19 de Noviembre de 2006
Más peligros de un pasaporte demasiado listo
Siguiendo la bonita serie "no es oro todo lo que reluce", hace poco saltó la noticia de que los pasaportes con chips RFID ya han sido clonados. Antes lo consiguieron en Alemania, ahora en el Reino Unido. ¿Saben por qué? No será por la debilidad del cifrado, ya que utilizan el sistema de cifrado TripleDES, que es prácticamente inviolable. Pero la clave de cifrado es fácil de adivinar: consiste del número de pasaporte, la fecha de nacimiento del titular y la de emisión del pasaporte. Es decir, han montado el equivalente digital de una cámara acorazada ... y han dejado la llave encima del piano.
Como es domingo, y estoy algo perro, voy a reproduciros parte de un artículo que he escrito para mi Boletín ENIGMA del mes que viene (hala, así le hago publicidad):
El verdadero problema tiene una doble naturaleza. En primer lugar, conforme los chips RFID de los documentos de identidad contengan cada vez más información, serán un objetivo cada vez más apetitoso. Ya tienen una copia digitalizada del rostro. ¿Qué pasará cuando tengan claves criptográficas, huellas dactilares digitalizadas o información médica? Quisiera creer que para entonces habrán resuelto el problema de las claves, así como los que se presenten en el futuro.
En segundo lugar, la gracia de los RFID consiste en no tener que perder el tiempo en verificar los datos de la forma tradicional. En un control tradicional, digamos en un aeropuerto, el policía tiene que tomar mi pasaporte, abrirlo, echar un vistazo a mi fotografía, ver que se parece a mi cara, examinarlo y si le parece bien, dejarme pasar. Se supone que con un sistema automatizado eso cambiaría. Podría darse el caso de que el elemento humano se relajase al ver que el sistema funciona correctamente. Por supuesto, la fotografía y todos los datos del pasaporte aparecen en la pantalla del ordenador. Pero en un ambiente altamente rutinario, con una cola de pasajeros tras otra, congestiones en los accesos a la zona de seguridad y controles cada vez más complejos, habrá muchos agentes de seguridad que confiarán en el sistema informático más allá de lo razonable... ¿Cuánto tiempo tardaremos en ver a la gente pasar por el control de accesos del aeropuerto sin sacar el pasaporte del bolsillo?
http://www.guardian.co.uk/idcards/story/0,,1950226,00.html
Arturo Quirantes a las 07:54 PM | Referencias 0Muy bueno el símil de la cámara acorazada y el piano.
La verdad es que la gente de la ICAO (International Civil Aviation Organisation) se ha lucido al obligar a los integradores de la solución del ePasaporte a utilizar datos incluidos en la "antigua" parte legible del pasaporte (las dos líneas que comienzan por >> en la página de la foto) como clave de encriptación para poder iniciar la comunicación con la etiqueta RFID. Como solución me parece muy pobre, poco imaginativa... y muy prepotente. ¿Cuándo decidirán las autoridades consultar con expertos de verdad?
A mí me parece muy bien que un medio de comunicación tradicional como es el periódico The Guardian haya denunciado esta situación tan avergonzante para los (supuestos) responsables de nuestra seguridad. Y me pregunto: ¿para cuándo un poco de repercusión en los medios españoles? Porque la situación es exactamente la misma.
Lo dicho, asegurar nuestros documentos de viaje queda en nuestras manos hasta que pasen unos cuantos problemas de verdad con este asunto del clonado de pasaportes (y pasará, tiempo al tiempo, cuando de verdad en el control de pasaportes del aeropuerto los agentes dejen de mirar a la cara de los pasajeros, "con eso de que este pasaporte es infalsificable..." y esto se convierta en un "coladero"), que es cuando los gobernantes harán algo al respecto. Mientras tanto, jaula de Faraday, ya sea versión papel aluminio, o funda protectora, como las de http://www.proteccionrfid.com
Saludos.
eva | 11 de Diciembre de 2006 - 06:02 PM
