– ¿Cómo surgió la idea de dotar al DNI de capacidades para autenticación y firma en los medios electrónico, informático y telemático?
– Hace ocho años aproximadamente, iniciamos en el Área de Informática de la Dirección General de la Policía el estudio de un proyecto de tarjeta de funcionario con capacidades criptográficas para nuestro personal, que sirviera, por una parte, para el control de su acceso físico a los recintos de trabajo y por otra, mediante el uso de certificados electrónicos, para autenticarse y acceder así a su entorno de trabajo informático y de red, pudiendo, además, firmar documentos y disponer de un mecanismo para el cifrado.
Teníamos gran interés en desarrollar este proyecto, ya que podía resolver algunos de los problemas derivados de la necesidad de cuidar al máximo la confidencialidad de la información que aquí se trata. Y en una reunión vinculada con este proyecto, se me ocurrió proponer a mis colegas la posibilidad de dotar también al DNI con capacidades criptográficas de autenticación para uso de los ciudadanos. En aquellos momentos existía la Directiva y el Real Decreto Ley de Firma, pero no la Ley de Firma Electrónica.
La cosa quedó ahí. Y de pronto, un 12 de octubre de 1999, el por entonces Ministerio de Ciencia y Tecnología nos solicitó que le informáramos de proyectos iniciados por nosotros en el ámbito de la administración electrónica. Comentamos, entre otros, el correspondiente al DNI electrónico, y, para nuestra sorpresa, en el año 2000 el anterior Presidente del Gobierno lo anunció en el curso de la presentación del Plan Info XXI.
Ese es el nacimiento de esta iniciativa, que, posteriormente, ha habido que ir definiendo, centrando con mucho método –hemos utilizado en todo momento la versión 3 de Métrica y también para el Análisis de Riesgos, Magerit, con la herramienta Pilar del Centro Criptológico Nacional-CCN– y desarrollando con no pocas dificultades.
– Formalmente, ¿cuándo se sientan las bases del nuevo DNI?
– El proyecto adquirió entidad en mayo de 2000, y se terminó de definir en el año 2002, incluyendo requisitos e incluso un pliego de prescripciones técnicas.
– La verdad, el proyecto ya tiene sus años.
– Ciertamente, podría haberse puesto en marcha antes.
– ¿Qué sintió, en tanto que Director Tecnológico de la iniciativa, el pasado 16 de febrero, día de la Ceremonia de Generación de las Claves de la Autoridad de Certificación del DNI?
– La Ceremonia fue, sin duda, un paso decisivo en la instauración del DNI electrónico y la base de la confianza en el sistema. No olvidemos que en dicha Ceremonia se generaron las claves y el certificado autofirmado de la autoridad de certificación raíz del DNI.
Para los allí presentes, y especialmente para los miembros del Equipo del Área de Informática responsable del proyecto, esa fecha es inolvidable. No obstante, tenemos muy claro que dicho acto fue el principio de una iniciativa encaminada a dar carta de naturaleza en la sociedad de la información a los ciudadanos españoles y a la que, por tanto, le espera un despliegue complejo.
La intención de la Dirección General de la Policía no es otra que dar servicio al ciudadano en las facetas que le son propias. Y así hemos comenzado. Otra cosa es la utilidad que se le pueda ir dando con el paso del tiempo al nuevo DNI, algo que no sólo depende de los ciudadanos, sino de la posibilidad que tengan de usarlo en sus relaciones telemáticas interpersonales, con las administraciones públicas y con el sector privado.
– ¿Diría usted que tiene buena memoria?
– Siempre habrá quien la tenga mejor.
– ¿Se acuerda del día y la hora exactos de vigencia de las claves y el certificado electrónico de la AC raíz?
– Iniciaron su vigencia a las once horas treinta y siete minutos y veinticinco segundos del 16 de febrero del presente, y tienen validez hasta las veintitrés horas cincuenta y nueve minutos y cincuenta y nueve segundos del 8 de febrero del año 2036.
 |
“Es probable que no se extienda mucho más el abanico de autoridades de validación del DNI, ya que el crecimiento en el número de actores nos obligaría a generar en la DGP un sistema complejísimo de control” |
– ¿Han aprendido mucho en el tiempo que media entre el inicio del estudio encaminado a la elaboración del pliego de prescripciones técnicas y el arranque en Burgos con la emisión del primer DNI electrónico?
– En todos los órdenes y en referencia a todas las tecnologías involucradas. ¿Se puede imaginar lo que nos ha costado estudiar la pertinencia del policarbonato como soporte para sustituir el papel moneda y el plastificado del DNI actual? Cierto es que hemos contado con la colaboración de compañeros de la Policía Científica y con profesionales de la Sección de Documentos Falsos de la Comisaría General de Extranjeros y Documentación, y, por supuesto, de expertos de la FNMT.
También hemos aprendido obligadamente a conocer en profundidad, y en la medida de nuestras posibilidades, el arte de la aplicación segura de la criptografía moderna. Ahí hemos seguido las normas internacionales existentes, sometiendo nuestras decisiones a lo dispuesto por la autoridad criptográfica y de seguridad, que es el Centro Criptológico Nacional-CCN del Centro Nacional de Inteligencia-CNI.
Por otra parte, este proyecto nos ha obligado a enfrentarnos al estudio y aplicación de la legislación vigente, concretada principalmente en la Ley de Firma Electrónica y en la LOPD y el Reglamento de Medidas de Seguridad. Aprovecho para decirle que nuestros sistemas, y especialmente el que soporta el DNI electrónico por su criticidad y novedad, han sido revisados en los ámbitos de su competencia por la Agencia Española de Protección de Datos-AEPD.
Incluso la iniciativa del nuevo DNI nos ha ayudado a crecer en el Área de Informática, al reavivar proyectos que teníamos postergados, como es el caso del de la creación de un centro de respaldo. Disponemos ahora de un centro de estas características que nos sirve para garantizar la continuidad del sistema del DNI ante contingencias y, en general, del sistema de información tecnológico de la DGP.
Nos ha ayudado también a mejorar nuestras comunicaciones y su seguridad. En realidad, aunque la instauración del DNI electrónico va a tener notables repercusiones sociales, es un proyecto generado en el Área de Informática, y como tal nos ha dado oportunidad a todos los profesionales que la integramos en desarrollo, sistemas, comunicaciones, soporte... de participar y aportar nuestra experiencia en todos los órdenes, uno de ellos, y muy importante, en el de tecnologías de seguridad aplicadas a la monitorización, almacenamiento, control de accesos, seguridad interna de red y seguridad de puestos, gestión de usuarios y recursos, defensa perimetral, registro y auditoría, y forensía.
– Pero el fuerte, como decía, se lo lleva la PKI. ¿Ahí es de suponer que han tenido que hacer un gran esfuerzo?
– Sí, no hay mucho precedente. El gran reto fue, en su momento, diseñar una jerarquía de CA. Ya sabe que disponemos de una raíz y de varias subordinadas. El establecimiento de la arquitectura del sistema también fue todo un reto, al existir una CA con una tecnología que firma a otras CAs con dos tecnologías de certificación operativas. Las CAs están en alta disponibilidad y replicadas. Además, decidimos que no debería ser necesario que las propias CAs emisoras de los certificados fueran las que tuvieran que estar en línea para revocar.
En este sentido hemos seguido las normas internacionales, en las que se expresa que debe haber, diferenciadas, una autoridad de registro, una autoridad de certificación, una autoridad de publicación, y una autoridad de verificación y validación. Nuestra Ley de Firma aglutina a los proveedores de servicios de certificación; pero nosotros hemos querido separarlos, porque cumplen misiones distintas, requieren independencia, y porque ello facilita la introducción de modificaciones de tecnología y en la arquitectura del sistema.
Estamos dando acceso actualmente a los prestadores de servicios de validación establecidos, el Ministerio de Administraciones Públicas-MAP y FNMT, y les ofrecemos desde los servicios propietarios que implementan las tecnologías en juego, hasta los clásicos de LDAP, http, ftp... para que se puedan descargar las CRLs.
Como es sabido, la FNMT presta servicios de validación con carácter universal, y a los efectos de las administraciones públicas, el MAP.
Por otra parte, les estamos cediendo, además, CRLs para uso interno, a la Tesorería General de la Seguridad Social y a la Agencia Estatal de Administración Tributaria.
– ¿Hay un tercer jugador para la validación?
– Existe esa previsión, que podría recaer en el Ministerio de Industria, Turismo y Comercio. Cuando se incorpore al sistema, le daremos los servicios adecuados. Lo que probablemente no se vaya a hacer es extender mucho más el abanico de autoridades de validación. El crecimiento en el número de actores nos obligaría a generar en la DGP un sistema complejísimo para poder controlar a quién estamos remitiendo las CRLs, que todos los receptores las reciben en su tiempo y momento, y que todos cumplen con los protocolos establecidos, a fin de evitar que existan discordancias, como, por ejemplo, que un ciudadano proceda a validar el estado de un certificado y obtenga resultados diferentes en dos autoridades de validación.
– En una fase del proceso de decisión del proyecto de DNI electrónico, existía la posibilidad de que el certificado de autenticación no fuera protegido por clave personal de acceso, y sí el certificado de firma. Al final han decidido proteger ambos, y con la misma clave personal de acceso. ¿Por qué?
– En la DGP hemos pretendido que el nuevo DNI hiciera lo mismo que el clásico, que con su simple presentación acredita nuestra identidad. Y cuando hay que firmar, se ponen en juego otros mecanismos, como el de la comprobación visual de firma... Esto es lo que queríamos trasladar al entorno telemático, de tal suerte que con la introducción del DNI electrónico se leyera el certificado de autenticación. Para establecer compromisos ya está el certificado de firma, que es diferente
y específico.
En el curso del proyecto se formaron grupos de trabajo. Y en concreto en el grupo de normativa, se recibió en su momento la opinión de la Agencia
Española de Protección de Datos-
AEPD, que consideraba que si un ciudadano perdía, extraviaba o se le sustraía el DNI, la persona en posesión de ese DNI electrónico podría hacer un uso incorrecto de él mediante su introducción en un lector adecuado y teniendo en el otro lado un prestador de servicios que no cumpliera con la legislación vigente.
Asumimos la sugerencia de la AEPD y decidimos restar inmediatez al servicio
del DNI electrónico en aras de darle una mayor seguridad y privacidad
al ciudadano. Ya se sabe que, en última instancia, la seguridad y la funcionalidad suelen chocar. En esta ocasión, ganó la primera.
“La iniciativa del nuevo DNI nos ha ayudado a crecer en el Área de Informática y a reavivar proyectos, como es el caso del de la creación de un centro de respaldo” |
 |
– En la actual legislatura, la Vicepresidencia del Gobierno se hizo cargo del proyecto, nombrando una comisión de seguimiento y grupos de trabajo en diversos órdenes: económico, legal, de difusión. Quizá en este último punto, el de difusión, es donde no se ha realizado el énfasis suficiente hacia la industria. Pero tras la emisión del primer nuevo DNI, en Burgos, el pasado 16 de marzo, la cosa está cambiando ostensiblemente, aunque la noto un poco expectante, como esperando a saber qué va a demandar el ciudadano. No es el caso de algunas compañías españolas, que sí se han preocupado de tomar una postura activa para facilitar el uso del DNI electrónico a gran escala.
Reconozcamos que no hay por ahora mucho desarrollo de servicios, salvo en la Administración Pública; servicios que, por otra parte, van a estar soportados por TI. El DNI electrónico puede aportar la confianza necesaria para su creación. Una vez que se genere esa confianza, las cosas irán rodadas.
– ¿Cómo observa el aprovechamiento del DNI electrónico en el sector financiero?
– Hemos tenido contactos con la Confederación Española de Cajas de Ahorro-CECA, con la Asociación Española de Banca-AEB, con el Centro de Cooperación Interbancaria-CCI y con entidades específicas. Están muy a la expectativa y creo que van a ser receptivos –y esperamos que activos– en aprovechar las ventajas de su uso.
– ¿Y las Administraciones Públicas?
– Todas han aportado su conocimiento en los grupos de trabajo, van a prestar su apoyo en el despliegue de servicios, y ninguna lo ha entendido como una obligación. La ventaja que tiene el nuevo DNI es que no es un proyecto exclusivo de la Policía, sino de todos los ciudadanos. Hay ya muchos servicios en línea de las administraciones basados en firma electrónica, y todos van a funcionar con el DNI. La idea es que en este mes de abril existan ya un total de cerca de 300 servicios de las administraciones basados en firma.
– ¿Cuál es el presupuesto actual del DNI electrónico?
– Para el periodo 2005-2008, que es en el que se ha previsto el despliegue, el capítulo de inversiones, en el que se contempla la adquisición de tecnología, equipamiento, desarrollos, adaptación de las oficinas para convertirse en puntos de registro..., tenemos una dotación económica en torno a 60 millones de euros.
Luego hay otros costes importantes, como son los de formación para el personal de los puntos de registro –unos 1.500 profesionales, dentro de las 350 oficinas que tenemos–, y la formación avanzada específica que vamos a dar a unos 60 profesionales del Área de Informática, para perfeccionar sus conocimientos.
Finalmente queda el capítulo correspondiente a la tarjeta, que es más cara que la que tenemos en estos momentos, aunque en principio y para este año, la tasa no ha variado. No podría cuantificar una cifra exacta, pero va a tener un gran peso presupuestario, ya que supone no sólo lo atribuible a la propia tarjeta, sino también a lo que su tratamiento acarrea en materia de coste de personal, costes de mantenimiento e infraestructura... Podríamos estar hablando de unos 12 euros de media por tarjeta.
– ¿Ve usted preparada a la FNMT para cubrir las necesidades de tarjetas inteligentes en función de las necesidades del despliegue del nuevo DNI?
– Sí. La FNMT está participando muy activamente. Afortunadamente, la “Fábrica” es uno de los actores que está con nosotros en el curso del proyecto de nuevo DNI.
 |
“Los certificados del DNI van firmados con RSA de 2.048 bits, y los ciudadanos pueden establecer dos cadenas de confianza, con SHA 1, si se encuentran con un entorno, y con SHA 2 si se encuentran con otro capaz de soportarlo” |
– ¿Está respondiendo adecuadamente la UTE ganadora del concurso de despliegue del DNI electrónico a las necesidades del proyecto?
– La UTE formada por Indra, Telefónica y Software AG está teniendo un comportamiento ejemplar en todos los órdenes. Le aseguro que su capacidad de trabajo, su conocimiento de las tecnologías involucradas, su respuesta ante la resolución de problemas y su capacidad de colaboración, no tienen tacha.
– ¿Qué retos se plantean hoy en relación con el despliegue del DNI electrónico?
– Hay un aspecto del proyecto que no es posible validar en este momento: el sistema de expedición. Aunque tenemos una gran experiencia en el DNI actual, muchos de los procesos con el nuevo son completamente diferentes, empezando porque ahora vamos a completar gran parte de la fabricación del DNI: el ciudadano va a entrar en la oficina de documentación y se va a llevar su DNI. Además hay un punto completamente distinto al actual documento, que es el proceso de personalización del chip. No lo es tanto el tratamiento de sus impresiones dactilares, si bien ahora con el documento tradicional se entintan, y con el nuevo se escanean... Por otra parte, merece la pena remarcar en lo concerniente al DNI electrónico el tratamiento dado a la biometría –se utiliza como un PUK, mediante una aplicación de Match on Card (MoC), para comparar la impresión dactilar obtenida del ciudadano en la propia tarjeta–. Ha sido un trabajo muy importante, pionero y con una participación muy alta en su diseño del Área de Informática. Como decía, este proceso –el de expedición– es el que hemos activado en Burgos, y nos hemos dado tres meses para madurar los posibles problemas que nos pueda plantear su despliegue a gran escala, y su solución. La idea es que en marzo de 2008 tengamos implantado el sistema de expedición en las 350 oficinas destinadas para ello en todo el territorio español.
Esto supone un esfuerzo financiero importante, y en los términos actuales lo tenemos ajustado a esas fechas que le indico. Pero si los presupuestos crecen y se redimensionan, podríamos acortar el tiempo de despliegue.
– Notará que le pregunto reiteradamente por la colaboración dada a la DGP por distintos actores. Y es que, efectivamente, y como ha dicho usted, el del nuevo DNI es un proyecto en el que todos hemos de arrimar el hombro. Y en este sentido hay una cuestión que debemos tratar: me refiero a la disposición de Microsoft en relación con esta iniciativa, ya que es la compañía cuyas herramientas están más cerca de los ciudadanos, y que tiene una gran importancia por el uso de los algoritmos SHA 1 o SHA 2 para función resumen y por la inclusión en el Explorer de la raíz del DNI.
– Microsoft ha colaborado lo necesario. Entiendo que esta compañía tiene su hoja de ruta, y en ella no se encontraba dar soporte a SHA 2 para las herramientas de usuario final en los tiempos requeridos por el nuevo DNI.
 |
“La utilidad que se le pueda ir dando con el paso del tiempo al nuevo DNI no sólo depende de los ciudadanos, sino de la posibilidad que tengan de usarlo en sus relaciones telemáticas” |
– ¿Qué confianza tienen en el aparato criptográfico del nuevo DNI?
– La tarjeta, que es el dispositivo seguro de creación de firma, está en proceso de certificación por el Centro Criptológico Nacional-CCN; la evaluación la está llevando a cabo el CESTI del INTA.
Por otra parte, y ante ciertas disfunciones de la tecnología y de la industria, hemos tenido que adaptar algunos aspectos definidos en el proyecto a la actual realidad. Me explico: la idea era que la tarjeta del ciudadano, que sí va con claves de 2.048 bits, llevase SHA 2, y no SHA 1. No ha sido posible, y la solución que hemos encontrado al problema ha sido adecuada: la CA va con claves de 4.096 bits, que es muy robusta, y con ella emitimos dos certificados, SHA 1 y SHA 2, con los que firmamos también las CAs intermedias, que hemos tenido que hacer con claves de 2.048 bits y no sólo de 4.096 bits porque ahí nos encontrábamos con escollos: uno, que los prestadores de servicios de certificación tenían problemas, y dos, que la tecnología de hardware criptográfico tampoco está preparada para trabajar con claves de tanta longitud (4.096 bits).
Por tanto, los certificados de los ciudadanos van firmados con RSA de 2.048 bits, lo que supone un salto cualitativo importante (hoy imperan de forma generalizada las claves de 1.024 bits), y pueden establecer las dos cadenas de confianza, con SHA 1, si se encuentran con un entorno, y con SHA 2 si se encuentran con otro capaz de soportarlo.
Esta es una situación transitoria, ya que esperamos que al final del 2007 o a más tardar en 2008, solamente se firme con SHA 2 y claves de 2.048 bits.
– ¿Han tenido contacto con otros proveedores de servicios de certificación españoles, como por ejemplo los autonómicos o los de registradores, notarios y Camerfirma?
– Sí, con los autonómicos: CatCert de Cataluña, ACCA de la Comunidad Valenciana e Izenpe, del País Vasco. Con otras iniciativas, como la de SCR, del Colegio de Registradores de España, la de Ancert, del Consejo General del Notariado, y Camerfirma no hemos tenido contactos hasta la fecha.
– Parece que en el ámbito estatal, el DNI electrónico cierra el círculo de grandes proyectos de amplitud global en lo que a certificación se refiere.
– Desde luego supone un paso decisivo, y como director tecnológico del mismo quisiera dejar constancia del esfuerzo y la dedicación de todos los expertos de los diversos organismos y entidades que han participado en su desarrollo en todo ámbito: ministerios, FNMT, AEPD, comunidades autónomas y corporaciones locales, los miembros de la UTE, Indra, Telefónica y Software AG, las compañías Safelayer y SIA, vinculadas con las tecnologías de certificación electrónica involucradas..., y muy especialmente del realizado por los equipos del Área de Informática de la DGP, que han demostrado una entrega y una competencia técnica dignas de los mayores elogios; sinceramente, son los mejores profesionales que nos podíamos haber encontrado para sacar adelante el nuevo DNI.
Fotografía: Jesús A. de Lucas