[Solar-general] soft libre en el estudio de los nuevos DNI

Vie Jun 18 21:53:26 CEST 2004

Enrique

he reenviado tu mail, a la gente que lo envio, que igual creo que esta suscripta

> Necesitamos _con_urgencia_ crear una organizacion con alcance
> y objetivos similares a la EFF (Electronic Frontier Foundation)
>  o al EPIC (Electronic Privacy Information Center) para dar la
> pelea en este pais. Actuemos antes de que sea demasiado tarde...
> Ideas? Aportes?
> 

¿No sos parte de un capitulo de EFF o EPIC aca?, tenia esa idea, pero no estoy
seguro. Porque no reflotas eso, para no inventar otro, y te apoyamos, nos
anotamos muchos en el tema y le damos peso. Personalmente no conozco demasiado
de ese tema, si bien me intersa, pero podemos seguirte y apoyarte varios con
la cosa. Otra posibilidad es armar una pata de solar especifica y trabajar
desde ahi, pero quizas convenga que no se mezcle "organicamente" el tema soft
libre y seguridad, pues por abajo estan 100% vinculados.

On Fri, 18 Jun 2004 13:32:04 -0300, Enrique A. Chaparro wrote
> On Fri, 18 Jun 2004 12:45:50 -0300
> spyd <spyd en presidencia.gov.ar> wrote:
> 
> S> perdon por lo extenso.
> S> -----------------------
> Perdonado, Pedro. La noticia valia la pena ;)
> Aunque el periodista se mando la bruta gaffe de "software libre o
> sin licencia". De hecho, salvo que se halle en el dominio publico,
> un software sin licencia no puede jamas ser libre (porque se
> aplicarian automaticamente los principios de exclusividad del
> derecho de autor).
> 
> Pero el motivo de mi respuesta es otro:
> 
> S>  La novedad es la
> S> incorporación de un registro de huellas digitales y rastros faciales
> S> que serán digitalizadas y conformarán la base de los nuevos documentos
> S> nacionales de indentidad (DNI). Esta nueva tecnología está siendo
> S> desarrollada por especialistas que trabajan en el Ministerio del
> S> Interior. 
> [...snip...]
> S> Para controlar estos problemas se implementarán
> S> patrones biométricos de comparación. El principal patrón que se
> S> utilizará es el de comparación de huellas dactilares que utiliza 
> la S> tecnología AFIS (Automated Fingerprint Identification Systems) 
> que S> genera un mapa de las huellas de los dedos y permite comparar 
> y S> verificar la identidad de una personas. También se utilizarán, aunque
> S> en un segundo plano, sistemas de comparación facial sobre fotografía
> S> que verifican puntos específicos.
> [...snip...]
> S> "Sólo vamos a tener que
> S> comparar los elementos de comparación biométrica, porque hacerlos 
> nos S> tomaría varios años", aclaró. El funcionario no anticipó 
> cuando S> comenzarán a implementarse estas tecnologías pero aseguró 
> que antes de S> fin de año se va a comenzar en el relevamiento de 
> los datos.
> 
> Puesto que el desacuerdo de fondo (``Debe haber un documento de identidad
> unico y compulsivo para todos los habitantes de un pais?'') resulta
> abstracta[1], pues a fin de cuentas tenemos uno, parece razonable que
> ese documento sea lo mas `integro' posible. Ahora bien, me pregunto 
> si el Ministerio del Interior ha analizado adecuadamente las implicaciones
> de lo que se propone en terminos del respeto a la privacidad de los
> habitantes de la Nación, de la protección de sus derechos fundamentales
> y, particularmente, de los que surgen de la Ley 25326.
> 
> Me parece fundamental dar un debate publico temprano sobre la cuestion.
> Ejemplo de las cuestiones a discutir:
> - Es necesaria la informacion biométrica (no me parece que lo sea, y 
>   en principio me opongo a menos que alguien tenga una buena demostracion
>   en contrario):
> - Que criterios se usaran respecto de los `falsos negativos' y los
>   `falsos positivos'  en las mediciones biometricas[2];
> - Que medidas de seguridad se emplearan para evitar la apropiacion
>   indebida de informacion;
> - Seguramente a algun neurotico totalitario ya se le ocurrio 
> almacenar  todos los datos biometricos en una base central. Aunque 
> espero que  esta postura stalinista/orwelliana no haya progresado... 
> como se  evita ese peligro latente?[3]
> 
> Una reflexion adicional: en la Argentina hay profesionales de primer
> nivel en varias areas de la seguridad[4] de los sistemas de 
> informacion (mas otra buena cantidad de argentinos en el exterior,
> como Martin Abadi, Krawczyk, Garay...). Lo se porque, sin falsa
> modestia, pertenezco a ese grupo. Sin embargo, cada vez que a un
> organismo oficial se le ocurre hacer algo, reinventa la rueda 
> (y para peor, haciendola triangular) en lugar de consultarlos[5].
> Y muchos lo hariamos hasta gratis, por el simple honor de que
> nuestro pais reconozca que con algun proposito nos pelamos el
> culo y las pestañas...
> 
> Y una reflexión final: Por intención, por estupidez, por error
> involuntario, o por no importa que razon, asistimos dia a dia
> a una ofensiva contra los derechos de las personas en la `sociedad
> de la información': proyectos de delitos informaticos, proyectos
> de voto electronico, proyectos de identificacion como este.
> Necesitamos _con_urgencia_ crear una organizacion con alcance
> y objetivos similares a la EFF (Electronic Frontier Foundation)
>  o al EPIC (Electronic Privacy Information Center) para dar la
> pelea en este pais. Actuemos antes de que sea demasiado tarde...
> Ideas? Aportes?
> 
> Saludos,
> 
> Enrique
> 
> Notas:
> 
> [1] Muchos paises se las han arreglado perfectamente sin un documento
> nacional de identidad. En Dinamarca, por ejemplo, cada tanto a 
> alguien se le ocurre la `maravillosa idea' de implantarlo: hasta 
> ahora, todas las tentativas han fracasado estrepitosamente a traves 
> de referendums. Mi posicion personal es que un documento de 
> identidad `generalizado', como nuestro DNI, le da al Estado 
> potestades de control innecesarias para este y perjudiciales para la 
> privacidad de las personas.
> 
> [2] Tengase en cuenta que una tasa de error de 0,01% deja `en el
> limbo' a cerca de 4000 personas.
> 
> [3] Es perfectamente posible usar datos biométricos para validar
> identidad/autorizacion sin necesidad de almacenarlos en ningun
> repositorio central. El sistema INS-Pass que se usaba para viajeros
> frecuentes a Estados Unidos trabajaba de ese modo (con algunas
> potenciales fallas de seguridad que pueden corregirse sencillamente).
> El sujeto a identificar tiene una smartcard, donde estan grabados
> los datos biometricos (y eventualmente otros), firmados con la clave
> publica del organismo identificante y cifrados con una clave que
> escoge el usuario y puede cambiar a voluntad (en realidad, un PIN
> `largo' que descifra otra clave generada al azar guardada en una
> region de memoria de la smartcard no accesible desde un lector
> externo). La firma sirve para que nadie altere los datos (que
> sin embargo pueden ser verificados públicamente) y el PIN para
> que nadie se apropie de los datos sin consentimiento del titular.
> Para identificarse coloca su tarjeta en un lector, ingresa su PIN, 
> y coloca su dedo en un lector de huellas digitales: si las lecturas
> coinciden, hay una probabilidad muy alta de que sea quien dice ser
> (o un falso positivo con mucha suerte).
> 
> [4] Seguridad y privacidad son hermanas siamesas. Solo los fascistas
> no lo comprenden.
> 
> [5] Ejemplos sobran. Todo el mundo sabe que las firmas digitales son
> un artilugio criptografico. Ahora bien, la `Coi^Hmision Asesora para 
> la Infraestructura de Firma Digital' (Decreto 160/2004) no tiene un 
> solo especialista en criptografia. Bah! esto no es lo peor... lo 
> peor es que 4 de los 7 miembros estan directa o indirectamente 
> ligados a la entidad certificante Certisur (Verisign). Pero eso es 
> harina de otro costal...
> 
> -- 
> ``Izena duen guzia omen da.''

-- 
Diego Saravia 
dsa en unsa.edu.ar