cumpleaños y cosas similares, se aumenta la longitud de clave o resumen y listo. Para que se me entienda, siempre será un ataque de potencia lineal contra algo que se defiende con potencia exponencial.
PKCS#11 hace (o debería) que la clave privada RSA no salga nunca de la tarjeta, gracias a que entre otras cosas, el chip de una tarjeta tiene su propia CPU. Que sí, es cierto que si ese alguien ha falsificado la firma de la autoridad certificadora, es porque ha hackeado el certificado del propietario de la tarjeta (el cual sí sale de ella porque es público) pero volvemos a lo mismo, tenemos RSA y SHA-X.
AES no lo menciono porque aparentemente no afecta a la falsificación que se ha hecho, ya que lo que se ha hecho es falsificar una firma electrónica.
Vaya parrafada.
En resumen, personalmente no me cierro las puertas a que cualquier día veamos algo semejante, pero tampoco he encontrado por ninguna parte las especificaciones de seguridad del dni británico. Así que si alguien las sabe….se agradecería.
Y si a alguien interesa ojear mi proyecto, ahí está el enlace:)
Un saludo
Oh, y desde cuando los britanicos tienen DNI¿?
No se llama DNI se llama UK ID Card lo pone en la foto pero en tuexperto ponen lo que quieren, verdad? xD
Efectivamente se llaman ID Card, pero como escribimos desde España y pensando siempre en nuestros lectores utilizamos la expresión "el DNI británico" para que se entienda mejor de lo que hablamos. Lo cual no significa que ponemos lo que queremos, sino lo que es mejor para entender la información.
Un saludo