Wiki

Cédula Electrónica

Desde mayo de 2015, la DNIC emite la nueva cédula de identidad, que además de contar con mayores medidas de seguridad física, incorpora muchos elementos electrónicos para soportar la identificación de los ciudadanos en el mundo digital.

Descripción General

La nueva cédula está construida sobre policarbonato y es impresa con grabado láser, garantizando así la durabilidad deseada de 10 años, así como también imposibilitando el borrado o sustitución de datos en la misma, dado que en esencia el policarbonato es quemado por el láser. Por otra parte, cuenta con medidas de seguridad de primer nivel, que son las visibles al ojo humano (ej. tramas guilloche y tinta OVI), medidas de segundo nivel, que son las visibles con instrumental específico como luz negra o microscopio (ej. microtexto y hologramas UV), y medidas de tercer nivel, que son las que requieren instrumental específico y que son sólo conocidas por la DNIC.

A nivel electrónico, la cédula de los mayores de edad posee dos chips, uno visible y de contacto y uno no visible y de uso sin contacto. El chip sin contacto contiene el documento de viaje electrónico, conformante con la normativa ICAO para documentos de viaje electrónicos. Si bien no sustituye el pasaporte por las propias regulaciones de ICAO, sí provee una funcionalidad análoga al chip sin contacto de los nuevos pasaportes electrónicos, y permite realizar control migratorio automático en las estaciones que así lo permitan en los países a los que se permite viajar con la cédula (Sudamérica), como lo es en los eGates del Aeropuerto de Carrasco. El chip con contacto contiene aplicaciones destinadas a realizar identificación electrónica de las personas, pensadas para su uso en contextos de servicios electrónicos, tanto públicos como privados. En este sentido, cuenta con una funcionalidad para leer electrónicamente todos los datos del titular (Identificación), una para confrontar electrónicamente la huella de una persona contra la almacenada para ver si efectivamente es el dueño de la cédula (Match-On-Card) y cuenta con un par de llaves y un certificado electrónico para realizar autenticación y firma electrónica avanzada de personas.

Frente de cédula

​​​​​​​

Se puede observar debajo de la cara el logo que indica que el documento estás habilitado como documento de viaje electrónico.

Dorso de cédula

En el dorso de la cédula se puede ver el chip de contacto.

Frente de cédula sin chip (menores)

​​​​​​​

Al no contar con chip sin contacto, la cédula de los menores no es un documento de viaje electrónico, por lo que no cuenta con el logo indicativo. En su lugar se puede observar la silueta de un ñandú como parte del arte del diseño.

Aplicaciones y Usos del chip sin contacto

El chip sin contacto de la CI electrónica contiene la aplicación de documento de viaje electrónico. Dicha aplicación es completamente compatible con la especificación establecida en el documento ICAO 9303 para documentos de viaje electrónicos y con información biométrica, por lo que cualquier sistema que implemente la lectura de este tipo de documentos, incluyendo los eGates, podrá leer y validar la información de la persona de su CI electrónica en forma inalámbrica. Su uso está pensado para controles migratorios automáticos, en los que el sistema de control puede leer electrónicamente los datos del viajero y mediante reconocimiento facial verificar que efectivamente es la persona que está queriendo pasar, autenticándolo completamente. Debido a que también lee información identificatoria de la persona, puede realizar cualquier control adicional que considere necesario, como verificación contra listas de habilitación para viajar por cualquier causa legal que aplique. Si bien el documento de viaje por excelencia es el pasaporte, que también es electrónico con la misma tecnología, la CI puede ser usada como documento de viaje en sudamérica y por lo tanto puede ser usada electrónicamente también. Sin perjuicio de todo esto, se puede además utilizar esta aplicación de documento de viaje para el fin que se desee, leyendo la información oportunamente con un lector sin contacto en cualquier sistema.

Para prevenir la lectura no autorizada de los datos, por ejemplo por parte de un lector oculto en la calle, el chip cuenta con protección de tipo BAC - Basic Access Control. Dicho mecanismo consiste en que para leer los datos se debe presentar un secreto compartido. Según se indica en la propia especificación de ICAO, dicho secreto puede ser derivado de forma sencilla a partir de información que se encuentra impresa en el documento, e incluso forma parte de la MRZ (Machine Readable Zone) y puede ser leído ópticamente por una máquina. Esto provoca que cuando se quiere voluntariamente leer electrónicamente el documento, por ejemplo en un control migratorio, el procedimiento es muy sencillo, pero hace imposible la lectura de los datos de forma oculta evitando así abusos sobre la privacidad de la persona. Adicionalmente, el chip cuenta con protección mediante Active Authentication, que básicamente consiste en que los datos estén firmados electrónicamente por la autoridad emisora, en este caso DNIC, pero que además el chip cuente con una clave privada mediante la cual es posible autenticarlo, y determinar así que no fue clonado.

Todas las funcionalidades y mecanismos de seguridad implementados en el chip sin contacto son completamente conformantes con ICAO 9303, por lo que su uso es estándar y pueden encontrarse recursos en abundancia para hacerlo. No obstante, en el siguiente link se encontrará documentación para hacerlo. Documento de Viaje Electrónico (ICAO)

Aplicaciones y Usos del chip con contacto

Se trata del chip visible de la cédula, y es un chip conformante con la normativa ISO/IEC 7816 en todas sus secciones. Para acceder al mismo, es necesario un lector de tarjetas inteligentes estándar, que se puede conseguir en plaza, en terminales POS estándar (es la misma interfaz física que las tarjetas EMV) e incluso viene embebido en algunas computadoras personales.

Este cuenta con varias funcionalidades, que pueden ser agrupadas conceptualmente en tres aplicaciones:

  • Identificación: Obtención de datos visibles en el plástico (menos la imagen de la huella e imagen de la firma) en formato electrónico, permitiendo así la lectura automática de los mismos por parte de un sistema informático, evitando digitaciones y simplificando así procesos de registro por ejemplo.
  • Match on Card: Confrontación biométrica de una huella capturada contra las huellas de la persona, almacenadas en el documento. Permite implementar la verificación fehaciente de que una persona es efectivamente la dueña de un documento de identidad dado, evitando así la validación humana tradicional de comparar la persona contra la foto impresa, y reduciendo así notablemente el riesgo de suplantación de identidad.
  • Autenticación y Firma Electrónica Avanzada: La cédula contiene un par de llaves y un certificado de Firma Electrónica Avanzada de Persona Física. Esta aplicación permite utilizarlo para realizar la firma electrónica avanzada de un documento o realizar una autenticación fuerte utilizando ese par de llaves y certificado. Su activación requiere el ingreso de un PIN que es elegido por el usuario en el momento en que le entregan por primera vez el documento.

De acuerdo a la especificación ISO 7816, sección 4, la cédula electrónica es utilizada desde una sistema al cual está conectada mediante el intercambio de comandos y respuestas APDU (Application Protocol Data Unit), por lo que cualquier uso de la misma puede ser hecho intercambiando los comandos apropiados. La ventaja que ofrecen estos comandos es la flexibilidad, dado que se puede acceder directamente a cada función de la CI, a mucho más bajo nivel que las tres aplicaciones anteriormente mencionadas. La desventaja radica en que el nivel de complejidad es alto, dado que los comandos y respuestas son en esencia secuencias de Bytes con una estructura mínima, además de que necesario acceder al hardware directamente, por lo que se debe estar ejecutando en la máquina a la que está directamente conectada la CIe (máquina Cliente en una Arquitectura Web o Cliente-Servidor). Cualquier otro tipo de Driver, SDK, biblioteca, plugin o servicio que se mencione de aquí en más es implementado necesariamente en base a este conjunto de primitivas.

Identificación y Match-On-Card

Para las aplicaciones de Identificación y Match-on-Card, no se cuenta con ninguna SDK, biblioteca o servicio de más alto nivel al momento de la escritura del presente artículo (Set-2016), por lo que su uso tiene que ser a través de APDU exclusivamente. Afortunadamente, la guía de uso y los ejemplos vinculados aquí abajo abarcan el uso de ambas funcionalidades.

Autenticación y Firma Electrónica

La autenticación y la firma con la CI electrónica son procesos muy similares, debido a que se utilizan los mismos mecanismos tecnológicos subyacentes: criptografía asimétrica e infraestructura de claves públicas (PKI). Las funcionalidades de autenticación con certificado electrónico y firma electrónica avanzada de documentos pueden ser realizadas a través de APDU por supuesto (los instructivos anteriores cubren estos casos también), pero para estos casos se cuenta con varias alternativas más para la implementación en varios contextos, que hacen que la misma sea notoriamente más sencilla.

La Firma Electrónica Avanzada es un mecanismo de firma de documentos electrónicos, reconocido por la Ley Nº 18.600 del 21 de setiembre de 2009 como equivalente a la firma manuscrita tradicional, por lo que otorga las más altas garantías jurídicas para las transacciones electrónicas. Por más información general ver Firma Electrónica Avanzada.

Como ya fue mencionado, la CI electrónica cuenta con un par de llaves y un certificado electrónico emitido por el Ministerio del Interior, que por ser éste una Autoridad Certificadora acreditada por la UCE, constituye un certificado capaz de usarse para realizar Firmas Electrónicas Avanzadas. El proceso tecnológico de la firma electrónica consiste en realizar un hash del documento y firmarlo con la clave privada que se almacena en la CI electrónica, dejando el resultado de ese proceso asociado al documento como información utilizada para verificar integridad del mismo y la identidad del firmante. En un poco más bajo nivel, este proceso de firma buscará siempre hacer lo siguiente:

  • Obtener el certificado de persona física de la tarjeta
  • Presentar el PIN del usuario a la tarjeta para activarla
  • Firmar digitalmente un hash del documento
  • Incluir el resultado de dicha firma, el certificado de la persona y posiblemente información adicional como parte del documento, de forma de posibilitar la posterior validación por quien lo reciba.

Si el receptor del documento logra validar la firma del mismo con el certificado, entonces puede tener la confianza de que el documento no fue modificado desde su firma, y que el firmante es la persona cuyos datos figuran en el certificado.

La autenticación es el proceso mediante el cual un sistema se asegura que el usuario con el que se está comunicando es efectivamente quien dice ser. No debe ser confundida con la Autorización, que es el proceso mediante el cual se determina qué cosas un usuario ya autenticado puede hacer en el sistema dado (permisos). En este contexto, la autenticación con la CI electrónica refiere a los mecanismos que pueden ser implementados para que un usuario demuestre su identidad ante un sistema simplemente mediante la presentación de su cédula y su PIN. Esta se implementa esencialmente realizando una firma electrónica de un mensaje elegido aleatoriamente por el sistema que quiere realizar la autenticación, y al validar que el usuario fue capaz de firmarlo, puede tener la confianza de que quien está del otro lado de la comunicación es la persona cuyos datos figuran en el certificado, logrando efectivamente autenticarla. La diferencia que tiene con la firma electrónica es que en la firma el contenido del documento firmado es relevante desde un punto de vista de negocio, mientras que en la autenticación lo que se firma es un challenge relevante sólo en esa transacción y que es descartado.

En cualquiera de los casos descritos a continuación es necesario un lector de tarjetas inteligentes estándar, y su eventual instalación queda fuera de alcance, puesto que esta es la manera en que el sistema se comunica con la tarjeta, y que la inmensa mayoría de lectores son Plug & Play en los sistemas operativos más usados.

APDU

Al igual que cualquiera de los mencanismos que implementa la cédula, la autenticación puede ser realizada accediendo directamente a las funciones de bajo nivel de la CIe, enviando los comandos APDU correctos. Esta implementación es muy flexible, pero de complejidad alta, por lo que se recomienda su uso sólo cuando ninguna de las otras alternativas es aplicable. En entornos de propósito específico, por ejemplo en dispositivos embebidos, cajeros automáticos o terminales de punto de venta (POS), este es el método preferido, ya que no se está en una red pública o entorno web para utilizar otros servicios, ni tampoco se cuenta con drivers o bibliotecas de más alto nivel. También se recomienda este uso en PC tradicionales cuando no existen drivers PKCS#11 para el sistema operativo en uso.

Ver Uso de Cédula Electrónica a través de APDU.

PKCS#11

PKCS#11 es una interfaz estándar para el acceso a dispositivos criptográficos, y por lo tanto es una alternativa natural para implementar firma electrónica avanzada con cualquier token o con la CI Electrónica, ya que esta cuenta con drivers para funcionar como dispositivo PKCS#11. Por más información para su implementación se recomienda ver Autenticación y Firma Avanzada a través de PKCS#11, considerando a la CI Electrónica como un dispositivo criptográfico cualquiera.

Servicio de Autenticación con CI Electrónica

AGESIC cuenta con una plataforma para autenticación con CI electrónica como servicio, que ofrece facilidad de integración con aplicaciones por utilizar protocolos estándar y maduros para la integración y, al basarse en plugins y componentes de browser y ser específicamente diseñada para usar la CI uruguaya, provee una experiencia de usuario de gran calidad. Su funcionamiento esencial es sencillo: Cuando una aplicación web quiere realizar la autenticación de una persona, en lugar de realizarla localmente, redirige a la misma a esta plataforma delegando la autenticación efectiva del sujeto en ella. El protocolo de integración provee las garantías de integridad necesarias para que la aplicación en cuestión pueda estar segura que la persona fue efectivamente autenticada y hacerse de sus datos identificatorios básicos.

Las restricciones para su uso son que aplica solamente a aplicaciones web, y que los plugins son sólo para versiones desktop de los navegadores, así que si bien se tiene un alto nivel de compatibilidad en PC y navegadores tradicionales, de momento no soporta los entornos Mobile. Las ventajas que ofrece usar esta plataforma son la simplicidad en la implementación y la experiencia del usuario final, por lo que es la opción recomendada siempre que aplique tecnológicamente.

La documentación de la misma puede encontrarse en la página dedicada al Servicio de Autenticación con la CI Electrónica.

Servicio de Firma con CI Electrónica

Análogamente a la autenticación, AGESIC cuenta con una plataforma que ofrece firma con CI electrónica como servicio. Esta también comparte las propiedades del servicio de autenticación (facilidad de implementación y experiencia de usuario), y su funcionamiento es análogo: se delega la firma en este servicio. La aplicación recibe el documento ya firmado, y esta puede efectuar la validación del mismo para asegurarse que todo está correcto.

Las restricciones y ventajas que ofrece son las mismas que para la autenticación, por lo que se recomienda su uso salvo cuando el entorno de los usuarios no sea compatible y cuando no se quiera incurrir en una dependencia de un servicio externo. En esos casos se recomienda implementar una solución propia, para lo cual se puede ir por alguna de las soluciones alternativas ya mencionadas.

La documentación de la misma puede encontrarse en la página dedicada al Servicio de Firma con la CI Electrónica.  

5134 Accesos
Promedio (1 Voto)