Después del Artículo 13 que ordena los filtros de carga, la Comisión Europea tiene otra propuesta desacertada: ahora quieren que los datos biométricos en las tarjetas de identificación sean obligatorios para todos los estados miembros .

Lucha contra el terrorismo, seguridad, bla, bla ... No dudo que puedan estar bien, pero los detalles técnicos son demasiado complicados para que el político promedio los comprenda (y nuestros políticos son muy promedio, si puedo citar "Sí, Ministro").

Cuando era asesor del viceprimer ministro búlgaro, realicé una investigación exhaustiva sobre los documentos de identidad, ya que estábamos cambiando la legislación búlgara y teníamos que decidir si estaba bien tener o no tarjetas de identificación biométricas (decidimos hacer que optaran por ellas). en, lo que significaría que prácticamente nadie elegiría esa opción). Y he enumerado los muchos problemas con los documentos electrónicos de viaje legibles por máquina (eMRTD)pero permítanme hacer una descripción simplificada de por qué el estándar de la OACI es malo (y muchos de los investigadores de seguridad, cuyos documentos he citado en el artículo vinculado) me unen en esta opinión: los certificados y claves utilizados para leer las huellas dactilares en los documentos se almacenan en el equipo terminal (automático o no) y se rotan con frecuencia, porque si tienen fugas (y pueden tener fugas), entonces cada pasaporte en el mundo se puede leer con la única clave filtrada. Y el hecho de que se roten con frecuencia (lo que significa que son inválidos después de un día o dos) no ayuda, porque las fichas en los pasaportes no tienen relojes. Si no se validan a menudo, se vuelven obsoletos y las huellas dactilares se pueden leer con claves cuyos certificados han expirado hace mucho tiempo.

"Pero el chip es NFC y solo se puede leer muy cerca", puede decir. Incorrecto. Hay equipo (que es fácil y barato de fabricar) que cabe en una mochila que puede leer hasta unos pocos metros. En la práctica, camina por el metro / metro y recoge huellas dactilares. No es que trivial, por supuesto, requiere algunos conocimientos fuerza bruta y el perfeccionamiento del protocolo de la OACI (supongo que lo que - chips no pueden evitar ataques de fuerza bruta), pero es factible.

Hasta ahora he hablado de pasaportes. Lo bueno de ellos es que no los llevas contigo a menos que vueles fuera de la UE. Muy pocas personas tendrán sus pasaportes en un momento dado. Todavía son vulnerables en los escenarios de "entrenar al aeropuerto", pero los pasaportes se validan con más frecuencia porque los usa para cruzar fronteras.

Las tarjetas de identificación no tienen ninguno de estos beneficios. Los llevas todo el tiempo y nunca pasan por inspecciones fronterizas (al menos en el área de Schengen). Así que casi siempre tienen relojes añejos.

Además, algunos países pueden decidir crear una base de datos de huellas digitales cuando recopilan las huellas dactilares de los ciudadanos para emitir el documento. Esta base de datos, sin importar cuán bien protegida, pueda tener fugas en algún momento. No se requiere técnicamente tener la base de datos al momento de emitir los documentos (puede escribir la huella digital en el chip y luego descartarla), pero algunos países inevitablemente los almacenarán a menos que estén explícitamente restringidos.

¿Qué puede pasar si alguien tiene su huella digital? Fue un poco desalentador cuando (en una conferencia) un experto en pasaportes respondió a mis inquietudes con "bueno, no puede pasar nada malo si alguien obtiene su huella dactilar, puedo obtener su huella digital del cristal que está sosteniendo". Puedes, pero no será de alta resolución y no te permitirá hacer huellas dactilares falsas perfectas (y sí, es bastante fácil hacer huellas dactilares falsas, y la identificación solo con huellas dactilares es una idea horrible ). E incluso si pudiera hacer una huella dactilar falsa, no podrá automatizar fácilmente el proceso si usó anteojos.

¿Pero qué puedes hacer con eso? Un par de cosas para empezar - desbloquear los teléfonos robados, desbloquear las puertas de acceso (incluyendo puertas de casas - hay cerraduras de huellas digitales que ya están en el mercado). Al desbloquear un teléfono robado, usted tiene acceso a todo - de correo electrónico (que puede ser utilizado para acceder a la mayoría de los servicios), el segundo factor en la mayoría de las autenticaciones de 2 factores, por la banca electrónica, por ejemplo. Lo peor es que no puedes cambiar tu huella digital. Y todo lo que dependa de él quedará comprometido para siempre. Tu próximo teléfono inteligente. Y el que está después. No hay una opción de "huella dactilar invalidada".

El argumento de la protección de datos en general y los derechos humanos también está aquí - Vistas las bases de datos (ya sea en el centro o ilegalmente filtró recogido) de los datos biométricos es distópica. Y mal. Período.

Pero ... pero ... ¿contraterrorismo? Ah, sí, vamos a eso. Las huellas dactilares no ayudarán. Me encantaría ver algunos análisis y modelos de amenazas cuando se publique la propuesta, pero no creo que las huellas dactilares resuelvan ningún problema real.

Entonces, ¿cuáles son los escenarios potenciales? Un terrorista falsifica un documento, un terrorista obtiene un documento falso de un estado delincuente / comprometido, un terrorista roba un documento. Veamos si las huellas dactilares en el documento ayudan y si se necesitan en cada escenario. Pero primero una aclaración: las huellas dactilares en el documento serían necesarias para verificar que el titular del documento es en realidad la persona a la que se emitió el documento originalmente. Combina las huellas dactilares del titular con las huellas dactilares del documento. Esto es lo único que las huellas dactilares de un documento son útiles. Asi que:

  • un terrorista falsifica un documento; si los documentos tienen datos electrónicos en él, firmados con la clave privada del país emisor, nadie puede crear un documento falso porque no aprobará la validación de la firma. No necesita huellas dactilares para eso, puede firmar el nombre y la fecha de nacimiento.
  • un terrorista recibe un documento falso de un estado delincuente / comprometido; si un terrorista puede tener un documento emitido con una clave privada genuina de un país real, puede emitir un documento perfectamente válido con un nombre falso con las huellas dactilares reales y la huella dactilar aprobada verificación. ¿Qué hay de comprobar las huellas dactilares contra una base de datos? Bueno, no los necesitas en el documento; tienes a la persona frente a ti, de todos modos dando sus huellas digitales para su inspección.
  • un terrorista roba un documento; en ese caso, al inspeccionarlo, las huellas dactilares del documento no coincidirán con las de la persona. Entonces tal vez este es el uso real? Bueno, tampoco los necesitas aquí. Está la foto (que no tengo objeciones a que esté almacenada) que también debería coincidir. Sí, tanto las inspecciones automáticas como las humanas pueden engañarse con personas de aspecto similar, pero ¿qué tan probable es? Además, los documentos robados y perdidos normalmente se informan (aunque no todos) y se pueden / pueden distribuir en las bases de datos centrales de documentos no válidos.

Solo en el último caso hay espacio para huellas dactilares. Pero, ¿cuándo se haría la inspección? En Airpoirts: al llegar puedes pasar por puertas automáticas y usar huellas dactilares falsas de todos modos, así que no es algo que estés resolviendo. En el momento de la partida, de todos modos se lo revisa en busca de artículos peligrosos, por lo que, incluso con un documento falso, no debería poder colgar un avión. Recuerdo una vez más que en Schengen no hay controles fronterizos, por lo que la única forma en que alguien puede inspeccionar sus tarjetas de identificación sería que los agentes de policía patrullen las estaciones de tren y autobús y pidan a desconocidos que den sus huellas dactilares. Lo que significa que tendrán que llevar lectores de huellas dactilares (con la clave de corta duración + certificado).

Cuando estaba en el gabinete enviamos a la OACI y a la Comisión Europea la mayoría de las preocupaciones mencionadas. Las respuestas que obtuvimos fueron ... decepcionantes. La Comisión respondió: "Hasta ahora no hemos tenido problemas". Mejor. Seguridad. Enfoque. Nunca. "No hemos tenido problemas, por lo tanto, es seguro". No.

La OACI mostró más comprensión y respondió "Gracias, ¿pueden recomendarme un experto para un grupo de trabajo?" (No lo hicimos por varias razones fuera del alcance de este artículo).

Esto me lleva al problema más grande con la legislación que requiere experiencia técnica. Las decisiones políticas deben tomarse teniendo en cuenta los detalles. La "visión general" y el "resumen ejecutivo" no son suficientes cuando se trata de afectar a millones de ciudadanos.

Espero que me esté perdiendo algo. Pero mi corazonada es que todo esto es una tontería que, afortunadamente, será asesinado por el Parlamento Europeo.

ATENCIÓN - Tienes que ser miembro de Amigosdelamili.com para poder participar y escribir con los demás.

PINCHA AQUÍ Y ÚNETE YA A Amigosdelamili.com

Votos 0
Enviarme un correo electrónico cuando me contesten –