El viernes pasado y dado que mi DNI estaba por vencer, fui a hacer mi tramite de la renovación de este y viendo los videos que pasaban mientras esperaba me enteré de la nueva opción que estaban “desarrollando”, el DNI electrónico. Primero me pareció una gran noticia y un buen proyecto, pero instantáneamente esa sensación fue seguida de varias preguntas, conociendo sobretodo como funciona el estado peruano, algunas de las cuales fueron:
- Que tipo de cifrado utilizarán para las firmas digitales
- Utilizarán algún algoritmo de cifrado desarrollado y probado o cometerán sacrilegio al usar el suyo propio
- El cifrado de documentos será mediante alguna aplicación propia de la reniec o una alternativa utilizada y libre
- Que tan fácil de romper será el cifrado
- Los “usuarios” generarán sus propias llaves privadas o simplemente les darán la llave ya generada en alguna computadora de dicha entidad con la opción que alguien pueda “sustraer” dicha llave privada
- En caso la llave privada sea robada, habrá alguna opción de cambiarla
- Si la anterior es Sí, que validez tendrán los archivos firmados anteriores
- Si la llave privada esta contenida dentro del chip del DNI, como se asegurarán que al ser robado el documento no sea utilizado por un ladrón para suplantarnos
- Si la llave privada esta contenida dentro del chip, como podré hacer uso de ella? Necesitaré una lectora de chips?
- Estarán las llaves públicas en algún lugar accesible o solo será posible verlas/obtenerlas por ciertas entidades
Como buen geek interesado en la seguridad empecé a investigar, buscar en internet, leer sobre el documento y mi respuesta fue la esperada: no hay información de NADA de esto en internet, o por lo menos no la encontré, será que lo que me temo es cierto y nadie sabe como funciona (como suele pasar en Perú), será que están confiando la seguridad en un cifrado “desconocido” por el atacante, será tan fácil de romper como hacer un simple ataque de ingeniería inversa?
En resumen: el estado quiere darnos una nueva tecnología y una nueva forma de “identificarnos”, virtualmente, pero no hay información sobre como funcionará esta, que es lo que realmente nos están dando, a que peligros nos podríamos exponer y al buscar una respuesta a estas interrogantes solo se encuentran más preguntas y dudas, pero total, a la población no le interesa, si un pequeño porcentaje tiene acceso a una computadora, y de ese pequeño porcentaje somos incluso mucho menor la proporción de ciudadanos que conocemos del tema, entonces no nos preocupemos por informarles! Pero no podemos dejar que jueguen con la seguridad de nuestra identidad, la reniec debe poner bien en claro todos los aspectos de este nuevo cambio, los legales, los de uso y los técnicos.
