Si, desconfío del DNI 3.0
Hace un tiempo atrás aquí en Argentina el actual Ministro de Interior y Transporte (y candidato a Presidente) Florencio Randazzo había anunciado la implementación en nuestro país del nuevo "Documento Nacional de Identidad (DNI) inteligente, que incorporará un chip con datos personales permitirá interactuar con servicios públicos y privados" según detalló.
En su momento investigué un poco mas de que se trataba el tema y dado que la tecnología que se iba a emplear es la que se utilizó en España (desde allí hizo el anuncio), se asume que el DNI contiene un chip NFC que sería la que almacena los datos y ajuste mas, ajuste menos, es posible accederlo con solo acercarlo a otro dispositivo que utilice la misma tecnología.
Ahora bien, desde ese momento ya me daba mala espina la utilización de dicha tecnología en algo tan crítico como el DNI y demás datos privados. Y dicha preocupación tenía fundamento, veo en el día de hoy que el grupo hacktivista "Anon 9" de España identificó una GRAVE vulnerabilidad en el portal del DNI 3.0 y lograron hacerse de la CLAVE PRIVADAPÚBLICA PGP que se utiliza para comunicaciones seguras (espero que para nada referido al DNI en si) tal como lo muestran en este leak:
Si bien no tiene directamente que ver con la implementación en si del DNI "inteligente", la situación es preocupante, ya que además de que no se dan especificaciones de como va a funcionar esta tecnología, el sitio mismo tiene una vulnerabilidad grave y esta clave PGP se utiliza para la comunicación segura y confiable con los ciudadanos y ya eso genera una gran desconfianza en el ciudadano.
Según explicaron voceros del ministro a Infobae, "el chip estará encriptado en el DNI, lo que lo hará inviolable en caso de robo. Al mismo tiempo, dará la posibilidad de bloquearlo luego de realizar la denuncia, ya sea por hurto o extravío. Una vez que se tramita la renovación, los datos se cargan al nuevo DNI que se genera".
Espero que en Argentina se tome nota de estas cosas y se re-piense bien lo que van a hacer, está en juego la privacidad de millones de personas.
Actualización 17hs: al parecer se trata de la clave pública y no de la privada pero eso no modifica la opinión de que el sistema sea más o menos confiable.
Estamos intentando confirmar la información con la fuente de la fuga.
Más información https://seguridadetica.wordpress.com/2015/06/11/si-desconfio-del-dni-3-0/
Autor: Ramiro Caire
Fuente: Seguridad y Etica
En su momento investigué un poco mas de que se trataba el tema y dado que la tecnología que se iba a emplear es la que se utilizó en España (desde allí hizo el anuncio), se asume que el DNI contiene un chip NFC que sería la que almacena los datos y ajuste mas, ajuste menos, es posible accederlo con solo acercarlo a otro dispositivo que utilice la misma tecnología.
Si bien no tiene directamente que ver con la implementación en si del DNI "inteligente", la situación es preocupante, ya que además de que no se dan especificaciones de como va a funcionar esta tecnología, el sitio mismo tiene una vulnerabilidad grave y esta clave PGP se utiliza para la comunicación segura y confiable con los ciudadanos y ya eso genera una gran desconfianza en el ciudadano.
Según explicaron voceros del ministro a Infobae, "el chip estará encriptado en el DNI, lo que lo hará inviolable en caso de robo. Al mismo tiempo, dará la posibilidad de bloquearlo luego de realizar la denuncia, ya sea por hurto o extravío. Una vez que se tramita la renovación, los datos se cargan al nuevo DNI que se genera".
Espero que en Argentina se tome nota de estas cosas y se re-piense bien lo que van a hacer, está en juego la privacidad de millones de personas.
Actualización 17hs: al parecer se trata de la clave pública y no de la privada pero eso no modifica la opinión de que el sistema sea más o menos confiable.
Estamos intentando confirmar la información con la fuente de la fuga.
Más información https://seguridadetica.wordpress.com/2015/06/11/si-desconfio-del-dni-3-0/
Autor: Ramiro Caire
Fuente: Seguridad y Etica
Esto....se han hecho con la clave pública, no con la privada
ResponderBorrarPrivada o Publica en cierto punto da igual ya que el tema que se intenta resaltar es la desconfianza que genera la mas mínima vulnerabilidad que el sistema tenga. Ya el hecho de que no se publique nada al respecto, que tecnología se usa, etc, etc es un punto flaco y que da motivos para desconfiar. La seguridad por ocultacion no es lo mas aconsejable. En fin, solo opiniones...
ResponderBorrarSi te roban la clave publica no pasa nada, porque esta puede estar publicada en cualquier repositorio publico de llaves como de hecho se hace habitualmente en este tipo de sistemas.
ResponderBorrar