Comentario sobre el DNI electrónico

Abril 10th, 2006

Me encontré con el blog de Loretahur por casualidad a través de Meneame, pero me pareció interesante y he estado leyendo unos cuantos posts de los últimos y aprovechando para comentar en uno acerca del DNI electrónico, cosa que tengo fresca por el especial que hice para Xataka.

Como no uso ni CoComments ni cosas de esas, más que nada porque no suelo comentar demasiado por ahí (siempre he querido hacerlo, pero no tengo suficiente tiempo) pego aquí el comentario, que me ha salido un pelín largo.

El post original es DNI electrónico: la nueva trampa y la respuesta está aquí:

Creo que te equivocas en lo que respecta a los algoritmos que va a utilizar el DNI electrónico.

Aunque no confio demasiado en los políticos, al menos en este caso han dejado las cosas en manos de gente que sabía lo que hacía. El DNI electrónico no es demasiado diferente a las clásicas tarjetas smartcard que se vienen utilizando desde hace bastante tiempo, simplemente que este tendrá un alcance a nivel de todos los españoles.

Por tanto, los algoritmos que se utiliza en este DNI no se lo han inventado cuatro funcionarios que no sabían lo que hacían (con todo mi respeto hacia la mayoría de funcionarios) sino que son estándares que se utilizan desde hace bastante tiempo y que la mayoría de nosotros habremos usado simplemente por entrar en páginas que utilizan HTTP seguro (https).

En la página del DNI electrónico se especifica claramente que algoritmos se van a usar, entre ellos RSA y Diffie-Hellmann, que no son unos desconocidos precisamente.

Si me preocupa más el otro tema que comentas y es la posibilidad de que estemos firmando algo que en realidad no queremos firmar. Realmente no me he estudiado a fondo como funciona el sistema, por lo que no se como se hará la firma y como se indicará al usuario lo que está firmando, proceso durante el cual tal vez sería posible engañarle. Habrá que estar atento a posibles ataques a esta parte del sistema.

De todas maneras, me alegra que haya gente que se preocupe por estos temas.

Por cierto, aunque no conozco personalmente a Manuel Lucena (y ahora me voy a tirar el pegote) le corregí un error en una de las primeras versiones de su libro de criptografía 🙂 Un libro excelente, por otra parte.

Un saludo y perdón por el rollo que he pegado 🙂

Guardado en General | 3 comentarios »

3 comentarios

  1. loretahur dijo:

    Madelman, muchísimas gracias por tu comentario. La verdad es que me ha parecido tremendamente interesante. Gracias a él, he encontrado el apartado de los algoritmos que van a usar y me he desconcertado aún más al descubrir que van a utilizar SHA1, un algoritmo definitivamente roto. La noticia de la ruptura de SHA1:

    http://www.kriptopolis.org/node/369

    Un saludo

  2. madelman dijo:

    Al parecer, el uso del algoritmo SHA-1 solo es por razones de compatibilidad con sistemas anteriores que no soportan el SHA-256. Conozco la ruptura del SHA-1 porque me afectó cuando estaba haciendo mi proyecto de fin de carrera (por suerte ya estaba diseñado para funcionar con diversos sistemas :))

    De todas maneras, hay que decir que no está demasiado bien explicado en la página oficial. Hay bastantes datos para el ciudadano de a pie, pero para los “frikis” como nosotros que nos interesan temas más técnicos no explican demasiada cosa y lo poco que hay no está explicado en profundidad.

    Ojala alguien de Burgos o alguna otra zona donde ya se esté implantando nos pudiera contar un poco más del tema.

  3. Felipe Alfaro Solana dijo:

    Como ya he dicho en muchas ocasiones, lo realmente importante del DNI-e no es si utiliza SHA-1, SHA-256, RSA, DSA o cualquier algoritmo, sino cómo se implementan, y cómo se utiliza en general la propia tarjeta. De nada sirve utilizar AES-256 o SHA-512 si el proceso de firma electrónica se hace a través de software, sobre el que el usuario no tiene control, que se ejecuta en un PC corriente, con un sistema operativo corriente y, en la mayoría de los casos, inseguro.