A raíz de algunas de las informaciones que se están haciendo públicas como consecuencia de la inminente introducción del Documento Nacional de Identidad Digital (DNIe), tales como ésta, no he podido resistir la tentación de hacer algunas reflexiones al respecto.

Procedo a mostrar partes del texto original del monográfico y, a continuación, mis propios comentarios:

Empleo de Sistemas Abiertos que permitan la escalabilidad del sistema, la protección de la inversión y la posibilidad de emplear productos de diferente suministrador.

El trasfondo de esta frase me parece esperanzador. ¿Significa ésto que la administración, al menos en lo que al DNIe se refiere, conseguirá desligarse de un proveedor extranjero y opresivo, como Microsoft, y se abrirá al uso de otros sistemas Abiertos como Linux?

El puesto de trabajo del ciudadano no debe incorporar software específico para funcionar con el nuevo DNI.

Aunque no se obligue al usuario a utilizar software específico, se acabará obligando al usuario a que tenga acceso a un ordenador o sistema informático. Aún existen hogares en los que, por circunstancias culturales, sociales o económicas, no hay disponibilidad de un ordenador, o muy posiblemente los existentes no cumplan los requisitos necesarios para poder utilizar el DNIe.

Firmar digitalmente documentos electrónicos, garantizando la autenticidad y el no repudio de origen, y la integridad del contenido.

Dificilmente se puede garantizar la autenticidad de cualquier documento firmado desde el momento en el que el DNIe y su PIN correspondiente puedan ser sustraidos. Partamos del supuesto de que el PIN medio constará de una serie de 8 caracteres. Si esta serie es muy compleja de recordar, el usuario la anotará en algún sitio. Si esta serie es fácil de recordar, será sencillo poder obtenerla. Además, siempre existe la posibilidad de recuperar el PIN atacando los principales puntos débiles:

1. El usuario:

   Puede ser posible recuperar el PIN intentando engañar al usuario (ingeniería social), intimidándolo, o encontrando el lugar donde éste lo haya anotado.

   Otra forma de engañar al usuario podría utilizarse durante el acto de la firma digital, mostrándole el documento que, supuestamente, éste va a firmar, pero entregando al software de firma un documento bien distinto (ya hice algunos comentarios al respecto en el artículo denominado ¿Estoy firmando lo que quiero firmar?).

2. El ordenador:

   Dado que el usuario pierde el control de la firma digital, dejándolo en manos de su ordenador, podría ser factible recuperar el PIN instalando un sniffer de teclado, bien software, bien hardware, bien uno de cada tipo, bien atacando directamente al software de firma digital, bien atacando directamente al software que haga uso de los servicios de firma digital.

   Al fin y al cabo, el usuario habrá de introducir el PIN en el ordenador, de alguna manera, y éste se hallará presente en la memoria de aquél (aunque sea por un corto intervalo de tiempo), en almacenamiento magnético (archivo de intercambio o en el sistema de archivos), o en almacenamiento a largo plazo (copias de seguridad, archivos de backup).

   Una forma de aumentar la seguridad consistiría en integrar el proceso de activación mediante PIN de la clave privada dentro de la propia tarjeta del DNIe, mediante un pequeño teclado.

El Ciudadano podrá, a través de su certificado, autenticar su identidad frente a cualquier, demostrando la posesión y el acceso a la clave privada asociada a la clave pública que se incluye en el certificado que acredita su identificación

Siempre que el DNIe y el PIN no le sean sustraídos al usuario, momento en el que las premisas anteriores dejan de ser ciertas. Además, a diferencia del DNI actual, cuando se realiza una transacción electrónica, se pierde un factor adicional de autentificación: la foto del Ciudadano.

Ambos, clave privada y certificado, se encuentran almacenados en el Documento Nacional de Identidad, el cual dispone de un procesador con capacidades criptográficas. Esto permite garantizar que la clave privada del ciudadano … no abandona en ningún momento el soporte físico del Documento Nacional de Identidad.

De poco sirve que la clave privada no pueda abandonar el DNIe si, para activar dicha clave y autorizar a su uso, se ha de enviar el activador (PIN) a través de un canal externo, ajeno al propio DNIe, posiblemente inseguro y no necesariamente controlado por el usuario.

La seguridad del DNIe no radica exclusivamente en el almacenamiento de la clave privada en la propia tarjeta del DNIe, sino en la propia seguridad del PIN, y en la manera en que éste se utiliza para activar la clave privada. Considero que es un requisito imperativo que la propia tarjeta del DNIe tuviera un teclado adosado a ésta en el cual poder introducir el PIN, en lugar de hacerlo a través de un medio externo, como un ordenador o un lector de tarjetas.

En todo momento el ciudadano podrá modificar dicha palabra de paso en una Oficina de Documentación, en un dispositivo controlado y desatendido

Si está desatentido, ¿cómo puede estar controlado si nadie lo vigila? Y lo que es más, ¿controlado por quién? ¿Cómo? Puede resultar muy sencillo observar cómo el usuario introduce su PIN, o más sencillo aún utilizar un sistema de captura térmica, o un spray, para detectar qué teclas ha pulsado el ciudadano en el terminal utilizado para cambiar dicho PIN.

El D.N.I. con su correspondiente Certificado de Identidad Pública grabado en el procesador de la tarjeta criptográfica que servirá de soporte, lo recogerá su titular después de codificar el acceso a su clave privada mediante una palabra de paso.

Entiendo que la clave privada no la selecciona el usuario, sino que viene preseleccionada. ¿Es seguro el algoritmo de generación? ¿Conservarán las fuerzas del orden una copia de dicha clave privada? El usuario nunca podrá estar seguro de esta última cuestión si la generación de la clave privada no recae en sus propias manos.

Conclusiones

La primera impresión que he tenido tras leer el monográfico ha sido buena, pero tras una posterior lectura un poco más detenida, he empezado a ver algunos puntos que, o bien no me quedan del todo claros, o creo que pueden resultar problemáticos.

El punto más débil que veo es la interacción ciudadano-DNIe, y la forma en la que el proceso de firma se realiza mediante la introducción de un PIN. El primer problema es que no necesariamente el usuario tiene que firmar lo que se le presenta en pantalla, ya que al fin y al cabo es un software el encargado del proceso, y por tanto alterable. El segundo problema estriba en suministrar el PIN al chip criptográfico de forma segura. En la actualidad parece que se realiza a través de un canal externo a la tarjeta lo cual, en mi más sincera opinión, es inseguro e invalida muchas de las suposiciones que se vierten en el monográfico.