Leer el DNIe. No es oro todo lo que reluce

El DNIe contiene un chip muy especial. En Wikipedia se define como: ”procesador criptográfico seguro (microprocesador optimizado para realizar operaciones criptográficas), empaquetado en un dispositivo con múltiples medidas de seguridad física, que le dan ciertas propiedades (por ejemplo, resistencia a modificaciones), que le permiten garantizar que cierta información confidencial se genera, se almacena y se utiliza exclusivamente de forma interna. Esto permite eliminar la necesidad de proteger con medidas de seguridad físicas el resto del sistema. Una aplicación típica de este tipo de dispositivos es la generación, almacenamiento de claves privadas en criptografía de clave pública”. Por eso se utiliza como base informática del DNIe.

Por lo tanto:

• Es un microordenador en sí mismo que puede ejecutar código. Esto es muy relevante porque los procesos de firma cualificada se produce en el chip, no en la CPU del ordenador o de un teléfono. Y ese chip tiene un número de serie, ha sido ‘preparado’ por un tercero de confianza y asignado a una determinada persona física o jurídica en un acto presencial de registro (Oficina del DNI).
• Tiene dos zonas de datos, los que se pueden cambiar (leer-escribir) y los que no se pueden cambiar una vez emitido. Podríamos decir que algunos datos se ‘cincelan en piedra’, lo que significa que son perennes e inmutables.
• Además, el dato de la clave privada asociado los certificados, tanto al de identificación como al de firma (son diferentes), no se puede acceder desde el exterior. Sólo lo puede utilizar a través del sistema operativo del chip (no del ordenador, lector o móvil).

¿Por qué he realizado estas reflexiones? Pues porque están surgiendo App que se denominan ‘Wallets’ que dicen ‘leer’ el DNIe haciendo uso de la tecnología NFC. Cierto, pero en ocasiones no al 100%.

Y hay que saber si lo leen todo y si lo utilizan todo. Para entender la potencia de una App que dice leer el chip hay que saber que el Ministerio del Interior, que es quien lo emite, utiliza la potencia de este dispositivo y ubica en él dos tipos de información y dos tipos de uso.

• Tipos de información. La que puede ser leída por acceso al chip mediante lector externo o su conexión inalámbrica por NFC. Es el caso de: 1) Los datos que han dado lugar a los serigrafiados en el soporte de policarbonato del DNI, estructurados en grupos estándar ICAO (normas de aviación civil internacional) y los certificados de identificación y de firma con su clave pública y 2) las claves privadas de ambos que pueden ser usadas por el procesador chip, pero no leídas y por lo tanto conocidas o transferidas por el sistema que ‘lee’ la tarjeta. Esta es su fortaleza.
• Tipo de uso. Los datos en memoria de cualquier sistema pueden ser, en general, objeto de lectura, escritura o proceso. 1) No hay más restricción, para leer los datos ICAO o los certificados (no las claves privadas) que conocer el CAN que se es un alfanúmero que se incluye en la tarjeta. Hace imposible que un ‘hacker’ pudiese acercar un lector NFC a nuestro bolsillo y sin nuestro permiso, pudiera leer los datos del DNI. Lo custodiado no se puede reescribir, para evitar manipulaciones. 2) Queda el proceso. No se aplica a datos ICAO ni al uso del certificado de identificación. Pero si a la clave privada asociada a los certificados de identificación y de firma.

Aquí viene la parte más difícil de exponer.

1. Identificarse con certificado no es comunicarle al ‘corresponsal’ (la página web) lo que se acaba de leer. La App podría estar engañando si estuviese preparada. La página Web recibe la parte pública del certificado que se está identificando y para comprobar que en el otro lado se está en posesión de la parte privada, le lanza un desafío, esto es, le pasa un hash que tiene que devolver firmado por la clave privada. Con esto, la sede se asegura que el usuario es quien dice ser, una vez realizada la comprobación de ‘reto’. Ya ven por lo tanto que identificarse recurre a firmal algo.
2. Lo que tiene que ver con lo que significa firmar electrónicamente mediante técnicas matemáticas de criptografía denominada, de clave pública. Esto les pido que se lo crean, pues no es objeto de este post. Firmar electrónicamente es someter a un ‘resumen’ del documento que es su hash, a un cifrado utilizando la clave privada del firmante para que el receptor pueda validar la autenticidad, integridad e irrenunciabilidad, usando la clave pública. ¿Dónde se realiza este proceso? En el chip, en su CPU interna, sin recurrir al ordenador o a la APP. Así se produce una firma cualificada, similar a la manuscrita según eIDAS.

Hemos llegado. ¿Qué les tenemos que pedir a las App que dicen ‘leer’ el DNIe?

1. Que lo utilicen como un simple lector físico que se acopla a nuestro sistema por USB. Sirve para leer-presentar datos ICAO, los certificados y las claves públicas.
2. Ser capaz de suministrarle el hash de un documento y activar la función interna de firma por la que el chip realiza el cifrado matemático de este recurriendo a clave privada almacenada, que nadie conoce, porque no puede salir del recinto del chip y sólo puede ser usada por este.

En definitiva, sólo son App’s completas aquellas que permiten usar lo contenido en el chip para mostrarlo (datos, foto, firma, legibles por máquina), saber de la validez de los dos certificados y (AND) ordenar la firma de lo que se determine. Pidan lo segundo como ‘prueba del algodón’.

 Espero sus comentarios.

 Notas. Parece que me olvido de dos elementos. No. Son necesarios, pero no entran en los procesos:

• Los certificados tienen que estar activados para usarse. Si. Al ser expedido el DNIe nos lo entregan o activado o pendiente, según haya interpretado el funcionario nuestro deseo de disponer de ellos (desde ya, más adelante, por si acaso, o no se de estas cosas). Si se da la segunda circunstancia (o queremos cambiar el PIN) hay que recurrir a la máquina, para lo que se conoce como ‘activación’, que sólo a veces la realiza.
• El PIN. Protege contra el uso no autorizado, pero no interviene ni en la identificación ni en la firma. Es una ‘llave’ que autoriza a utilizar las funciones criptográficas del chip al poder usar la clave privada para firmar el hash, que resume el documento.

Aclaraciones:

1. ICAO es, en castellano, la Organización de Aviación Civil Internacional (OACI). Fue la institución que propuso la norma sobre la información que incluyen los pasaportes a nivel mundial y es la que se ha tomado para estructurar los datos del DNI. Incluye fotografía en color y trazo de firma.
2. NFC. Near Field Communications. Permite interactuar entre un dispositivo (datáfono, tarjeta chip) y el móvil. El DNIe tiene NFC a partir de los expedidos en 2015.
3. CAN es ‘Card Access Number’, podríamos decir que ID del soporte físico. Permite crear una clave de sesión cifrada para el intercambio de datos y órdenes entre el chip y la App
4. MRZ, Machine Readable Zone. Datos legibles por máquina en la parte baja del reverso.
5. Puntos de Actualización del DNI (PAD). Máquinas de autoservicio situadas en oficinas de expedición del DNI para activar, cambiar el PIN o renovar la vigencia de los certificados.