Duda pregunta 92, test de bloque 2

[upheka]

Hola, en la pregunta

Una de las zonas de datos que se encuentran dentro del chip criptográfico del DNI electrónico es la denominada zona de
seguridad. Esta zona que almacena, entre otros, los datos biométricos, es accesible por:
A. El ciudadano
B. El ciudadano y la Dirección General de la Policía
C. La Dirección General de la Policía
D. Es una zona pública

Se da como respuesta correcta la C, ¿sabéis por qué?

Según se dice en el portal oficial del DNI electrónico: "Zona de seguridad: Accesible en lectura por el ciudadano, en los Puntos de Actualización del DNIe."

Gracias y un saludo

[Eilof]

Yo también tengo la misma duda, por mucho que busco no encuentro por qué la respuesta C es la correcta. A ver si alguien nos la puede resolver, si es que tú no has encontrado una solución ya

Gracias y un saludo!

[amg]

Efectivamente esta pregunta es errónea.
La respuesta correcta creo que debería ser la b, pero no encuentro ningún documento que la 'avale'. Se que existe una manera de que la policía acceda a esa zona, a ver si encuentro documentación al respecto. Lo que está bastante claro es que el ciudadano puede acceder a la zona de seguridad.

[Mikra]

En un pdf (de Ricardo Cantabrana González MAP) que cita como fuente la DGP afirma que solo es accesible esa zona por la DGP.

http://www.alfabetizaciontecnologica.es ... &Itemid=77

Lo menciono como nota informativa

[Mikra]

De hecho, dando vueltas a la respuesta que a mi si me parece correcta (aunque puedo estar equivocado), la zona de seguridad es accesible al ciudadano en lectura solo en los PAD, puntos de actualización del DNIe. Y por lo que yo sé el funcionamiento interno posiblemente requiere de algún tipo de permiso que solo posee la policía para funcionar a disposición
del ciudadano que se autentique. Quiero decir que solo la policía posee ese entorno de seguridad. NO se si me explico, que no hay acceso directo , sino que la DGP es el intermediario que si tiene el acceso directo a la zona de seguridad y permite al usuario la lectura.EL funcionamiento interno del PAD lo desconozco.

Por poner un símil, seria como si fueras a una oficina de la DGP, y un policía físico se conectase a su pc y sacase la información por una impresora y te la entregase para que tu la leyeras. Tu no podrías usar el PC del policía, solo podría hacerlo él, pero si puedes obtener la información y leerla si te autenticas ante el policía. Supongo que esa es la finalidad del PAD y del PAD1 virtual que es el software, (que ya esta implantado para que se acceda sin tener que acudir a una oficina de la policía)

Los datos de carácter biométrico –como la foto o la fecha de nacimiento del ciudadano, por ejemplo- solo están a disposición del ciudadano, en entornos de seguridad, en unos terminales de servicio ubicados en las oficinas de expedición del DNI y denominados Puntos de Actualización del DNI (PAD)

[Mikra]

Mas documentación de la zona de seguridad de la empresa Safelayer

La informacion contenida en el chip estara firmada electronicamente por la
autoridad de certificacion del DNI-e, con el fin de garantizar su autenticidad e
integridad y sera la siguiente:
Los datos de filiacion del ciudadano.
Imagen digitalizada de la fotograf³a.
Imagen digitalizada de la firma manuscrita.
Plantilla de la impresion dactilar.
Datos criptgraficos.
Datos biometricos.
Una aplicacion de Match On Card.
Un procesador con capacidad criptografica para garantizar que la clave pri-
vada del ciudadano no sale nunca del soporte f³sico.
Un certificado de autenticacion, X509v3.
Un certificado de firma (no repudio), X509v3.
El certificado de la autoridad de certificacion emisora.
Dicho contenido estara estructurado en tres zonas o areas:
Primera zona, que sera de acceso libre a voluntad del titular (v³a PKCS#11)
y sera empleada en el proceso de autenticacion. En ella se almacenaran los
certificados.
Segunda zona, en la que se guardara la huella dactilar del individuo. Esta
zona solo sera accesible por personal autorizado de las FCSE10 y se empleara
en aplicaciones Match On Card, necesarias para procesos como borrado de
certificados en la tarjeta, renovacion de certificados, etc. Ademas, esta huel-
la servira para la autenticacion inmediata de cualquier individuo a traves
del dispositivo oportuno, sin mas que validar la huella de este con la que
se encuentra almacenada en el DNI-e. Los certificados de ciudadano que
se almacenan en el DNI-e no disponen del habitual numero de desbloqueo
PUK11. En esta situacion, caso de llegar a bloquearse la tarjeta, esta solo
se podra volver a ser habilitada mediante el empleo de la huella dactilar del
propio individuo.
Tercera zona, en la que iran todos los datos de filiacion. Estos datos, al igual
que la huella dactilar, solo estaran disponibles para las personas autorizadas
(FCSE).
10 FCSE: Fuerzas y Cuerpos de Seguridad del Estado.
11 PUK: Personal Unblocking Key.
La referencia del documento:http://www.safelayer.com/pdf/DNIe.pdf

[amg]

Ese matiz es cierto, pero tal como está redactada la pregunta la opción c no es cierta, al menos según mi punto de vista.
El ciudadano tiene acceso a la zona de seguridad, de hecho en la propia página del dni-electrónico lo pone, aunque solo puede acceder a esa zona en los puntos de acceso que están habilitados en las comisarias. Además existe un mecanismo para que la administración (en este caso la DGP) pueda acceder a esa zona.

Que la zona sea solo accesible a través de la DGP, lo veo hilar demasiado fino para dar como válida la c).

[Mikra]

Dijiste que no encontrabas documentación. Puse anteriormente la referencia al documento de D. Ricardo Cantabrana
S.G. Adjunto de Coordinación de Recursos Tecnológicos de la AGE Ministerio de Administraciones Públicas

http://jcel.unizar.es/jcel07/ponencias/ ... ronico.pdf

Pag 28:
Zona de seguridad (SOLO ACCESIBLE POR DGP):

[Eilof]

Gracias a los dos por contestar

Visto el documento de Safelayer que aporta Mikra, yo entiendo que hay dos zonas que sólo son accesibles por las FCSE. ¿Eso quiere decir que el ciudadano sólo tiene acceso a la zona pública? Entonces contradice la documentación oficial...

Aún así, yo apostaría por la respuesta B, ya que en los documentos vistos se permite el acceso a los dos, siendo necesaria la huella dactilar del ciudadano para su consulta por parte de la DGP. Coincido con amg en que la pregunta debería plantearse de otra manera.

Vista la duda, ¿esta pregunta podría ser impugnable? Lo digo porque es bastante confusa la documentación encontrada, como si no se pusieran de acuerdo. No se si en el año que cayó esta pregunta se hizo algo al respecto

Saludos!!

[Mikra]

En caso de ser impugnable lo seria también la pregunta siguiente 93
Dentro del chip criptográfico del DNI electrónico podemos encontrar tres zonas de datos diferenciadas. Una de las zonas
sólo es accesible por la Dirección General de la Policía. Señale su nombre:
A)Zona pública
B)Zona de seguridad
C)Zona privada
D)Zona confidencial

Respuesta: B

Habría que preguntarse en que año se puso la pregunta/s porque la tecnología y el proyecto de implementación del DNIe ha sufrido muchos problemas y cambios del 2006 al 2010. Igual al principio esa respuesta era verdadera y ahora no lo es. También al principio no podía cambiarse el PIN del dnie por Internet y ahora si se puede.

[amg]

Posiblemente sea eso, ese documento que enlazas si que lo tenía, pero no lo puse precisamente por su fecha. Es de 2006, antes de que se implantará el DNI-e, por lo que es normal que haya habido cambios.
Lo que está claro es que no se puede negar que el ciudadano puede acceder a esa zona, cualquiera lo puede comprobar yendo a un punto de acceso.
Es posible que las preguntas sean un poco antiguas y que por eso no sean del todo correctas.

Sobre si la pregunta es impugnable, para mi totalmente, al menos si la respuesta es la C, si fuera la B yo creo que no. En cualquier caso no es pregunta de examen.

Gracias por las aportaciones

[Walia]

Esa era una buena pregunta.
En mi opinión, es cierto que el lenguaje no es perfecto, pero pienso que la respuesta correcta es c), y echarían atrás cualquier intento de impugnación.
Me explico:
b) significa que "El ciudadano tiene acceso" AND "La DGP tiene acceso", Lo cierto es que el primer enunciado no es cierto, o al menos el ciudadano no puede acceder sin la colaboración de la DGP.
c) significa que "La DGP tiene acceso". Eso es cierto. Otro tema a discutir es si es exclusivamente bajo iniciativa del ciudadano.

Recuerdo que este tema lo comentó D. Fernando Fazio (MITYC) en la 5ª sesión de preparatic xviii. Lo explicó muy en el sentido que indicaba Mikra:

Por poner un símil, seria como si fueras a una oficina de la DGP, y un policía físico se conectase a su pc y sacase la información por una impresora y te la entregase para que tu la leyeras...

Lástima que no esté reflejado en la presentación de la ponencia, y únicamente lo tenga en mis notas personales. Por eso, me he ido a lo más oficial que he encontrado es la Guía de Referencia Básica, en la web oficial del DNI-e (no es sede electrónica, pero es lo más oficial que hay).
http://www.dnielectronico.es/PDFs/Guia_ ... a_v1.2.pdf

Aunque el vínculo indique v1.2, lo cierto es que se abre un documento que pone v1.1 en el membrete, y fechado en Junio de 2006. Si no recuerdo mal, ya estaba en marcha el DNI-e desde Enero 2006. (por cierto, que esta ha sido la fuente del tema 73 de ASTIC).

Me parece más oficial que las presentaciones que habéis incluido en el post. En el documento, se dice:

+Zona de seguridad: Accesible en lectura por el ciudadano, en los Puntos de Actualización del DNIe.
– Datos de filiación del ciudadano (los mismos que están impresos en el soporte físico del DNI), contenidos en el soporte físico del DNI.
– Imagen de la fotografía.
– Imagen de la firma manuscrita.
-

Es el texto que mostraba upheka al principio. Está fechado en 26/6/2006, pero aún aparece como lo último en vigor. Y entiendo que si no hay nada posterior publicado, no debemos pensar que haya habido cambios.

Reconozco que me ha despistado bastante el artículo de Safelayer, y empecé dejándolo de lado por no ser una fuente oficial (MIR, o alguien de la AGE) sino únicamente el fabricante. Finalmente, veo que encaja, ya que:
- Desde el punto de vista técnico, sólo la DGP puede acceder a la información.
- Desde el punto de vista operativo, la información es personal del ciudadano, por lo que es él la persona que puede tomar la iniciativa de la lectura, yendo a un PAD.
(Trato de omitir "Desde el punto de vista normativo", ya que el RD 1553/2005 no habla de zonas de seguridad, y queda al libre albedrío del Ministerio del Interior).

O sea, que mi opinión es que puede quedarse como está. Quedaría como una pregunta con muy mala leche, pero sería correcta. El único punto débil es que esta operativa no aparece respaldada por ninguna Disposición Oficial, y en cualquier momento la DGP podría cambiar su modo de actuar.

[amg]

Entiendo lo que dices, pero no comparto la conclusión.

Según está redactada la pregunta, si la respuesta correcta fuera la C, estaríamos diciendo que el ciudadano no tiene acceso a la zona de seguridad y eso no es cierto. El ciudadano sí tiene acceso a esa zona, aunque sea a través de los puntos de acceso y cumpliendo determinados requisitos. Pero el tener que cumplir esos requisitos, no hace que el ciudadano no tenga acceso, aunque sea un acceso indirecto.

Ese símil que pones lo podrías aplicar a muchos de los derechos del ciudadano con respecto a las administraciones, por ejemplo el derecho a acceder a registros y archivos de las administraciones públicas, no habilita al ciudadano a entrar en un Ministerio y revolver los papeles que hay allí, si no que tiene que hacerlo a través de un determinado procedimiento.

En cualquier caso, como consejo general, si estáis haciendo un test no penséis que el que pone las preguntas las pone a mala leche, porque normalmente no suele ser así. Lo digo porque a veces nos pensamos que nos están engañando y perdemos un tiempo precioso, que en un test que hagas en casa no pasa nada, pero que el día del examen es valiosísimo.

[Walia]

Según está redactada la pregunta, si la respuesta correcta fuera la C, estaríamos diciendo que el ciudadano no tiene acceso a la zona de seguridad y eso no es cierto.

Ahí está la cosa. Es que NO es cierto. Estamos hablando de si la zona de seguridad es accesible por el ciudadano (que implica necesariamente acceder con su propio PC, sus claves de identificación personal, etc.), y no de tener acceso o no a la información que está en la zona de seguridad.

No conozco el concepto de "acceso indirecto", sino el de "Derecho de Acceso". Una cosa es que el ciudadano tenga derechos de acceso a la información, y la otra es que la información sea accesible por el ciudadano. En el primer caso, puede actuar un intermediario, pero en el segundo, se supone que hay una intervención directa del ciudadano. Un ciudadano tiene derechos de acceso a sus datos personales de cualquier entidad pública o privada, pero eso no quiere decir que pueda acceder personalmente a las bases de datos de esta entidad: lo que tiene que hacer es ejercer su derecho solicitándolo al responsable del fichero correspondiente.

Para el caso del DNI-e, tenemos el mismo caso: el ciudadano tiene "derechos de acceso" garantizado, pero tiene que ejercerlo a través del [representante del] responsable del fichero de DOP, en este caso el funcionario de la DGP. La clave es que si algún ciudadano solicita el software y los medios para acceder por sí mismo a estos datos,.... que me digan lo que les dice la DGP. Bien pensado, ese sería un buen criterio para dar la razón a uno u otro. Lo malo es que en la Guía de Referencia del DNIe no utiliza el término "accesible" de manera personal, sino a través de intermediario.

Vamos, que para mí la diferencia es abismal. Menos mal que no es una pregunta de examen.

Por si ayuda, también podemos recurrir al concepto de "Accesibilidad", que se refiere a las técnicas que tratan de garantizar la capacidad de una persona de "acceder" a un determinado recurso en condiciones [de discapacidad] especiales. La accesibilidad a Internet no se asegura poniendo una persona intermediaria para usar la web "de parte de" la discapacitada, sino elaborando técnicas e ingenios que permitan que el discapacitado, por sí mismo, pueda acceder al recurso. Con una persona intermediaria de confianza, el discapacitado podría ejercer su derecho a acceder a una información. Pero es sólo a través de las técnicas de accesibilidad que el discapacitado puede acceder por sí mismo, y se dice entonces que Internet se hace accesible al discapacitado.

[Mikra]

Yo también creo en la sencillez y a mi entender, cuando se hizo la pregunta seguro que no ponía en la pagina del DNIe que el ciudadano tenia acceso en lectura. Posiblemente fue posterior.

Por eso el documento de una persona de la AGE indicando justo lo que ponía en la pregunta me parecía el referente simple.

De hecho en todos los temas de seguridad, en concreto el dnie en este caso, la información suele ser superficial, la justa y necesaria. La prioridad de la seguridad es la confidencialidad. Lo digo con conocimiento de causa del proyecto del DNIe.

EL acceso en lectura en el punto de actualización del DNIe, lo hace la aplicación match on card que compara la huella dactilar que uno pasa por la maquina con las minucias contenidas en la zona de seguridad. Que yo sepa, nunca se visualizan las minucias. Lo que no quita que la definición sea que el ciudadano accede en lectura.

Al final lo único valido es lo que este documentado de forma clara en el momento de la realización del examen. Y estamos hablando de tecnología, tema cuya evolución es demasiado rápida para que se pueda aplicar en un periodo temporal demasiado amplio.

De hecho el motivo por el que el certificado del DNIe caduca antes que el propio DNIe, es porque en un periodo de 1,2 o 3 años es fácil que el algoritmo de firma del certificado se haya podido romper y cualquiera pueda emitir certificados validos que en realidad no lo sean. Y los expertos en seguridad lo saben por eso se habilita la posibilidad de renovarlo, por si en un futuro fueran de mayor fortaleza o diferentes.Por poner un ejemplo simple.