Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Descripción técnica de Cédula de Identidad Digital

Desde mayo de 2015, la DNIC emite la nueva Cédula de Identidad, que además de contar con mayores medidas de seguridad física, incorpora muchos elementos digitales para soportar la identificación de las personas en el mundo digital.

Descripción general

La nueva cédula está construida sobre policarbonato y es impresa con grabado láser, garantizando así la durabilidad deseada de 10 años, así como también imposibilitando el borrado o sustitución de datos en ella, dado que, en esencia, el policarbonato es quemado por el láser. Por otra parte, cuenta con medidas de seguridad de primer nivel, que son las visibles al ojo humano (por ejemplo, tramas guilloche y tinta OVI); medidas de segundo nivel, que son las visibles con instrumental específico como luz negra o microscopio (por ejemplo, microtexto y hologramas UV); y medidas de tercer nivel, que son las que requieren instrumental específico y que son solo conocidas por la DNIC.

A nivel digital, la cédula de los mayores de edad posee dos chips: uno visible y de contacto y uno no visible y de uso sin contacto. El chip sin contacto contiene el documento de viaje electrónico, conformante con la normativa ICAO para documentos de viaje electrónicos. Si bien no sustituye el pasaporte por las propias regulaciones de ICAO, sí provee una funcionalidad análoga al chip sin contacto de los nuevos pasaportes electrónicos, y permite realizar control migratorio automático en las estaciones que así lo permitan en los países a los que se permite viajar con la cédula (Sudamérica), como lo es en los eGates del Aeropuerto de Carrasco. El chip con contacto contiene aplicaciones destinadas a realizar identificación electrónica de las personas, pensadas para su uso en contextos de servicios electrónicos, tanto públicos como privados. En este sentido, cuenta con una funcionalidad para leer digitalmente todos los datos del titular (identificación), una para confrontar electrónicamente la huella de una persona contra la almacenada para ver si efectivamente es la dueña de la cédula (Match-On-Card) y un par de llaves y un Certificado Digital para realizar autenticación y firma electrónica avanzada de personas.

Frente de la cédula

Se puede observar debajo de la cara el logo que indica que el documento está habilitado como documento de viaje digital.

Dorso de cédula

En el dorso de la cédula se puede ver el chip de contacto.

Frente de cédula sin chip (menores)

Al no contar con chip sin contacto, la cédula de los menores no constituye un documento de viaje digital, por lo que no cuenta con el logo indicativo. En su lugar se puede observar la silueta de un ñandú como parte del arte del diseño.

Aplicaciones y usos del chip sin contacto

El chip sin contacto de la Cédula de Identidad Digital contiene la aplicación de documento de viaje digital. Dicha aplicación es completamente compatible con la especificación establecida en el documento ICAO 9303 para documentos de viaje digitales y con información biométrica, por lo que cualquier sistema que implemente la lectura de este tipo de documentos, incluyendo los eGates, podrá leer y validar la información de la persona de su Cédula de Identidad Digital de forma inalámbrica. Su uso está pensado para controles migratorios automáticos, en los que el sistema de control puede leer digitalmente los datos del viajero y mediante reconocimiento facial verificar que, efectivamente, es la persona que está queriendo pasar, autenticándolo completamente. Debido a que también lee información identificatoria de la persona, puede realizar cualquier control adicional que considere necesario, como verificación contra listas de habilitación para viajar por cualquier causa legal que aplique. Si bien el documento de viaje por excelencia es el pasaporte, que también es digital y posee la misma tecnología, la cédula puede ser usada como documento de viaje en Sudamérica y, por lo tanto, puede ser usada digitalmente también. Sin perjuicio de todo esto, se puede utilizar esta aplicación de documento de viaje para el fin que se desee, leyendo la información oportunamente con un lector sin contacto en cualquier sistema.

Para prevenir la lectura no autorizada de los datos, por ejemplo, por parte de un lector oculto en la calle, el chip cuenta con protección de tipo BAC (Basic Access Control). Dicho mecanismo consiste en que, para leer los datos, se debe presentar un secreto compartido. Según se indica en la propia especificación de ICAO, dicho secreto puede ser derivado de forma sencilla a partir de información que se encuentra impresa en el documento e incluso forma parte de la MRZ (Machine Readable Zone) y puede ser leída ópticamente por una máquina. Esto provoca que cuando se quiere voluntariamente leer digitalmente el documento, por ejemplo, en un control migratorio, el procedimiento es muy sencillo, pero hace imposible la lectura de los datos de forma oculta evitando así abusos sobre la privacidad de la persona. Adicionalmente, el chip cuenta con protección mediante Active Authentication, que básicamente consiste en que los datos estén firmados digitalmente por la autoridad emisora, en este caso DNIC, pero que además el chip cuente con una clave privada mediante la cual es posible autenticarlo y determinar así que no fue clonado.

Todas las funcionalidades y mecanismos de seguridad implementados en el chip sin contacto son completamente conformantes con ICAO 9303, por lo que su uso es estándar y pueden encontrarse recursos en abundancia para hacerlo. No obstante, en el siguiente link se encontrará documentación para hacerlo.

Aplicaciones y usos del chip con contacto

Se trata del chip visible de la cédula, el cual está conforme con la normativa ISO/IEC 7816 en todas sus secciones. Para acceder a él, es necesario un lector de tarjetas inteligentes estándar, que se puede conseguir en plaza, en terminales POS estándar (es la misma interfaz física que las tarjetas EMV) e incluso viene embebido en algunas computadoras personales.

Este cuenta con varias funcionalidades, que pueden ser agrupadas conceptualmente en tres aplicaciones:

• Identificación: Obtención de datos visibles en el plástico (menos la imagen de la huella e imagen de la firma) en formato digital, permitiendo así su lectura automática por parte de un sistema informático, evitando digitaciones y simplificando así procesos de registro.
• Match on Card: Confrontación biométrica de una huella capturada contra las huellas de la persona, almacenadas en el documento. Permite implementar la verificación fehaciente de que una persona es efectivamente la dueña de un documento de identidad determinaod, evitando así la validación humana tradicional de comparar la persona contra la foto impresa y reduciendo así notablemente el riesgo de suplantación de identidad.
• Autenticación y Firma Digital Avanzada: La cédula contiene un par de llaves y un certificado de Firma Digital Avanzada de Persona Física. Esta aplicación permite utilizarlo para realizar la Firma Electrónica Avanzada de un documento o realizar una autenticación fuerte utilizando ese par de llaves y el certificado. Su activación requiere el ingreso de un PIN, que es elegido por el usuario en el momento en que le entregan por primera vez el documento.

De acuerdo a la especificación ISO 7816, sección 4, la Cédula de Identidad Digital es utilizada desde una sistema al cual está conectada mediante el intercambio de comandos y respuestas APDU (Application Protocol Data Unit), por lo que cualquier uso de ella puede ser hecho intercambiando los comandos apropiados. La ventaja que ofrecen estos comandos es su flexibilidad, dado que se puede acceder directamente a cada función de la Cédula de Identidad a mucho más bajo nivel que las tres aplicaciones anteriormente mencionadas. La desventaja radica en que el nivel de complejidad es alto, dado que los comandos y respuestas son en esencia secuencias de Bytes con una estructura mínima, además de que necesario acceder al hardware directamente; por eso, se debe estar ejecutando en la máquina a la que está directamente conectada la CIe (máquina cliente en una arquitectura web o cliente-servidor). Cualquier otro tipo de driver, SDK, biblioteca, plugin o servicio que se mencione de aquí en lo sucesivo es implementado necesariamente en base a este conjunto de primitivas.

Identificación y match-on-card

Para las aplicaciones de Identificación y Match-on-Card, no se cuenta con ninguna SDK, biblioteca o servicio de más alto nivel al momento de la escritura del presente artículo (setiembre de 2016), por lo que su uso tiene que realizarse exclusivamente a través de APDU. Afortunadamente, la guía de uso y los ejemplos vinculados a continuación abarcan el uso de ambas funcionalidades.

• Uso de Cédula de Identidad Digital a través de APDU - Documentación de comandos APDU para el uso de la Cédula de Identidad Digital.
• eIDuy en github - Iniciativa abierta con ejemplos de uso de la CIe a través de APDU.

Autenticación y Firma Digital

La autenticación y la firma con la Cédula de Identidad Digital son procesos muy similares, debido a que se utilizan los mismos mecanismos tecnológicos subyacentes: criptografía asimétrica e infraestructura de claves públicas (PKI). Las funcionalidades de autenticación con Certificado Digital y Firma Electrónica Avanzada de documentos pueden ser realizadas a través de APDU (los instructivos anteriores cubren también estos casos), pero para estos casos se cuenta con varias alternativas más para la implementación en varios contextos, que hacen que sea notoriamente más sencilla.

La Firma Electrónica Avanzada es un mecanismo de firma de documentos digitales reconocido por la Ley Nº 18.600, del 21 de setiembre de 2009, como equivalente a la firma manuscrita tradicional, por lo que otorga las más altas garantías jurídicas para las transacciones electrónicas. Por más información general, ver Firma Electrónica Avanzada.

Como ya fue mencionado, la Cédula de Identidad Digital cuenta con un par de llaves y un certificado digital emitido por el Ministerio del Interior, que por ser una Autoridad Certificadora acreditada por la UCE constituye un certificado capaz de usarse para realizar Firmas Electrónicas Avanzadas. El proceso tecnológico de la firma consiste en realizar un hash del documento y firmarlo con la clave privada que se almacena en la Cédula de Identidad Digital, dejando el resultado de ese proceso asociado al documento como información utilizada para verificar su integridad y la identidad del firmante. En un nivel un poco más bajo, este proceso de firma buscará siempre hacer lo siguiente:

• Obtener el certificado de persona física de la tarjeta.
• Presentar el PIN del usuario a la tarjeta para activarla.
• Firmar digitalmente un hash del documento.
• Incluir el resultado de dicha firma, el certificado de la persona y, posiblemente, información adicional como parte del documento, de forma de posibilitar la posterior validación por quien lo reciba.

Si el receptor del documento logra validar su firma con el certificado, entonces puede tener la confianza de que el documento no fue modificado desde su firma y que el firmante es la persona cuyos datos figuran en el certificado.

La "autenticación" es el proceso mediante el cual un sistema se asegura de que el usuario con el que se está comunicando es, efectivamente, quien dice ser. No debe ser confundida con la "autorización", que es el proceso mediante el cual se determina qué cosas un usuario ya autenticado puede hacer en un determinado sistema (permisos). En este contexto, la autenticación con la Cédula de Identidad Digital refiere a los mecanismos que pueden ser implementados para que un usuario demuestre su identidad ante un sistema simplemente mediante la presentación de su cédula y su PIN. Esta se implementa esencialmente realizando una firma digital de un mensaje elegido aleatoriamente por el sistema que quiere realizar la autenticación; al validar que el usuario fue capaz de firmarlo, puede tener la confianza de que quien está del otro lado de la comunicación es la persona cuyos datos figuran en el certificado, logrando efectivamente autenticarla. La diferencia que tiene con la Firma Digital es que en la firma el contenido del documento firmado es relevante desde un punto de vista de negocio, mientras que en la autenticación lo que se firma es un challenge relevante solo en esa transacción y que es descartado.

En cualquiera de los casos descritos a continuación es necesario un lector de tarjetas inteligentes estándar; su eventual instalación queda fuera de alcance, debido a que esta es la manera en que el sistema se comunica con la tarjeta y a que la inmensa mayoría de lectores son Plug & Play en los sistemas operativos más usados.

APDU

Al igual que cualquiera de los mecanismos que implementa la cédula, la autenticación puede ser realizada accediendo directamente a las funciones de bajo nivel de la Cédula de Identidad Digital, enviando los comandos APDU correctos. Esta implementación es muy flexible, pero de complejidad alta, por lo que se recomienda su uso solo cuando ninguna de las otras alternativas es aplicable. En entornos de propósito específico, por ejemplo en dispositivos embebidos, cajeros automáticos o terminales de punto de venta (POS), este es el método preferido, ya que no se está en una red pública o entorno web para utilizar otros servicios, ni tampoco se cuenta con drivers o bibliotecas de más alto nivel. También se recomienda este uso en PC tradicionales cuando no existen drivers PKCS#11 para el sistema operativo en uso.

Ver Uso de Cédula Digital a través de APDU.

PKCS#11

PKCS#11 es una interfaz estándar para el acceso a dispositivos criptográficos y, por lo tanto, es una alternativa natural para implementar Firma Electrónica Avanzada con cualquier token o con la Cédula de Identidad Digital, ya que esta cuenta con drivers para funcionar como dispositivo PKCS#11. Por mayor información para su implementación, se recomienda ver Autenticación y Firma Avanzada a través de PKCS#11, considerando la Cédula de Identidad Digital como un dispositivo criptográfico cualquiera.

Servicio de autenticación con Cédula de Identidad Digital

Agesic cuenta con una plataforma para autenticación con Cédula de Identidad Digital como servicio, que ofrece facilidad de integración con aplicaciones por utilizar protocolos estándar y maduros para la integración y, al basarse en plugins y componentes de browser y ser específicamente diseñada para usar la Cédula de Identidad uruguaya, provee una experiencia de usuario de gran calidad.

Su funcionamiento esencial es sencillo: cuando una aplicación web quiere realizar la autenticación de una persona, en lugar de realizarla localmente la redirige a esta plataforma, delegando la autenticación efectiva del sujeto en ella. El protocolo de integración provee las garantías de integridad necesarias para que la aplicación en cuestión pueda estar segura que la persona fue efectivamente autenticada y hacerse de sus datos identificatorios básicos.

Las restricciones para su uso son que aplica solamente a aplicaciones web, y que los plugins son solo para versiones desktop de los navegadores, así que si bien se tiene un alto nivel de compatibilidad en PC y navegadores tradicionales, de momento no soporta los entornos Mobile. Las ventajas que ofrece usar esta plataforma son la simplicidad en la implementación y la experiencia del usuario final, por lo que es la opción recomendada siempre que aplique tecnológicamente.

Su documentación puede encontrarse en la página dedicada al Servicio de Autenticación con la Cédula de Identidad Digital.

Servicio de firma con Cédula de Identidad Digital 

Análogamente a la autenticación, Agesic cuenta con una plataforma que ofrece firma con Cédula de identidad digital como servicio. Esta también comparte las propiedades del servicio de autenticación (facilidad de implementación y experiencia de usuario), y su funcionamiento es análogo: se delega la firma en este servicio. La aplicación recibe el documento ya firmado y puede efectuar su validación para asegurarse de que todo está correcto.

Las restricciones y ventajas que ofrece son las mismas que para la autenticación, por lo que se recomienda su uso salvo cuando el entorno de los usuarios no sea compatible o no se quiera incurrir en una dependencia de un servicio externo. En esos casos, se recomienda implementar una solución propia, para lo cual se puede elegir alguna de las soluciones alternativas ya mencionadas.

Su documentación puede encontrarse en la página dedicada al Servicio de firma con la CéduIa de Identidad Digital.