Saturday, February 11, 2006

RFID

Esta va a ser la forma de que no te roben el pasaporte sin que te enteres a partir del 1 de Agosto, y el DNI a partir del 2007.

España se une al show de las RFID en los documentos oficiales, a pesar de todos los problemas técnicos que esta dando en otros paises como Holanda o USA, y es que esto es lo que pasa cuando se usa tecnología de supermercado en documentos oficiales.

La RFID explicado en 3 palabras es un chip que dispone de un receptor, un transmisor y una memoria. La gracia que tiene es que no usa ninguna bateria, sino que toma la energía de la onda que recibe y la usa para transmitir su propia información.

Una de las que será sus principales aplicaciones es saber lo que hay en el carro de la compra sin sacar las cosas del carro.

Para los gobiernos tiene la gracia de poder leer toda tu información oficial sin que tu tengas la sensación de estar siendo controlado. Almacenan tu nombre, dirección, fecha de nacimiento, foto, huella dactilar etc, etc, y con que estes a menos de 10 metros (aunque ya han salido lectores de hasta 50m) lo pueden leer.

Los primeros problemas que surgieron fueron: como sabemos que solo lo va a leer el gobierno? Así que decidieron encriptar la información (al principio se hablaba de ponerla a pelo). Ese fue un paso adelante.
Lo siguiente es, como vas a evitar que alguien lo lea y lo clone por más encriptado que este. Y sacaron una tecnologia que en principio evitaba esta posibilidad.

Y digo en principio porque dicha tecnología, que constituye el standard americano y holandes ya ha sido craqueada permitiendo la copia ha distancia y sin interacción de tu DNI.

Se me ocurren muchas ventajas para los gobiernos del hecho de poder monitorizar así (controlar entradas y salidas de edificios, carreteras sin parar coches etc...) pero sencillamente, no es un metodo seguro, y mientras a algunos le pueden meter en un lio, aquellos que quieran evitar ser monitorizados lo tienen muy facil.

Me pregunto porqué para ciertas cosas no aprendemos de la experiencia de otros.

6 comments:

Avaz said...

Existen algunos escenarios en los que la tecnología RFID proporciona ya, a día de hoy, interesantes servicios.

- Aplicaciones en inventariado, logística y tracking.
- Mecanismos paralelos de autenticación y por ende de control de integridad.

No conozco con detalle qué servicios proporciona el nuevo DNI digital, y por lo que tengo entendido nadie sabe a ciencia cierta exactamente cuáles serán sus capacidades. Al parecer, no se ha emitido aún oficialmente ningún documento con una relación de sus especificaciones técnicas o pila de estándares. Algo se ha hablado sobre la posibilidad de que incluya mecanismos de firma digital y se ha dado un pequeño esbozo sobre cómo se realizaría la gestión de claves asimétricas, pero no se ha mencionado ni aspectos técnicos sobre los certificados (X.509 ?) o temas tan importantes como los techos de aplicación o detalles sobre la regulación del DNI digital.

Sobre RFID, por lo que he podido entender, tenemos más de lo mismo, es decir, comentarios a vista de pájaro.

Pablo said...

El RFID es una tecnología muy útil en general, no vayas a confundir mi opinión.

El problema es su aplicación a documentos oficiales donde la seguridad es un grave problema. Por ejemplo, si ahora mismo tu DNI apareciera físicamente en la escena de un crimen, más te valdría explicar como te ha sido robado y cuando... O más cercano, si dejas tu wifi abierta y se usa para propositos no legales, ten por seguro que tú vas a tener problemas.

Tanto USA como Holanda han seguido el mismo standard que se dice que seguirá españa a partir de agosto con los pasaportes. Es un estandard de la ICAO que usa los chips ISO 14443 con Basic Access Control (BAC), en que la clave de cifrado es derivada del subconjunto de datos impresos en el pasaporte de forma ópticamente legible, en la zona denominada Machine Readable Zone (MRZ)tal y como explican aqui:
http://www.kriptopolis.org/node/1773
Pero el problema es que ese standard ya ha sido craqueado.
Instalar un standard que se sabe inseguro, parece una estupidez.

avaz said...

Estoy de acuerdo. No te preocupes que no te he malinterpretado. Hay que ser cautos con aplicaciones de esta talla, no cabe duda.

A día de hoy se está haciendo un gran esfuerzo para encontrar plataformas tecnológicas que proporcionen servicios sólidos y fiables en el terreno, siempre escarpado, de la seguridad. Existen muchos escollos con los que hay que lidiar a la hora de abordar un proyecto de estas dimensiones, y no solamente de naturaleza técnica o tecnológica, la sociedad y la protección de determinados derechos del individuo terminan de confeccionar un pastel en el que cada ingrediente ha de ser meticulosamente y estudiado.

Hace relativamente poco tiempo que sigo de cerca la carrera criptográfica. Y en este campo, las Matemáticas, como casi siempre ocurre en Ingeniería, son las que dirigen la orquesta. Imagino que conocerás a Ronald Rivest (Ph.D en la magnífica Stanford) del CSAIL (MIT) y sus colegas Shamir, y Adleman, todos ellos ganadores en 2002 del Turing Award por RSA. Recientemente y fortuitamente di con la página web oficial de uno de los investigadores más prestigiosos y prolíficos de estos tiempos. Es China, se llama Xiaoyun Wang, y junto con sus colegas de Shandong University, puede presumir de haber reventado MD5 (Rivest again), SHA-1 y X.509 entre otros.

He aquí el curioso lugar: http://www.infosec.sdu.edu.cn/people/wangxiaoyun.htm

Dokan said...

parece un asunto peliagudo, como si quisieran controlar todo lo que hacemos para estar a la caza de todo lo que decidan 'ilegal' los gobiernos, o las empresas y grupos religiosos, valga la redundancia.
¿habran previsto un aumento en las plantillas de los cuerpos de seguridad? porque digo yo que si pretenden controlarnos sera para algo...
¿controlaran a todo el mundo igual?
tampoco yo he dicho que vayan a ponerse a vigilar como si fueran perros guardianes, sin embargo esta mas que comprobado que en cuanto nos tientan nos perdemos, y la tentacion de aprovecharse de las ventajas de saber lo que hace la gente es muy grande, sea para lo que sea.
quien se sienta libre que tire la primera piedra, quien se sienta corderito que se una al club.
por otro lado y sin tener ni idea de lo que hablo como vengo demostrando en todo el comentario, ¿que posibilidades hay de que un 'cacharro' pueda confundir o engañar al que quiera leer los datos del rfid? bien dando datos aleatorios, bien dando los datos del que esta al lado, en el piso de arriba, o en el parque, pq 50m son muchas ms. tb se me ocurre que puede haber otro que anule la presencia de un rfid, pero digo yo, ¿no puedo dejarme el dni en casa y que me encuentren si pueden? ah, olvidaba que estamos obligados a llevar nuestra documentacion, pero aun asi sigo siendo libre para infringir las leyes, ¿no?
creo que me voy a ir a vivir a una isla desierta, con mi rfid, por supuesto, por si alguien me busca.

Anonymous said...

No acabo de entender una cosa.
¿Qué problema hay con llevar el DNI en la cartera envuelto en papel de plata, o algo así, por ejemplo?

Un abrazo, Felipe.

e-Miguel said...

Muy interesante, pero en tanto no vengan los marcianos con su inteligencia superior a crear el sistema de pasaportes biometricos cualquier sistema es craqueable, y suponiendo que los marcianos osaran aventurarse en este planeta de cavernicolas, siempre quedara el temor de que "alguien" venda el secreto por algunos millones de dolares o solo por joder, como paso con el "incopiable" DVD en su tiempo o el chip "inviolable" de las tarjetas del DTV que luego cualquier hijo de vecino podia abrirlas y reprogramarlas.

Me recuerda un poco a la pelicula de Minority Report donde en todos lados (metro, centros comeriales, calles, etc.) habia lectores de iris y en base a ellos la policia podia ubicarte de inmediato o bien los comercios aprovechar tu informacion para desplegarte un promocional (audio o visual) de acuerdo a tu perfil de consumo.

Claro que cuando Tom Cruise pasa de policia a fugitivo y todos pensabamos que no iban a tardar en atraparlo con esta "infalible" tecnologia, queda al descubierto lo logico: un mercado negro de OJOS con iris e historiales limpios al servicio del mejor postor.