Estudio exploratorio de la seguridad del DNI electrónico para su aplicación en Ecuador

  • Cristhian Fernando Cedeño Sarmiento Universidad Espíritu Santo
  • Francisco Bolaños Burgos
  • Alex Gregorio Mendoza
  • Wilton Saltos Rivas

Resumen

En la actualidad la necesidad de contar con un dispositivo de identificación electrónica seguro que permita identificar y autenticar a los ciudadanos en actividades en línea es primordial, más aún en países que se encuentran implementando políticas de gobierno electrónico en su población y ante eventos diarios de ataques de suplantación de identidad en línea. En el presente artículo de revisión se realiza un análisis de la seguridad que existe en la implementación del documento nacional de identificación electrónico (DNIe) en España, las versiones que ha tenido el dispositivo, la tecnología que posee en la actualidad, la estructura interna, los tipos de certificados digitales de seguridad que almacena el chip criptográfico, la infraestructura de clave pública que soporta su funcionamiento y los casos de usos que se han propuesto para el dispositivo. Adicional se incluye una revisión de países que implementan dispositivos de identificación electrónica en ambientes de gobierno electrónico para sus ciudadanos, las posibles debilidades presentadas en este tipo de tarjetas criptográficas así como las contramedidas definidas por autores reconocidos en ambientes de ataques de canal lateral, por último se presenta una revisión de las instituciones públicas y privadas existentes en Ecuador que podrían aportar en un futuro proceso de implementación del nuevo dispositivo de identificación digital en el país.

##plugins.generic.usageStats.downloads##

##plugins.generic.usageStats.noStats##

Citas

Adams, C. (2011). Trusted Third Party. In H. C. A. van Tilborg y S. Jajodia (Eds.), Encyclopedia of Cryptography y Security (pp. 1335-1335). Boston, MA: Springer US.
ARCOTEL. (2016). Registro Publico de Entidades de Certificacion y Terceros Vinculados. Recuperado de http://www.arcotel.gob.ec/entidades-de-certificacion-firma-electronica/
Arora, S. (2008). National e-ID card schemes: A European overview. Information Security Technical Report, 13(2), 46-53.
Arroyo, D., Gayoso, V., Hernández, L., y Martín, A. (2015). Using Smart Cards for Authenticating in Public Services: A Comparative Study. Paper presented at the International Joint Conference.
Auerbach, N. (2004). Anonymous Digital Identity in e-Government.
Baiget, T. (2007). DNI electrónico (DNIe). Anuario ThinkEPI(1), 203-204.
Belleboni, E., y Gallardo, J. (2009). Uso del DNIe para reforzar el anonimato en el voto telemático mediante tarjetas inteligentes. Paper presented at the V Congreso Iberoamericano de seguridad informatica Uruguay 2009.
Camp, J. (2004). Digital identity. IEEE Technology y Society Magazine, 23(3), 34-41.
Cedulación, D. G. d. R. C. I. y. (2013, 29 de octubre de 2013). Seguridades de la nueva cédula de ciudadanía. Recuperado de http://www.registrocivil.gob.ec/?p=2725
Commission, E. (2016). eGovernment Benchmark 2016. 80. Recuperado de Capgemini Consulting. Technology. Outsourcing website: https://www.capgemini.com/resources/egovernment-benchmark-2016 doi:doi: 10.2759/002688
Corletti Estrada, A. (2016). Seguridad en Redes
Corradini, F., Paganelli, E., y Polzonetti, A. (2007). The e-Government digital credentials. International Journal of Electronic Governance, 1(1), 17-37.
Crespo, J., Espinosa, J., Hernández, L., Rifà, H., y Torres, M. (2006). Hacia una nueva identificación electrónica del ciudadano: el DNI-e. Paper presented at the IX Reunión Española sobre Criptología y Seguridad de la Información, Barcelona.
Curran, K., Millar, A., y Mc Garvey, C. (2012). Near Field Communication International Journal of Electrical y Computer Engineering (IJECE), 2(3), 371-382 Recuperado de http://www.iaescore.com/journals/index.php/IJECE/article/view/5334/4346
Chaparro, R., Greenwood, P., y Barán, B. (2008). Alternativa de Infraestructura de Clave Pública Basada en el uso de DNSSEC. http://www.cnc.una.py/publicaciones/1_54.pdf Recuperado de http://www.cnc.una.py/publicaciones/1_54.pdf
Diffie, W., y Hellman, M. (1976). New directions in cryptography. IEEE transactions on Information Theory, 22(6), 644-654.
Directivos, E. (2008). Características y funciones del DNI electrónico. Especial Directivos(1423), 1-3. Recuperado de http://search.ebscohost.com/login.aspx?direct=trueydb=fuayAN=40074735ylang=esysite=ehost-live
España, M. d. I.-G. d. (2015). Guia de referencia del DNIe con NFC. Recuperado de https://www.dnielectronico.es
España, M. d. I.-G. d. (2016). Características Chip DNIe. Recuperado de https://www.dnielectronico.es
Espinosa García, J., Hernández Encinas, L., y Queiruga Dios, A. (2007, 09//). THE NEW SPANISH ELECTRONIC IDENTITY CARD: DNI-e. Paper presented at the Proceedings of the International Conference on Information Technologies.
Estonia, G. d. (2016). e-Estonia.com - The digital society. Recuperado de https://e-estonia.com/e-residents/about/
Fairchild, A., y de Vuyst, B. (2012). The Evolution of the e-ID card in Belgium: data privacy y multi-application usage. Paper presented at the Sixth International Conference on Digital Society.
Fiat, A., y Shamir, A. (1987). How To Prove Yourself: Practical Solutions to Identification y Signature Problems. Paper presented at the Advances in Cryptology — CRYPTO’ 86: Proceedings, Berlin, Heidelberg.
Forné, J., Melús, J. L., y Soriano, M. (1995). Criptografía y Seguridad en Comunicaciones. Novática: Revista de la Asociación de Técnicos de Informática(116), 20.
Fuentes, A., Hernandez, L., Martin, A., y Alarcos, B. (2015). Design of a set of software tools for side-channel attacks. IEEE Latin America Transactions, 13(6), 1966-1978. doi:10.1109/TLA.2015.7164224
Fuentes, A., Hernández, L., Martín, A., y Alarcos, B. (2014). A toolbox for DPA attacks to smart cards. Paper presented at the International Joint Conference SOCO’13-CISIS’13-ICEUTE’13.
Gabaldón, L. G., y Pereira, W. (2008). Usurpación de identidad y certificación digital: propuestas para el control del fraude electrónico. Sociologias, 164-190. Recuperado de http://www.scielo.br/scielo.php?script=sci_arttextypid=S1517-45222008000200008ynrm=iso
Garfinkel, S., Spafford, G., y Riverol, M. C. (1999). Seguridad y comercio en el web: McGraw-Hill.
Gayoso Martínez, V., Hernández Encinas, L., Martín Muñoz, A., Álvarez Mariño, M. A., y Arroyo Guardeño, D. (2016). A comparative study of three Spanish eGoverment smart cards. Logic Journal of IGPL. doi:10.1093/jigpal/jzw038
Gayoso, V., Hernandez, L., y Martin, A. (2013). La tarjeta de identidad espanola como metodo de autenticacion en redes sociales. Paper presented at the VII Congreso Iberoamericano de seguridad informatica CIBSI, Panamá.
Girault, M. (1991). Self-certified public keys. In D. W. Davies (Ed.), Advances in Cryptology — EUROCRYPT ’91: Workshop on the Theory y Application of Cryptographic Techniques Brighton, UK, April 8–11, 1991 Proceedings (pp. 490-497). Berlin, Heidelberg: Springer Berlin Heidelberg.
González Crespo, R., Sanjuán Martínez, O., Saiz Alvarez, J. M., Cueva Lovelle, J. M., Pelayo García-Bustelo, B. C., y Ordóñez de Pablos, P. (2012). Design of an Open Platform for Collective Voting through EDNI on the Internet. E-Procurement Management for Successful Electronic Government Systems, 1.
Gutiérrez, J. A., De Marcos, L., Gutierrez, J., Hilera, J. R., Otón, S., y Barchino, R. (2009). The Cost of Development of a New System to Control Drivers Using GPS Location y Identification Through the Electronic ID Card. Paper presented at the The 2009 International Conference on Software Engineering Research y Practice (SERP’09), Las Vegas.
ITU. (2016). Review of National Identity Programs. Recuperado de https://www.itu.int/en/ITU-T/focusgroups/dfs/Documents/09_2016/Review%20of%20National%20Identity%20Programs.pdf
Judicatura, C. d. l. (2016). Entidad del Certificacion del Consejo de la Judicatura Recuperado de https://www.icert.fje.gob.ec/
Kaspersky. (2016). Internautas en América Latina sufren 12 ataques de malware por segundo, revela Kaspersky Lab. Recuperado de http://latam.kaspersky.com/sobre-kaspersky/centro-de-prensa/comunicados-de-prensa/2016/internautas-en-america-latina-sufren-doce-ataques-de-malware-por-segunda-revela-kaspersky-lab
León-Coca, J. M., Reina, D. G., Toral, S. L., Barrero, F., y Bessis, N. (2013). Authentication Systems Using ID Cards over NFC Links: The Spanish Experience Using DNIe. Procedia Computer Science, 21, 91-98. doi:http://dx.doi.org/10.1016/j.procs.2013.09.014
Mangard, S., Oswald, E., y Popp, T. (2007). Power Analysis Attacks: Revealing the Secrets of Smart Cards (Advances in Information Security): Springer-Verlag New York, Inc.
Nieto, A., Roman, R., y Lopez, J. (2016). Testigo digital: delegación vinculante de evidencias electrónicas para escenarios IoT. Paper presented at the II Jornadas Nacionales de Investigación en Ciberseguridad (JNIC 2016).
OECD. (2011). National Strategies y Policies for Digital Identity Management in OECD Countries Recuperado de /content/workingpaper/5kgdzvn5rfs2-en
http://dx.doi.org/10.1787/5kgdzvn5rfs2-en doi:10.1787/5kgdzvn5rfs2-en
ONU. (2016). United Nations e-goverment survey 2016. 242. Recuperado de United Nations Public Administration Network website: http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf Recuperado de http://workspace.unpan.org/sites/Internet/Documents/UNPAN96407.pdf
Orthacker, C., y Zefferer, T. (2011). Accessibility challenges in e-Government: an Austrian experience. Paper presented at the Proceedings of the Forth International Conference on Internet Technologies y Applications (ITA 2011).
personas, R. n. d. l. (2017). Nuevo DNI - Ministerio del Interior, Obras Públicas y Vivienda. Recuperado de http://www.nuevodni.gov.ar/inicio/
Píñar, J. J., y Camacho, J. (2016). Pago móvil mediante NFC: Estudio y modelo de vulnerabilidad. Paper presented at the II Jornadas Nacionales de Investigación en Ciberseguridad, Granada (Spain).
Prieto, P. R. (2011). El DNI electrónico: ecosistema y uso en la e-administración local. El profesional de la información, 20(3), 277.
Pública, S. N. d. l. A. (2016). Plan Nacional de Gobierno Electrónico 2016 - 2017
Electrónico. 40. Recuperado de Gobierno electronico del Ecuador website: https://www.gobiernoelectronico.gob.ec/plan-nacional-de-gobierno-electronico/#1474582094338-fd3533da-da31 Recuperado de https://www.gobiernoelectronico.gob.ec/plan-nacional-de-gobierno-electronico/#1474582094338-fd3533da-da31
Rodriguez, G. S. (2002). LA CERTIFICACIÓN ELECTRÓNICA VENEZOLANA: Desde una perspeciva reflexiva. Revista de Derecho(17), 61-72. Recuperado de http://search.ebscohost.com/login.aspx?direct=trueydb=a9hyAN=26306192ylang=esysite=ehost-live
Roland, M., Langer, J., y Scharinger, J. (2012, 13-13 March 2012). Practical Attack Scenarios on Secure Element-Enabled Mobile Devices. Paper presented at the 2012 4th International Workshop on Near Field Communication.
Ruiz-Agundez , I., y García, P. (2012, 24-27 July 2012). Service Authentication via Electronic Identification Cards: VoIP Service Authentication through the DNIe. Paper presented at the 2012 Annual SRII Global Conference.
Sanchez, L. E., Santos Olmo, A., Alvarez, E., Fernandez Medina, E., y Piattini Velthuis, M. (2012). LOPD Compliance y ISO 27001 legal requirements in the Health Sector. IEEE Latin America Transactions, 10(3), 1824-1837. doi:10.1109/TLA.2012.6222590
Sarwat, R. (2010). DNI-e Tecnología y Usos (I. 64 Ed.). Móstoles, Madrid.
Standaert, F.-X. (2010). Introduction to Side-Channel Attacks. In I. M. R. Verbauwhede (Ed.), Secure Integrated Circuits y Systems (pp. 27-42). Boston, MA: Springer US.
Publicado
2020-05-12
Sección
Artículos