Buscar
Juicios contra el canon
Para más información, apúntese a nuestra
lista de correo
Sindicar
Technorati
No es un buen momento para la firma electrónica y el voto electrónico.
Fernando Acero Martín, vocal de Hispalinux
Lo primero he de decir, es que soy un firme partidario del voto electrónico y de las tecnologías anejas que lo hagan posible, tales como el DNI digital. Sin embargo, están ocurriendo una serie de cosas, que vistas en su conjunto, me hacen pensar que no es aconsejable llevar a cabo estos proyectos con el estado del arte actual.
Para entender lo que digo hay que tener una visión global de lo que está pasando en el mundo de las nuevas tecnologías en general y de las tecnologías de cifrado y firma en particular. Para entrar en materia y hacernos una idea de lo que vamos a comentar después, recomiendo la lectura de los siguientes documentos:
El DNI electrónico y la firma-e. Consideraciones Técnicas y Operativas.
SHA-1 y las "colisiones de cumpleaños"
Algo -pero no mucho- sobre el DNI digital.
Comentario al mensaje anterior.
MD5, un juguete al alcance de un portátil.
Consideraciones al mensaje anterior
Consideraciones al mensaje sobre MD5.
Un bolígrafo, nuevo sistema biométrico.
Aprobadas las Patentes de Software en Europa.
Comentario a un lector sobre los distintos tipos de brechas.
El computador cuántico y el final de la criptografía de clave pública.
Vista esta documentación, ya estamos listos para continuar.
Lo primero que podemos sacar en consecuencia, es que los sistemas de firma electrónica y de cifrado de clave pública, están en grave riesgo en este momento por tres motivos:
a) Los avances para romper las claves de Hash (usadas para la firma digital y mucho sistemas de cifra).
b) Los avances en los computadores cuánticos, que pueden romper los sistemas basados en clave pública.
c) Los avances, en los que se fundamenta la Ley de Moore.
Por lo tanto, cabe pensar que a estas tecnologías, por un motivo u otro, les queda poca vida útil. Pueden ser meses o unos pocos años, pero el riesgo es evidente y real. Todos los sistemas de firma electrónica usan algoritmos, que aunque todavía se consideran y son seguros, han visto reducida su potencia en un 99,981%, es decir, que están a un paso de ser rotos de forma definitiva, nos referimos al SHA-1 y al MD5. Lo que hace dos años, parecía imposible, ahora se está haciendo posible y evidente. Yo mismo fui criticado, en ocasiones duramente, por decir que podría ocurrir lo que ahora está ocurriendo. Desgraciadamente, para aquellos que decían que lo que yo vaticinaba era imposible, los avances en los tres campos mencionados anteriormente y sus consecuencias directas, les han dejado sin razón ni argumentos. Incluso llegaron a hacer alusiones a mi competencia profesional o a mis conocimientos técnicos. Bueno, ahora parece que yo no estaba tan equivocado. Interlocutores que antes estaban como escorpiones, con el aguijón levantado, han desaparecido como por arte de magia y no se sabe nada de ellos.
A pesar de las innegables evidencias expuestas en la documentación de referencia, por las últimas declaraciones del Sr. Ministro de Justicia, hay intenciones de seguir adelante con proyectos como el DNI digital o el voto electrónico. Proyectos que pueden verse comprometidos, con todo lo que ello puede suponer, en pocos meses si no se usa la tecnología adecuada. Como indico en mi artículo sobre el DNI digital (referencia a) y que fue muy criticado hace dos años, para establecer un sistema de DNI o de voto electrónico, es necesario algo más que una legislación habilitante y unas buenas especificaciones técnicas.
¿cuál es la solución?, solamente hay una, no implantar sistemas con la tecnología comprometida, o a punto de estar comprometida, e iniciar planes de I+D+i lo antes posible, para buscar tecnologías alternativas para la cifra y hash. Pero parece que hay una serie de problemas para que esto no se lleve a cabo como sería deseable:
a) Presiones políticas para la implantación de sistemas de autentificación/firma a través de Internet. Los estándares internacionales usan los sistemas que ahora están casi comprometidos. La NSA está recomendando un cambio urgente de dichos estándares. El problema es que la mayoría de los chips inteligentes los implementan mediante hardware, por lo que la flexibilidad ante un fallo total, es nula. No hablaremos de la prueba de voto electrónico y de toda su polémica asociada, pero es un hecho que no viene más que a confirmar mis temores.
b) En la era del terrorismo internacional, un sistema electrónico de identidad, puede ser algo interesante para muchos gobiernos. Del mismo modo, los dispositivos RFID, pueden útiles para controlar los movimientos de las personas en un área tan extensa como Europa. Motivos que, a pesar de la oposición de los defensores de las libertades civiles, también ejercen una notable presión para la implantación inmediata de sistemas electrónicos de identidad.
c) La existencias de monoculturas tecnológicas e ideológicas en los sistemas de firma y cifrado, con muy pocos interlocutores ante la Administración sobre estos temas. Cuando hablo de monoculturas lo hago en el sentido que lo hace Bruce Schneier en su obra, "Cyberinsecurity, the cost of monopoly" (pdf), que aunque se refiere a la monocultura informática muy determinada, los riesgos de los que habla bien se pueden extrapolar a otras áreas tecnológicas y monoculturas.
d) La reciente directiva de patentes de software que se acaba de implantar. Las presiones de las multinacionales pueden acabar como con algunos medicamentos. Si usted quiere y necesita cifrado... pague mi patente durante 30 años. Cuando más falta nos hace la libertad para innovar, la cortamos nosotros mismos. Este hecho es algo que se deberían plantear los políticos europeos. Todo hay que decirlo, considero que esta aprobación va en contra del espíritu del reciente Tratado de la Constitución Europea, en el sentido de lo que expongo en mi artículo.
e) Poderoso caballero es don dinero... hay mucho, pero que mucho dinero e intereses en juego en torno a este asunto, algo que distorsiona la realidad tecnológica y la forma en la que se perciben muchos riesgos. Esto es lo más peligroso y complicado de salvar como la experiencia ha demostrado en otras ocasiones. El efecto lobby, como ha ocurrido con la aprobación de las patentes de software en Europa, es algo que está presente y con lo que tenemos que contar, para poder luchar contra su influencia.
De caer sistemas como el SHA-1 o RSA, que caerán tarde o temprano a la vista del estado del arte, caería todo lo que ahora utilizamos con normalidad, páginas web seguras, mensajes cifrados o firmados, e-comercio, sistemas de intercambio de claves, e-administración, telefonía, etc, etc, etc... Es decir, un 99% de lo que conocemos y usamos de forma cotidiana, sin preocuparnos de las tecnologías que lo hacen posible y que garantizan el anonimato o la seguridad de las mismas. A poco que pensemos, podemos comprender que sería un desastre de consecuencias planetarias, que afectaría a la seguridad nacional y la economía de todos los países tecnológicamente avanzados. Tenemos los indicadores y los factores de análisis y lo que es peor, no tenemos tecnología alternativa, pero parece que casi nadie quiere entender lo que significa, o lo puede significar esta combinación de factores en un futuro inmediato.
Es evidente que tenemos que hacer algo. Si presionamos para la implantación de estos sistemas, aunque sea poniendo las cosas fáciles, podemos ser responsables del desastre, aunque sea parcialmente. Es es necesario que la sociedad y en especial, los políticos que toman las decisiones, comprendan la tecnología y tomen conciencia de lo que realmente puede suponer una decisión mal tomada en estos campos. Sencillamente, es el momento de tomar postura, una postura necesaria, que busque la mejor solución a estas necesidades y problemas tecnológicos. Los políticos han de tener cuidado con las asesorías y la información que reciben, ahora tienen una grave responsabilidad que deben asumir con calma y meditadamente. Si me pidieran consejo les diría, señores, ante la duda, mejor no implantar un sistema que se puede volver en contra de los ciudadanos en pocos meses. Pero que nadie me tache de tecnófobo, solamente digo que hay que hacerlo con la tecnología adecuada y teniendo en cuenta ciertas cosas que ahora no se tienen en cuenta.
Antes hemos hablado de buscar posturas, yo veo dos que son estratégicas para que esto salga bien:
a) Innovación tecnológica, eliminando todas las trabas a dicha innovación y a la compartición de información entre investigadores... las patentes son un grave problema. Hay que maximizar lo que se dice en la Constitución Europea y que reflejo en mi artículo.
b) Prudencia en la implantación de sistemas nuevos, para ello, lo mejor es:
1) Establecer planes de contingencia, para los casos más peligrosos, aunque parezcan más improbables. Por ejemplo, si se implanta el DNI digital, tener un sistema previsto de contingencia, para el caso de que la ruptura del SHA-1 sea total, ya sea por mejoras en el análisis o en la potencia de los ordenadores.
2) Establecer mecanismos que permitan a los ciudadanos limitar las operaciones que se pueden hacer o no hacer con un DNI digital, como ahora se pueden limitan las operaciones con tarjetas de crédito.
3) Abrir el abanico de I+D+i y de interlocutores en temas de seguridad y criptografía, hasta dar con las soluciones tecnológicas más adecuadas y duraderas para estos sistemas.
4) Establecer estándares abiertos, basando la seguridad de estos sistemas en la pública comprobación de los mismos, en lugar del oscurantismo tecnológico.
Pero ¿es tan preocupante la situación?, no seré yo el alarmista, pero la acumulación de circunstancias ha logrado que se me enciendan algunos indicadores de aviso. Los expertos dicen, que yo no soy el único: "aunque no se ven las llamas, hay humo y es el momento de ir hacia la puerta de incendios, sin correr, pero sin pararse". Vistas las circunstancias, no podemos sentarnos en el sofá rodeados de humo a ver lo que ocurre y lo que es peor, sin un extintor (alternativa tecnológica viable e implantable) que nos permita apagar el fuego de manifesarse, cuando sabemos que se manifestará con seguridad.
En resumen, estoy de acuerdo en que necesitamos un DNI digital y un sistema de voto electrónico que facilite, no solamente las elecciones, también todo tipo de consultas cuidadanas, pero las cosas hay que hacerlas bien y con cabeza. Desde mi punto de vista, que es muy personal, no es el momento para crear agujeros de seguridad a nivel nacional, agujeros que pueden llegar a ser el paraiso de las mafias tecnológicas, para mayor desgracia de los administrados y menos con una ley de patentes que corta la innovación en muchos campos. No podemos olvidar el efecto multiplicador y revulsivo sobre las operaciones económicas en la Red, que puede tener el DNI digital y algo muy goloso para muchos delincuentes tecnológicos.
No estamos hablando de la seguridad física de los DNI digitales, algo que está bien especificado por estándares internacionales y que se puede mejorar con una serie de soluciones tecnológicas, como me consta que se ha hecho. Estamos hablando de algo más grave y que no se ha contemplado en su diseño, a pesar de que muchos lo han avisando desde hace tiempo. Se trata de la seguridad real de los algoritmos sobre los que se sustenta su tecnología de seguridad. En resumen, no estamos preparados para una caida de los algoritmos SHA-1 o RSA. Algo que hace unos meses era impensable, ahora se intuye como muy posible en un horizonte temporal cercano.
Sí es cierto, la seguridad actual de los algoritmos SHA-1 y RSA son razonables, pero anque es suficiente ahora, no lo será dentro de meses o pocos años. Muchos dirán (yo mismo lo digo y mantengo), que ahora la cosa no está tan mal... Es cierto, pero si nos decidimos por implantar un sistema de DNI digital, no es para que el sistema dure dos días... ha de permanecer y ha de ser completamente seguro para los ciudadanos, durante todo el tiempo de su vigencia. No vale con que sea "razonablemente" seguro durante un tiempo, no vale un bajo porcentaje de fraudes, estamos hablando de algo mucho más serio. Cambiar 30 millones de DNI, con un coste global de 300 millones de euros para su implantación, no es una alternativa viable, lo he mantenido siempre y lo sigo manteniendo ahora.
Hemos de recordar que este DNI digital, además de ser nuestra identidad, puede hacer cosas en nuestro nombre. Es nuestra personalidad jurídica, puede vender nuestra casa, firmar un contrato o atribuirnos unas declaraciones comprometidas, todo de forma remota. También puede cifrar un contenido, que con el tiempo, al caer los sistemas, pueda revelarse al público, algo comprometido y que no debería se admisible durante un tiempo de varios cientos de años, como mínimo. Algo que tampoco garantizan las tecnologías empleadas actualmente. Como se puede ver, no estamos hablando ya de la seguridad física, activa o pasiva, o de la idoneidad del chip empleado para el DNI, estamos hablando de la vigencia en el tiempo de las tecnologías empleadas. Es decir, en lo que se basa realmente la tecnología del DNI digital y que hasta hace unos meses, todo el mundo consideraba como inviolables o completamente seguras. De hecho, se crucifiaba dialécticamente, al que como yo, osase indicar lo contrario. Esto es algo que debemos meditar de forma cuidadosa, antes de decidirnos por la implantación de lo que se puede convertir en un "agujero" de seguridad nacional.
Para el que no me crea, veamos un ejemplo de mala práctica reciente. En la bibliografía que he puesto al comienzo del presente artículo, se habla de los problemas del MD5, otro algoritmo de hash muy usado en Internet por bancos y otras instituciones. La situación del MD5 es mucho más crítica que la del SHA-1 en este momento, pero a pesar de ello, no se están viendo intentos de eliminar el MD5 en favor de sistemas más seguros y eso que en este caso, el problema se reduce a un cambio de software ¿que pasaría si este algoritmo, como se presume que lo estará en el DNI digital, estuviera implantado por hardware?.
Si pensamos en un dispositivo en el que algoritmos como el SHA-1 o RSA, por ser su base tecnológica, se se implantarán por hardware, ¿habrá un tiempo de vulnerabilidades hasta que la Administración reaccione y se cambie la tecnología? Si ese es caso, los que tengan la mala suerte de sufrir los primeros fraudes con un DNI digital, como están las cosas, también tendrán muchos problemas para probar que realmente ha sido un fraude. Hay muy pocos peritos que le puedan echar una mano a estas personas y muchos de los que hay, están involucrados en la toma de decisiones sobre su implantación y esto, sin contar que muchas de las tecnologías involucradas se mantienen en el más absoluto secreto. Además, ¿cúanto se tardaría en cambiar esos DNI, si no tenemos una tecnología alternativa y los DNI no están diseñados para poderla implementar?. ¿De cuánto dinero de los contribuyentes estamos hablando?. Creo que hay demasiadas dudas y pocas respuestas.
Pero, ¿Es razonable el coste/eficacia actual para su implantación, o sería más razonable eliminar todas las brechas, incluida la democrática, antes de proceder a implantar un sistema de DNI digital, lo que nos daría tiempo a hacer mejor las cosas? Yo voto por solucionar el problema de las brechas. Debemos evitar que el analfabetismo digital que impera en nuestra sociedad, nos convierta en presa fácil de las cibermafias por acciones poco meditadas o mal justificadas. Algo, que lejos de fomentar la e-democracia, lo que lograría es todo lo contrario, es decir, abrir una brecha democrática
como se habla en este artículo.
"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation
and distribution of this entire article is permitted in any digital
medium, provided this notice is preserved".
