El documento de identidad estonio ( en estonio : ID-kaart ) es un documento de identidad obligatorio para los ciudadanos de Estonia . Además de la identificación habitual de una persona, el documento de identidad también se puede utilizar para establecer la identidad de una persona en un entorno electrónico y para proporcionar una firma digital . En Europa (excepto Bielorrusia, Rusia, Ucrania y el Reino Unido) [2] [3] , así como en los territorios franceses de ultramar, Georgia y Túnez (solo en viajes organizados) [4], los ciudadanos de Estonia pueden utilizar el documento de identidad estonio como documento de viaje .
El documento de identidad obligatorio para los ciudadanos de la Unión Europea es también el documento de identidad, también conocido como tarjeta de identidad . El documento de identidad estonio se puede utilizar para cruzar la frontera estonia, pero las autoridades estonias no pueden garantizar que otros estados miembros de la UE lo acepten como documento de viaje. [5]
Además de la identificación habitual de una persona, el documento de identidad también se puede utilizar para determinar la identidad de una persona en un entorno electrónico y para proporcionar una firma digital. Con el documento de identidad estonio, el ciudadano recibirá una dirección de correo electrónico personal @eesti.ee, que el Estado utiliza para enviar información importante. Para utilizar la dirección de correo electrónico @eesti.ee, el ciudadano debe reenviarla a su dirección de correo electrónico personal a través del portal estatal eesti.ee.
El 25 de septiembre de 2018, la Junta de Policía y Guardia Fronteriza (PPA) presentó la versión más reciente del documento de identidad de Estonia, que incluye elementos de seguridad adicionales y una interfaz sin contacto. Las nuevas tarjetas también utilizan la fuente propia de Estonia y elementos de su marca. Un nuevo detalle es la inclusión de un código QR , que facilita la verificación de la validez del documento de identidad. El nuevo diseño también presenta una foto en color de su portador, que funciona como elemento de seguridad y está formada por líneas; al mirar la tarjeta desde un ángulo, aparece otra foto. El nuevo chip tiene una mayor capacidad, lo que permite agregarle nuevas aplicaciones. [6]
Las tarjetas de identificación estonias se utilizan en la atención sanitaria , la banca electrónica , la firma de contratos, el transporte público , el cifrado de correo electrónico y la votación . Estonia ofrece más de 600 servicios electrónicos a los ciudadanos y 2.400 a las empresas. [7] El chip de la tarjeta almacena datos digitalizados sobre el usuario autorizado, los más importantes: el nombre completo del usuario, el género, el número de identificación nacional y las claves criptográficas y los certificados de clave pública .
Existen varios tipos de documentos de identidad emitidos por el estado estonio, a los que se suele denominar tarjeta de identidad estonia. Se trata del documento de identidad , la tarjeta de identidad digital , la tarjeta de permiso de residencia , la tarjeta de identidad digital de e-resident y la tarjeta de identidad diplomática .
Si bien estos documentos de identidad se expiden a diferentes categorías de personas y tienen una apariencia diferente, todos estos documentos proporcionan la misma funcionalidad electrónica a través de un chip de tarjeta inteligente. [8] : 52
Desde su introducción en 2002 hasta ahora, la funcionalidad electrónica básica proporcionada por el documento de identidad estonio no ha cambiado. El documento de identidad contiene dos pares de claves asimétricas ( RSA o ECC) con los certificados de clave pública X.509 correspondientes y claves simétricas para realizar operaciones de gestión de la tarjeta. [8] : 25
Clave de autenticación. La clave de autenticación se utiliza para acceder a los servicios electrónicos mediante la firma en el proceso de autenticación del certificado de cliente TLS . Esta clave también se puede utilizar para descifrar documentos cifrados para el titular de la tarjeta. Esto se utiliza con poca frecuencia, ya que dichos documentos se volverían ilegibles si la tarjeta se perdiera o se destruyera. Las operaciones de firma criptográfica y descifrado con esta clave deben autorizarse mediante el código PIN1 de 4 dígitos.
Clave de firma digital. La clave de firma digital se utiliza para otorgar firmas digitales legalmente vinculantes que, según el eIDAS, se reconocen como firmas electrónicas cualificadas. Cada operación de firma con la clave debe ser autorizada mediante el código PIN2 de 5 dígitos.
Archivo de datos personales. El chip del DNI contiene un archivo de datos personales de lectura pública, que consta de 16 registros que contienen la misma información que aparece impresa en el DNI.
Operaciones de gestión de tarjetas. Las tarjetas están precargadas con claves simétricas que el fabricante puede utilizar para realizar diversas operaciones de gestión de tarjetas en la fase posterior a la emisión. Esto proporciona un método para restablecer los códigos PIN en caso de que el titular de la tarjeta los olvide, generar nuevas claves, escribir nuevos certificados e incluso reinstalar todo el subprograma de la tarjeta inteligente si es necesario. [8] : 25
El estado estonio ofrece el software DigiDoc que permite a los usuarios firmar criptográficamente documentos digitales. Desde 2016, el software DigiDoc puede crear archivos que siguen el estándar ETSI de la UE llamado ASiC-e . [9] [10]
Al 7 de septiembre de 2021, se habían otorgado 1.391.704.193 firmas electrónicas, lo que supone un promedio de 50 firmas por usuario de tarjeta por año. [11]
Según la legislación estonia, desde el 15 de diciembre de 2000 la firma criptográfica es legalmente equivalente a una firma manual . [12] Esta ley ha sido reemplazada por la Directiva de firma electrónica de toda la UE desde 2016. [13]
La compatibilidad de la tarjeta con el estándar X.509 y la infraestructura TLS , al proporcionar un certificado de cliente a cada persona, la ha convertido en un medio de identificación conveniente para el uso de los servicios gubernamentales basados en la web en Estonia (consulte Gobierno electrónico ). Todos los bancos importantes, muchos servicios financieros y otros servicios web admiten la autenticación basada en la tarjeta de identificación. Agregar soporte para la identificación basada en la tarjeta de identificación estonia es muy simple hoy en día porque la mayoría de los navegadores, servidores web y otro software utilizados admiten la autenticación basada en certificado de cliente TLS (SSL) y la tarjeta de identificación estonia utiliza exactamente ese sistema.
Las columnas de comentarios web de algunos periódicos estonios, en particular Eesti Päevaleht , solían admitir la autenticación de comentarios mediante tarjeta de identificación. Este enfoque provocó cierta controversia en la comunidad de Internet. [14]
Las ciudades más grandes de Estonia, como Tallin y Tartu , tienen acuerdos que permiten a los residentes comprar billetes de transporte "virtuales" vinculados a sus documentos de identidad.
Los abonos de época se pueden comprar online mediante transferencia bancaria electrónica, por SMS o en quioscos públicos. Este proceso suele tardar menos de unos minutos y el abono queda activo instantáneamente desde el momento de la compra o desde el primer uso del mismo. [15]
Los clientes también tienen la opción de solicitar una notificación por correo electrónico o SMS cuando el billete esté a punto de caducar, o configurar la renovación automática a través de servicios de banca por Internet.
Para utilizar el billete virtual, los clientes deben llevar consigo su DNI siempre que utilicen el transporte público. Durante el control rutinario del billete, se pide al usuario que presente su DNI, que se introduce en un dispositivo especial. Este dispositivo confirma que el usuario posee un billete válido y también avisa si el billete está a punto de caducar. El control del billete suele durar menos de un segundo.
La información de los billetes se almacena en una base de datos central, no en el propio carné de identidad. Por tanto, para pedir un billete no es necesario disponer de un lector de carnés de identidad. Los controladores de billetes tienen acceso a un archivo local de la base de datos maestra. Si el billete se ha comprado después de que se haya actualizado el archivo local, el dispositivo de emisión de billetes puede confirmar el billete desde la base de datos maestra a través de un enlace de datos móviles.
El documento de identidad estonio también se utiliza para la autenticación en el programa de votación por Internet de Estonia llamado i-Voting .
En febrero de 2007, Estonia fue el primer país del mundo en instaurar el voto electrónico para las elecciones parlamentarias . Más de 30.000 votantes participaron en las elecciones electrónicas del país. [16] En las elecciones parlamentarias de 2011 se emitieron electrónicamente 140.846 votos, lo que representa el 24% del total de votos. [17]
El software utilizado en este proceso está disponible para Microsoft Windows , macOS y Linux .
Desde la adhesión de Estonia a la Unión Europea (UE) en 2004, los ciudadanos estonios que poseen un documento de identidad estonio han podido utilizarlo como documento de viaje internacional, en lugar de un pasaporte, para viajar dentro del Espacio Económico Europeo , así como en los departamentos y territorios franceses de ultramar, Andorra, San Marino, Mónaco, Ciudad del Vaticano, Chipre del Norte y Georgia.
Sin embargo, los ciudadanos no estonios residentes en Estonia no pueden utilizar sus documentos de identidad estonios como documento de viaje internacional.
A lo largo de los años, el documento de identidad de Estonia y su ecosistema han experimentado varios incidentes de seguridad y problemas similares. [8] : 118 A continuación se enumeran algunos de los incidentes de seguridad más importantes que se han encontrado.
En agosto de 2017, se descubrió una amenaza de seguridad que afectó a 750.000 tarjetas de identidad y de residencia electrónica emitidas entre el 16 de octubre de 2014 y el 26 de octubre de 2017. [18]
Se informó que una biblioteca de códigos desarrollada por Infineon , que había sido ampliamente utilizada en productos de seguridad como tarjetas inteligentes y TPM , tenía una falla (más tarde llamada vulnerabilidad ROCA ) que permitía inferir claves privadas de claves públicas . [19] Como resultado, todos los sistemas que dependían de la privacidad de dichas claves eran vulnerables a compromisos, como robo de identidad o suplantación de identidad . [19] Los sistemas afectados incluyen 750.000 tarjetas de identificación nacionales de Estonia , [19] y tarjetas de residencia electrónica de Estonia .
El 2 de noviembre de 2017, el gobierno estonio decidió suspender los certificados afectados a partir de la medianoche del 3 de noviembre. Durante los cinco meses siguientes, hasta el 31 de marzo de 2018 (incl.), los titulares de los certificados suspendidos pudieron actualizar sus documentos de identidad en los puntos de atención al cliente de la PPA y de forma remota a través de Internet. El 1 de abril de 2018, se revocaron los certificados de los documentos de identidad no renovados y se interrumpió el servicio de renovación de los documentos de identidad afectados. [8] : 132 La decisión del gobierno de posponer la revocación de los certificados afectados y permitir la renovación remota de los certificados suspendidos ha sido criticada por no cumplir con los requisitos legales de la identificación electrónica . [20]
El incidente dio lugar a un proceso judicial porque el fabricante de tarjetas de identificación, Gemalto, no informó al estado estonio sobre la vulnerabilidad de manera oportuna. En febrero de 2021, se informó que Gemalto y el estado estonio llegaron a un acuerdo de compromiso, en el que Gemalto acordó pagar al estado 2,2 millones de euros en compensación. [8] : 139
Se han descubierto varios casos aislados de fallos de seguridad en el proceso de gestión de claves de tarjetas de identificación. En particular, en algunos casos, en contra de los requisitos de seguridad, el fabricante de tarjetas de identificación, Gemalto, había generado claves privadas fuera del chip. En varios casos, se han importado copias de la misma clave privada en las tarjetas de identificación de diferentes titulares de tarjetas, lo que les ha permitido hacerse pasar por otros. Además, como resultado de un fallo independiente en el proceso de fabricación, se han incluido módulos de clave pública RSA corruptos en los certificados, lo que en un caso condujo a la recuperación completa de la clave privada correspondiente. [21]