miércoles, 13 de abril de 2011

¿DNI en el Móvil?

Hace ya algunas semanas que tuvimos la oportunidad de ver en distintos medios (ej. el País, El Mundo, ABC) una noticia acerca de la propuesta de Telefónica de utilizar el móvil para alojar la información del DNI electrónico y así facilitar el acceso de los ciudadanos a servicios electrónicos, tanto públicos como privados. De esta iniciativa tambien se hizo eco Montaña Merchán en su blog.


La propuesta parece, en principio, interesante, como todas las que van en el sentido de que el ciudadano pueda  ampliar el espectro de posibilidades de relación electrónica.


Llevo casi un mes dandole vueltas a este tema. He solicitado más detalles a Telefónica, pero el proyecto está  en desarrollo y la información no es aún completa.  Sin embargo, sí que quería compartir mis reflexiones acerca del tema.

Por un lado, el mensaje que nos ha llegado es que Telefónica y Secuware han ideado y desarollado un procedimiento para traspasar los datos del DNI electrónico al móvil.

¿Es ésto así?


Como es bien sabido, el DNI electrónico incorpora un chip criptográfico que contiene la siguiente información:

  • Un certificado electrónico para autenticar la personalidad del ciudadano
  • Un certificado electrónico para firmar electrónicamente, con la misma validez jurídica que la firma manuscrita
  • Certificado de la Autoridad de Certificación emisora
  • Claves asociadas a los certificados
  • La plantilla biométrica de la impresión dactilar
  • La fotografía digitalizada del ciudadano
  • La imagen digitalizada de la firma manuscrita
  • Datos de la filiación del ciudadano, correspondientes con el contenido personalizado en la tarjeta (Nombre, apellidos, NIF,  etc).

En lo que se refiere al móvil (incluyendo PDAs, Smartphones, etc), incorpora una tarjeta inteligente o SIM que inicialmente sirve para almacenar de forma segura la clave de servicio del suscriptor usada para identificarse ante la red, aunque tambien almacena información del operador y datos personales (contactos, configuración, etc).

Las versiones más avanzadas de las SIMs tienen capacidades criptográficas, lo que permite almacenary/o generar  en ellas certificados digitales con sus correspondientes claves, habilitando al móvil como dispositivo de firma o, por medio del uso de la tecnología NFC, convertirlo en un dispositivo de pago.


Llegamos por lo tanto a la conclusión de que, tanto el DNI electrónico como los móviles, son capaces de almacenar de forma segura certificados y claves digitales y utilizarlos para la autenticación, cifrado y firma del usuario.

El aspecto clave es precisamente ese, que se almacenan de manera segura. Esto quiere decir que no es posible (no debe serlo, al menos) extraer los certificados y claves digitales de estos dispositivos.

Esto nos lleva a la conclusión de que realmente no se extrae toda la información del DNI electrónico, aunque seguramente sí los datos personales (nombre, apellidos, NIF, fecha de validez del DNI, etc) y se trasladan a la SIM de un teléfono.

Tendremos, por lo tanto, que tener en cuenta lo siguiente:
  • Existe un proceso de extracción de cierta información del DNI y almacenamiento en otra tarjeta criptográfica (SIM). El usuario debe de tener garantías de que este proceso se hace de manera segura.
  • Para que la información sea utilizable electrónicamente, deberán establecerse mecanismos de autenticación y cifrado asociados a los datos del DNI. Esto seguramente implique la generación por parte de Telefónica de unos nuevos certificados digitales que serán asociados a la información personal extraida del DNI.
  • Telefónica deberá llegar a acuerdos con los proveedores de servicios electrónicos para aceptar este sistema en sus transacciones.
  • En particular, la Administración como proveedor de servicios electrónicos deberá considerar si aceptar este sistema.
Es indudable que el comercio electrónico es y va a ser un objetivo clave para todos los actores de los diferentes mercados (proveedores, intermediarios, distribuidores, operadores, etc). La explosión en el uso de los dispositivos móviles con acceso a Internet provoca la focalización de todos estos actores en facilitar el acceso de los posibles clientes desde cualquier dispositivo, en cualquier lugar, en cualquier momento.

Sin embargo, es necesario utilizar este impulso no solo desde la búsqueda del servicio sino tambien desde una perspectiva de seguridad y garantía a los ciudadanos.

Queda pendiente realizar un análisis más exhaustivo de esta iniciativa cuando se conozcan los detalles de la implementación y de la arquitectura.

2 comentarios:

Anónimo dijo...

Interesante reflexión.
Es claro que del DNIe no puede extraerse la clave privada.
Por tanto solo queda generar un nuevo certificado + clave privada.
La pregunta es ¿como de "reconocido" es este certificado?.
saludos Juan

Andres Pastor dijo...

Juan, gracias por tu comentario.
Yo creo que lo que hacen es generar un nuevo certificado y proporcionar un mecanismo "seguro" de asociación entre los datos extraidos del DNIe y los del nuevo certificado.
En el fondo, es una cuestión de confianza. Si confias en que los datos del DNI han sido extraidos sin manipulaciones y se utilizan para generar los datos de las nuevas claves, entonces confiaremos en que el certificado del movil es confiable.
En el fondo, esto es equivalente a confiar en el emisor del certificado, vengan o no los datos del DNIe.
Un Saludo,
Andrés

Publicar un comentario

Agradecemos tu comentario