Varios expertos españoles en criptografía participan en proyectos europeos

Los países que han implantado el nuevo pasaporte electrónico, los de la Unión Europea, Estados Unidos y Canadá, deberán intercambiar cada tres meses los certificados digitales de las máquinas lectoras en puestos aduaneros y aerolíneas, según explicó Jordi Iñigo, jefe de desarrollo de software de la empresa Safelayer, durante la IX Reunión Española sobre Criptología y Seguridad de la Información, celebrada en Barcelona.

Safelayer participa en el proyecto de pasaporte electrónico español de la mano de Indra, integradora de toda la solución tecnológica para el Ministerio de Interior. Safelayer ha participado en el software que gestiona las autoridades de certificación y el mecanismo que coordina la interacción entre los diferentes países desde la parte española.

Un reglamento de la Unión Europea obliga a todos los estados miembros a expedir el pasaporte electrónico, que ya se emite en las comisarías españolas. Incluye un chip de radiofrecuencia (RFID), que se lee y alimenta desde el puesto de lectura. Los pasaportes electrónicos, que serán obligatorios en todos los vuelos a Estados Unidos desde el 26 de octubre, responden a la normativa de la International Civil Aviation Organization.

A diferencia del DNI electrónico, este pasaporte no contiene claves criptográficas del individuo. La actual versión del pasaporte electrónico incluye una contraseña escrita en una banda de lectura automática, paso imprescindible para que el chip permita su lectura, según fuentes de Indra. En la siguiente fase no será necesario.

El despertar español

La criptología aúna el diseño de algoritmos de cifrado (critpografía) y el criptoanálisis (se analizan sus debilidades y cómo romper esos códigos). La criptología española tiene buena salud y ya ha dado sus primeros frutos empresariales con empresas surgidas del mundo académico, como Safelayer o Scytel, esta última creadora de plataformas de votación electrónica confiables.

"En España se vive un momento dulce en criptografía", dice el investigador Jorge Ramió, de la Universidad Politécnica de Madrid, creador de la red latinoamericana Criptored. "La Ley Orgánica de Protección de Datos es una de las responsables de haber creado una mayor necesidad en el mercado". En Barcelona se han visto muchas propuestas, "pero poco análisis de riesgo o de recuperación de desastres", asignaturas pendientes de los investigadores, "aunque cada vez se tiende a crear más aplicaciones reales en criptografía".

La criptografía es muy bonita, pero es docencia pura: "Si alguien quiere tener un desarrollo profesional fuerte debe dedicarse a las intrusiones, los tests de penetración de sistemas o el hacking ético".

A la conferencia, de carácter bienal, se presentaron 63 comunicaciones científicas, y contó con la presencia de expertos internacionales como el israelí Moni Naor. La cita es la antesala del congreso europeo Eurocrypt 2007, que por segunda vez recalará en España. "Los servicios de seguridad en Internet tienen debajo un componente matemático, la criptografía; pero no es fácil trasladar la teoría a la práctica y este tipo de congresos permite ver ambas perspectivas, aunque los trabajos tarden en introducirse en aplicaciones útiles para el ciudadano", afirma Javier López, coordinador del próximo Eurocrypt.

López trabaja en sistemas de intermediación de comercio electrónico y en la delegación de privilegios entre usuarios de sistemas informáticos, algo muy problemático cuando por ejemplo dos personas conceden derechos contradictorios a un tercero. Con la UPC y la Carlos III participa en el proyecto europeo Ubisec para asegurar entornos ubicuos que van identificando al usuario.

Amparo Fuster, investigadora del CSIC, también opina que la criptografía está bastante confinada en el ambiente académico. La reunión europea de criptólogos de 1996 en Zaragoza "fue un espaldarazo para la comunidad española y la del 2007 será el empujón final", afirma.

La investigación en el CSIC, que trabaja para el CSID, es de corte teórico, "evaluamos ciertos procedimientos de cifrado para encontrar sus debilidades y también desarrollamos criterios para analizar la seguridad de esos algoritmos de cifrado o protocolos criptográficos".

RECSI: www.recsi2006.org EUROCRYPT: www.iacr.org/conferences/eurocrypt2007/