ES2749606T3 - Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales - Google Patents

Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales Download PDF

Info

Publication number
ES2749606T3
ES2749606T3 ES07823006T ES07823006T ES2749606T3 ES 2749606 T3 ES2749606 T3 ES 2749606T3 ES 07823006 T ES07823006 T ES 07823006T ES 07823006 T ES07823006 T ES 07823006T ES 2749606 T3 ES2749606 T3 ES 2749606T3
Authority
ES
Spain
Prior art keywords
integrity
information
registration
user
proof
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07823006T
Other languages
English (en)
Inventor
Fontanals Pere Valls
Allepuz Jordi Puiggali
Rocha Víctor Manuel Morales
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Scytl Secure Electronic Voting SA
Original Assignee
Scytl Secure Electronic Voting SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Scytl Secure Electronic Voting SA filed Critical Scytl Secure Electronic Voting SA
Application granted granted Critical
Publication of ES2749606T3 publication Critical patent/ES2749606T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • G06F21/645Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Abstract

La presente invención describe un método y sistema para protegerIa integridad y autoría de una información de registro de usuarios, aplicable al registro de información de votantes, mediante técnicas biométricas. Para ello, después de una primera etapa de introducción de una información de registro, se implementa una segunda etapa de protección de Ia integridad de Ia información de registro. En esta segunda etapa se genera un prueba de integridad dedicha información y se muestra dicha prueba de integridad al usuario que quiere protegerla. En una tercera etapa de generación deuna prueba de no repudio de Ia información de registro, se obtiene una prueba biométrica del usuario que contenga Ia prueba de integridad mostrada, se contruye una prueba de no repudio a partir de dicha prueba biométrica, y finalmente se almacena Ia prueba deno repudio. La invención también incluye unas etapas opcionales que permiten Ia verificación de las informaciones de registro a partir de las pruebas de no repudio, así como Ia verificación de Iaautenticidad e unicidad de las pruebas de no repudio.

Description

DESCRIPCIÓN
Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales
Campo de la invención
Aunque la presente invención es adecuada para ser utilizada junto con la protección de un registro de usuarios en general, comprende, fundamentalmente en el campo de procedimientos para registrar información de votantes e introduce un procedimiento para la protección de la integridad y la autoría de información de registro de un usuario, tal como un votante.
El procedimiento puede ser utilizado, además, en entornos de registro de votantes de una forma remota, en la que no puede llevarse a cabo una identificación en persona del votante para garantizar la autoría del registro.
La invención también versa acerca de un sistema para implementar el procedimiento mencionado.
En la presente memoria, se comprende el registro de información de un usuario como cualquier tipo de información que ha sido proporcionada por dicho usuario y para la cual es necesario conservar durante un tiempo indefinido la integridad de dicha información y la autoría del usuario que la ha proporcionado.
Antecedentes de la invención
La expansión continua de las tecnologías de información y de comunicaciones ha permitido el desarrollo de transacciones remotas en los últimos años. Tal desarrollo implica nuevos retos tecnológicos tales como el de ofrecer seguridad y, por lo tanto, confianza a las partes implicadas. Uno de los problemas principales es garantizar la integridad y la autoría de la información proporcionada por los usuarios, tanto durante la transmisión de esta información como en su almacenamiento a largo plazo. La presente invención describe un procedimiento para la protección de la integridad y de la autoría de un registro de información de usuarios, aplicable en entornos de registro de votantes remotos y/o en persona. La presente invención describe cómo se generan los elementos de prueba de integridad y de autoría de la información de registro utilizando técnicas biométricas y cómo se puede llevar a cabo una verificación de dichos elementos de prueba.
Efectuar un registro remoto proporciona una mayor comodidad a los usuarios, dado que no tienen que desplazarse hasta una oficina de registro. Sin embargo, tal registro tiene varios riesgos de seguridad tales como la posibilidad de alterar la información de registro del usuario, bien mientras es enviada o incluso una vez que la información de registro ha alcanzado su destino. Esta alteración podría afectar tanto a la integridad del contenido de la información como a la autoría de dicha información, es decir, la modificación o suplantación de la identidad del autor que ha proporcionado la información. Por lo tanto, es importante conservar la integridad y la autoría de esta información en todo momento.
En la actualidad existen propuestas que protegen la integridad y la autoría de la información mediante el uso de firmas digitales. Por definición, una firma digital protege la integridad de la información representada en un formato electrónico y la vincula con la persona que la genera. Por lo tanto, la firma digital sirve para llevar a cabo la identificación de la persona que emite los datos y también para verificar que no se ha manipulado el contenido una vez firmado. Además, el uso de firmas digitales tiene dos limitaciones: la necesidad de proporcionar a los usuarios un certificado digital y la necesidad de requerir que los usuarios tengan medios criptográficos para generar una firma digital a partir de su certificado de usuario. Esto limita el uso de estas propuestas a esos entornos en los que los usuarios tienen certificados digitales y dispositivos con prestaciones criptográficas para generar una firma digital, tales como un ordenador personal, por ejemplo. Estas propuestas incluyen invenciones WO0120431A2, US20020138341A1 y WO2004070665, que intentan solucionar el problema de proteger la integridad y la autoría de un registro electrónico remoto de votantes únicamente por medio de firmas digitales.
Como una medida alternativa a los problemas que conllevan las firmas digitales, existen soluciones que proponen el uso de mediciones biométricas (por ejemplo, huellas, reconocimiento del iris, reconocimiento de voz, etc.) para llevar a cabo la autentificación y la generación de datos electrónicos en entornos presenciales, al igual que remotos. Un ejemplo es la invención US20040143556A1, que describe el uso de biometría para proteger la autoría de un documento electrónico. Este procedimiento solo utiliza la voz como una técnica biométrica. En dicho procedimiento, el usuario debe decir un número de identificación personal (es decir, una palabra clave) que es generado aleatoriamente durante el procedimiento para proteger información (además de otros datos, tales como el nombre del usuario, la fecha, etc.). La voz se registra y se adjunta este registro a la información que ha de ser protegida. El problema principal de esta invención es que no protege en realidad la integridad del documento electrónico, dado que el parámetro biométrico es independiente del contenido del documento. Por lo tanto, la información del documento podría ser modificada subsiguientemente, adjuntándola al registro de voz y se seguiría considerando válida la información. Otro procedimiento que utiliza medios biométricos para un registro de votantes es el contenido en la invención US20060289638. En esta invención la información de registro solo se basa en una muestra biométrica del votante, que puede ser una huella o cualquier otra medición biométrica. El votante lleva a cabo el registro presentándose físicamente ante una autoridad de registro, que identifica al votante en persona antes de capturar un registro biométrico de dicho votante. Subsiguientemente, se utilizará dicho registro biométrico durante una fase de votación para identificar al votante. El principal problema de esta invención es que requiere que el votante se presente físicamente en el centro de registro; por lo tanto, no tiene como objetivo facilitar un registro remoto. Además, no menciona cómo puede protegerse la integridad de la información de registro del votante asociada con el registro biométrico. Por lo tanto, se podría manipular el registro almacenado del votante para asignar una identidad distinta al registro biométrico capturado del votante y, por lo tanto, suplantar a una persona.
En el campo de un registro remoto de votantes en el que se utilizan mediciones biométricas, también destaca la invención US20050092835A1. En esta invención, el votante descarga a su dispositivo personal, mediante una red de comunicaciones, una aplicación que le permite introducir la información de registro al igual que capturar su firma manuscrita por medio de un dispositivo de captura (tableta informática digitalizadora). La firma manuscrita digitalizada se adjunta a la información de registro, cifrada y transmitida a través de una red de comunicaciones que ha de ser almacenada por una autoridad de registro. A pesar del hecho de que el procedimiento propuesto facilita un registro remoto, implica que los votantes tengan una tableta informática digitalizadora para efectuar tal registro. Por lo tanto, limita los campos de dispositivos soportados para efectuar el registro. Tampoco protege la integridad de la información de registro, dado que la firma digitalizada podría ser adjuntada subsiguientemente a otra información de registro sin que sea detectada.
Para solucionar el problema de la integridad del registro de las anteriores patentes, otras propuestas combinan el uso de mediciones biométricas con la firma digital. El objetivo de estos procedimientos es asociar la información de registro con una información biométrica por medio de esta firma digital, evitando que se desasocien sin que sea detectado. Hay presentes ejemplos de la combinación de mediciones biométricas y de la firma digital en las invenciones WO0108352A1 y WO2007034255A1. La invención WO0108352A1 describe un procedimiento en el que un usuario firma digitalmente documentos electrónicos junto con un parámetro biométrico del usuario obtenido en el momento de la firma. El objetivo es tener un elemento de prueba de presencia del propietario de la firma en el momento que se llevó a cabo. De esta manera, se evita que una persona ilegítima que ha obtenido el certificado digital del usuario de una forma fraudulenta lleve a cabo la firma digital. El problema de esta invención es el mismo que el de los procedimientos que solo utilizan la firma digital descrita anteriormente: el uso está limitado a aquellos usuarios que tienen un certificado digital y medios para utilizarlo.
La invención WO2007034255A1 describe otro procedimiento para la protección de información por medio de técnicas biométricas y una firma digital, que no requiere certificados digitales para usuarios. Esta invención genera un elemento de prueba biométrica del documento concatenando un registro biométrico del usuario, preferentemente una imagen de la firma manuscrita, junto con una clave compendiada o calculada del documento (obtenido por medio de una función unidireccional). El elemento de prueba biométrica está cifrado, adjunto al documento, y un representante o intermediario utiliza una clave privada para firmar digitalmente este conjunto de información. Una vez firmado digitalmente, se envía el conjunto de datos al destino a través de una red de comunicaciones. La limitación de este procedimiento es que la integridad de la información depende totalmente de las técnicas criptográficas: el cifrado y la firma digital. El registro biométrico y la clave calculada del documento contenido en el elemento de prueba biométrica están ligados por la firma digital de un tercero. Por lo tanto, existe el riesgo de que la persona que genera la firma digital manipule los datos (modifique el documento, genere una nueva clave calculada, la concatene y la cifre con el registro biométrico del usuario y lo firme de nuevo). Aunque en este caso no es necesario que el votante tenga un certificado digital para firmar, la necesidad de cifrar la información también implica el uso de restricciones a plataformas que permiten un cifrado de la documentación.
Como resumen, las invenciones WO0108352A1 y WO2007'34255A1 no implementan un procedimiento en el que el propio parámetro biométrico contiene información que protege la integridad del documento. Por lo tanto, los procedimientos descritos requieren el uso de técnicas criptográficas para asociar una información con el elemento de prueba biométrica y proteger la integridad de esta asociación. Por lo tanto, el usuario puede repudiar “su firma”, es decir, el usuario puede afirmar que el documento registrado no es el mismo que el que se asoció con su parámetro biométrico.
El documento WO 2006/000989A1 da a conocer un procedimiento para autentificar a un individuo en un dispositivo de autentificación y un sistema de autentificación para autentificar un individuo. Una idea básica de la invención es almacenar, en un dispositivo o un sistema con el que un individuo desea autentificarse, una o más estructuras de datos, comprendiendo cada una un valor basado en un identificador perteneciente al individuo y una copia cifrada del identificador. Cuando el individuo desea autentificarse, hace contacto con el dispositivo de autentificación, por lo que se crea una solicitud para lograr el identificador cifrado incluido en una estructura específica de datos almacenada en el dispositivo de autentificación. Subsiguientemente, el individuo proporciona una prueba al dispositivo de autentificación de que conoce realmente el identificador.
Finalmente, además de las invenciones descritas, existen mecanismos que utilizan técnicas biométricas para generar claves criptográficas que permiten firmar documentos o transacciones electrónicas remotas. El fin principal de estos mecanismos es ofrecer la integridad de los datos mediante la firma digital y, al mismo tiempo, evitar una suplantación. Por ejemplo, la propuesta de Hao Feng y de Chan Choong Wah (Hao Feng, Chan Choong Wah, 2002, “Prívate key generation from on-line handwritten signatures. Information Management & Computer Security”, ISSN: 0968-5227, volumen 10, número 4, páginas 159 - 164) describe una firma digital basada en biometría, en la que se utiliza un patrón obtenido de una característica biométrica como base para generar el par de claves (pública y privada). El usuario puede firmar digitalmente una vez que se capture su identificador biométrico y se regenere su clave privada, de esta manera, se evitaría que la clave fuese almacenada en un dispositivo y, por lo tanto, expuesta a ser utilizada por medios de suplantación. Los mecanismos de firma digital basados en biometría siguen teniendo problemas de concurrencia, dado que la precisión en la captura del parámetro biométrico está sujeta a pequeñas diferencias en cada captura. Por lo tanto, cuando se regenera la clave privada durante la sesión de firma, dicha clave podría no coincidir con el par de claves generadas originalmente y, en este caso, el usuario podría no efectuar la firma.
Breve descripción de la invención
La presente invención describe un procedimiento que permite proteger la integridad y la autoría de un registro remoto de usuarios por medio de técnicas biométricas y sin necesitar el uso de una firma digital. La presente invención describe un procedimiento que permite generar este registro de usuarios de una forma remota segura. La presente invención describe, como parte del procedimiento, la generación de un elemento de prueba irrepudiable creado a partir de un elemento de prueba biométrica que contiene un elemento de prueba de integridad de la información del registro. La presente invención describe un procedimiento para la generación de un elemento de prueba irrepudiable de la información del registro que puede ser implementado utilizando dispositivos estándar. El procedimiento también describe los procedimientos de auditoría soportados por los registros de usuarios protegidos por el procedimiento.
El procedimiento proporciona, en particular, un elemento de prueba irrepudiable de un registro de información de usuarios utilizando técnicas biométricas, lo que permite garantizar ciertas propiedades necesarias en un procedimiento para registrar información de usuarios, tales como la integridad de la información de registro proporcionada por el usuario y la identidad del usuario que ha proporcionado los datos de registro. Este elemento de prueba irrepudiable evita la adición de registros falsos, la modificación de los registros o la suplantación del usuario relacionado con la información de registro.
Por lo tanto, el procedimiento de la invención es adecuado para la protección de la integridad y la autoría de una información de registro que pertenece al usuario y puede ser utilizado para un registro de dicho usuario como un votante.
En una implementación básica, el procedimiento comprende las siguientes etapas:
a) introducir una información de registro;
b) proteger la integridad de la información de registro; y
c) generar un elemento de prueba irrepudiable de la información de registro.
En una implementación preferente, se llevan a cabo las etapas a) y b) en un módulo de registro y la etapa c) en un módulo de validación. También se contempla que un único módulo esté a cargo de dichas etapas; por lo tanto, las referencias que aparezcan posteriormente acerca del módulo de registro y del módulo de validación como entidades separadas también pueden ser interpretadas como referencias a un único módulo.
Las particularidades de las etapas mencionadas se explican a continuación con más detalle.
La etapa de introducción de la información de registro es llevada a cabo por el propio usuario, en particular un votante, utilizando un módulo de registro o proporcionando dicha información a un registrador responsable de introducir, en un entorno controlado, dicha información de registro en el módulo de registro. La información de registro puede proporcionarse en distintos formatos, tales como formatos físicos, analógicos o digitales.
La etapa de protección de la integridad de la información de registro implementa las siguientes fases:
• generar un elemento de prueba de integridad de la información de registro a partir de al menos dicha información de registro; y
• representar visualmente el elemento de prueba de integridad al usuario.
El elemento de prueba de integridad de la información de registro puede generarse mediante distintos procedimientos a partir de la información de registro. A continuación se detallan dichos procedimientos.
El elemento de prueba de integridad puede ser representado visualmente al usuario directamente a partir del módulo de registro que lo ha generado, o a través de un intermediario, tal como un registrador u otro módulo distinto del módulo de registro (por ejemplo, el módulo de validación). El objetivo de representar visualmente el elemento de prueba de integridad al usuario es facilitar la generación del elemento de prueba irrepudiable a partir de dicho elemento de prueba de integridad. El elemento de prueba de integridad puede ser representado visualmente al usuario en distintos formatos, tales como un formato legible, audible o imprimible.
La etapa de generación de un elemento de prueba irrepudiable de la información de registro se lleva a cabo mediante las siguientes fases:
• adquirir un elemento de prueba biométrica de múltiples formatos (por ejemplo, voz, imagen, escritura o una combinación de los mismos) del usuario que contiene el elemento de prueba de integridad;
• crear el elemento de prueba irrepudiable utilizando al menos el elemento de prueba biométrica de múltiples formatos adquirido; y
• almacenar el elemento de prueba irrepudiable.
La adquisición del elemento de prueba biométrica consiste en la obtención de un registro biométrico del usuario que contiene el elemento de prueba de integridad representado visualmente. Dicho registro biométrico podría adoptar distintos formatos tales como un registro de voz, escrito o visual. A continuación se detallan en la descripción detallada de este procedimiento los distintos procedimientos y formatos para adquirir el elemento de prueba biométrica.
El objetivo de crear el elemento de prueba irrepudiable es tener una información que puede ser utilizada, subsiguientemente, para verificar la integridad y la autoría de la información de registro del usuario. También se detallan a continuación distintos procedimientos para crear el elemento de prueba irrepudiable.
En una implementación preferente, el elemento de prueba irrepudiable se almacenaría en el módulo de validación, aunque podría almacenarse en otros módulos independientes. El objetivo de almacenar el elemento de prueba irrepudiable es facilitar una verificación, independiente del momento, de la integridad y de la autoría de la información de registro.
Finalmente, el procedimiento también contempla etapas opcionales que definen un procedimiento para auditar la información de registro y/o los elementos de prueba irrepudiable almacenados.
Breve descripción de los dibujos
Las Figuras 1a y 1b muestran los elementos principales en los que se implementa el procedimiento de registro descrito en la presente invención. La Figura 1a describe cómo un usuario 101 proporciona una información 103 de registro a un módulo 102 de registro. Los procedimientos implicados en esta Figura 1a son:
• introducir 201 la información 103 de registro del usuario 101 en el módulo 102 de registro;
• generar 202 un elemento de prueba 104 de integridad, que se lleva a cabo mediante el módulo 102 de registro a partir de la información 103 de registro; y
• representar visualmente 203 el elemento de prueba 104 de integridad generado por el módulo 102 de registro al usuario 101.
La Figura 1b describe cómo interactúa el usuario 101 con un módulo 106 de validación para generar un elemento de prueba irrepudiable 107 de la información 103 de registro. Esto conlleva los siguientes procedimientos:
• capturar 204 un elemento de prueba biométrica 105 de un usuario 101 que contiene un elemento de prueba 104 de integridad, utilizando un módulo 106 de validación
• generar 206 un elemento de prueba irrepudiable 107 a partir del elemento de prueba biométrica 105; y
• almacenar 206 el elemento de prueba irrepudiable 107 por medio del módulo 106 de validación.
La Figura 2 muestra una implementación alternativa con respecto al ejemplo de la Figura 1a del procedimiento de la presente invención. En dicha implementación, un registrador 108 introduce 201 la información 103 de registro en un entorno controlado, actuando como intermediario entre el usuario 101 y el módulo 102 de registro.
Las Figuras 3, 4 y 5 muestran distintas interfaces alternativas para la implementación de los procedimientos para introducir 201 la información 103 de registro y representar visualmente 203 el elemento de prueba 104 de integridad al usuario 101, descrito en el ejemplo de la Figura 1a del procedimiento de la presente invención. La Figura 3 muestra la interacción entre el usuario 101 y un módulo 102 de registro por medio de una interfaz 401 que consiste en un ordenador conectado con el módulo de registro por medio de una red de comunicaciones, tal como Internet. En el ejemplo mostrado en la Figura 4, la interfaz 401 utilizada por el usuario 101 para interactuar con el módulo 202 de registro consiste, asimismo, en un ordenador, pero en este ejemplo el módulo 102 de registro está contenido en dicho ordenador. Finalmente, la Figura 5 describe un ejemplo de implementación en el que la interfaz 401 consiste en una red de telefonía.
Las Figuras 6 y 7 muestran procedimientos alternativos para capturar un elemento de prueba biométrica con respecto al ejemplo de la Figura 1b del procedimiento de la presente invención. En la Figura 6, el elemento de prueba biométrica 105 del usuario 101 se obtiene a través de una emisión de voz del usuario. Con ese fin, se utiliza una interfaz 402 con capacidad para capturar un registro de voz, tal como un micrófono o un teléfono. La Figura 7 muestra un ejemplo en el que el elemento de prueba biométrica 105 del usuario 101 es capturado de un registro manuscrito del votante, tal como la firma de un papel que contiene el elemento impreso de prueba de integridad, la escritura a mano del elemento de prueba de integridad o ambos. También se contempla la posibilidad de utilizar como un elemento de prueba biométrica un soporte de papel con una marca de agua que contiene el elemento de prueba 104 de integridad, y en el que el usuario 101 efectúa una firma manuscrita. La interfaz 402 utilizada en este ejemplo sería un mecanismo de transmisión del soporte de papel, tal como un servicio postal, o una interfaz para capturar una imagen de un soporte de papel y enviar dicha captura al módulo 106 de validación.
La Figura 8 muestra un ejemplo de una etapa opcional de la presente invención que consiste en validar los elementos de prueba irrepudiable 107. En esta etapa, se lleva a cabo un procedimiento para extraer 304 el elemento de prueba biométrica 105 del elemento de prueba irrepudiable 107. Entonces, se lleva a cabo un segundo procedimiento para obtener 302 el elemento de prueba 104 de integridad del elemento de prueba biométrica 105. Además, se lleva a cabo el cálculo 301 de los elementos de prueba 104c de integridad de la información 103c de registro almacenada anteriormente. Finalmente, se lleva a cabo un procedimiento para comparar 303 el elemento de prueba de integridad obtenido del elemento de prueba irrepudiable 104 con los elementos de prueba 104c de integridad obtenidos a partir de la información 103 de registro. El fin de esta comparación es detectar si el elemento de prueba irrepudiable 107 coincide con cualquier información 103c de registro almacenada anteriormente.
La Figura 9 muestra un ejemplo de una etapa opcional de la presente invención. El objetivo de esta etapa consiste en detectar registros duplicados de elementos de prueba irrepudiable 107. Para llevar a cabo el procedimiento, el punto de partida es un elemento de prueba irrepudiable 107 y se aplica al mismo un procedimiento para extraer 304 el elemento de prueba biométrica 105 utilizado para generar dicho elemento de prueba irrepudiable 107. Entonces, se aplica un algoritmo al elemento de prueba biométrica 105 para obtener 305 un elemento de prueba 109 de identidad del usuario 101 que generó el elemento de prueba biométrica 105. También se aplican los mismos procedimientos para extraer elementos de prueba biométrica 304 y obtener un elemento de prueba 305 de identidad al conjunto de elementos almacenados de prueba irrepudiable 107c, obteniendo un conjunto de elementos de prueba 109c de identidad del conjunto de elementos de prueba irrepudiable 107c. Finalmente, se lleva a cabo una comparación 306 para verificar si el elemento de prueba 109 de identidad ya se encuentra en el conjunto de elementos de prueba 109c de identidad. El objetivo es determinar si el elemento de prueba irrepudiable 107 ha sido generado por un usuario que ya ha generado un elemento de prueba irrepudiable en el conjunto 107c.
La Figura 10 muestra una etapa opcional de la presente invención, que consiste en verificar si existe un elemento de prueba irrepudiable 107 para cada información almacenada 103 de registro. El conjunto de elementos de prueba 104c de integridad se calcula 301 a partir de un conjunto de información almacenada 103c de registro. Además, se extrae el conjunto de elementos de prueba biométrica 105c del conjunto de elementos almacenados de prueba irrepudiable 107c. Entonces, se obtiene 302 el conjunto de elementos de prueba 104c de integridad, que pertenecen al conjunto de los elementos almacenados de prueba irrepudiable 107c, del conjunto de elementos de prueba biométrica 105c. Finalmente, se lleva a cabo la comparación 303 de los conjuntos de elementos de prueba 104c de integridad obtenidos en ambos procedimientos con el fin de detectar cuáles son los elementos de prueba 104 de integridad que no aparecen en el conjunto de elementos de prueba 104c de integridad obtenidos a partir de los elementos almacenados de prueba irrepudiable 107c.
Descripción detallada de la invención
La presente invención versa acerca de un procedimiento y de un sistema para proteger la integridad y la autoría de una información de registro de un usuario, mediante la creación de un elemento de prueba irrepudiable de dicha información utilizando técnicas biométricas. La característica principal de esta invención se basa en el hecho de que no es necesario utilizar algoritmos criptográficos de clave pública, tales como una firma digital, para generar dicho elemento de prueba irrepudiable. Esta característica facilita el registro remoto seguro de información de usuarios utilizando medios estándar que no tienen dispositivos de captura biométrica, tales como teléfonos o el servicio postal.
A pesar del hecho de que la presente invención está comprendida, fundamentalmente, en el campo de procedimientos para registrar información de votantes, la presente invención también puede aplicarse a otros campos distintos para generar un elemento de prueba irrepudiable a partir de una información proporcionada por un usuario. Un ejemplo sería la protección de la integridad y de la autoría de documentos digitales o manuscritos. Cualquier referencia de aquí en adelante hecha a un votante o a información de registro de un votante puede interpretarse de forma más genérica como una referencia a un usuario o a una información de registro de un usuario. Es importante hacer hincapié en que el objetivo del elemento de prueba irrepudiable generado en la presente invención es la protección simultánea y a largo plazo de la integridad y de la autoría de una información introducida. Por lo tanto, no se considera que el alcance de la invención incluya el uso del procedimiento propuesto únicamente como una medida de control del acceso mediante la verificación de la identidad de un usuario, sin que comprenda la generación y el almacenamiento del elemento de prueba irrepudiable. Además, se podría proteger la misma información de registro mediante uno o más elementos de prueba irrepudiable generados por distintos usuarios como coautores de dicha información.
Para poner la presente invención en práctica, se propone el uso de un módulo de registro en el que se introduce una información que ha de ser protegida, que será identificada como información de registro. Dicho módulo de registro también generará un elemento de prueba de integridad de la información de registro, necesario para la generación subsiguiente de un elemento de prueba irrepudiable. Opcionalmente, aunque no es esencial, el módulo de registro podría almacenar la información de registro. La invención también utiliza un segundo módulo de validación en el que se generará el elemento de prueba irrepudiable obtenido y será almacenado utilizando características biométricas del votante. Dicho elemento de prueba irrepudiable protegerá la integridad y la autoría de la información de registro. Opcionalmente, se podrían conectar los módulos de registro y de validación entre sí por medio de una red de comunicaciones o podrían compartir medios de almacenamiento.
El módulo de registro puede implementarse de forma aislada (es decir, en un único ordenador) o de una forma distribuida (es decir, en distintos ordenadores). En el caso de una implementación distribuida, los distintos componentes del módulo de registro podrían conectarse entre sí utilizando medios de comunicaciones. Estos medios podrían ser analógicos o digitales. En el caso de medios analógicos, se contempla el uso de medios de comunicación telefónica o de medios equivalentes tales como módems de comunicaciones, terminales telefónicos o fax. En el caso de medios digitales, se contempla una red de comunicaciones tales como Internet, una red punto a punto, una conexión de puerto en serie USB. El módulo de registro tiene una interfaz de entrada y de salida de datos para facilitar que la introducción de la información de registro sea protegida y representar visualmente un elemento de prueba de integridad de dicha información introducida. Esta interfaz puede ser física, analógica o digital. En el caso de una interfaz física, una posible implementación sería por medio de un modelo en formato de papel u otro soporte que facilite la introducción y/o la representación visual de información en forma manuscrita o escrita. Un modelo táctil, tal como en formato Braille, también formaría parte de una interfaz de implementación física. En el caso de una interfaz analógica, se contempla el uso de medios audibles o visuales que facilitan el registro y/o la reproducción de una información en formato analógico. Ejemplos de una interfaz analógica serían un sistema de telefonía o de videoconferencia. En el caso de una interfaz digital, se contempla cualquier interfaz de entrada-salida disponible en un dispositivo informático tal como un ordenador personal, un asistente personal digital, un teléfono móvil o equivalentes. Posibles implementaciones de las interfaces digitales, sin limitar la invención a las mismas, serían una página Web, una aplicación específica de registro, una aplicación de tratamiento de texto o un modelo PDF. El módulo de registro tendrá al menos en uno de sus componentes medios informáticos para procesar al menos la información de registro y/o la generación de un elemento de prueba de integridad de al menos dicha información de registro. Opcionalmente, el módulo de registro podría tener medios digitales y/o analógicos de almacenamiento para almacenar al menos la información de registro y/o el elemento de prueba de integridad.
El módulo de validación puede implementarse de una forma aislada (es decir, en un único ordenador) o de una forma distribuida (es decir, en distintos ordenadores). En el caso de una implementación distribuida, los distintos componentes del módulo de validación podrían conectarse entre sí utilizando medios de comunicaciones. Estos medios podrían ser analógicos o digitales. El módulo de validación tiene una interfaz de entrada y de salida de datos para facilitar la captura de la información necesaria para generar el elemento de prueba irrepudiable. Esta interfaz puede ser física, analógica o digital. En el caso de una interfaz física, una posible implementación sería por medio de un papel u otro soporte equivalente, lo que facilita la representación visual y la introducción de al menos información biométrica manuscrita o táctil. En el caso de una interfaz analógica, se contempla el uso de medios audibles o visuales que facilitan la grabación de una información en formato analógico, tal como una voz o una imagen. En el caso de una interfaz digital, se contempla cualquier interfaz de entrada-salida disponible en un dispositivo informático que facilite la representación de información de una forma visual, audible o táctil y/o facilite la captura de información biométrica manuscrita, visual, física o audible de una persona. El módulo de validación también tiene medios digitales y/o analógicos de almacenamiento para almacenar al menos el elemento de prueba irrepudiable obtenido de la información biométrica capturada. Finalmente, el módulo de validación puede tener, en al menos uno de sus componentes, medios informáticos para procesar al menos el elemento de prueba irrepudiable.
La invención también contempla que el módulo de registro y el módulo de validación son el mismo módulo. Por lo tanto, también puede interpretarse cualquier referencia que aparezca de aquí en adelante acerca del módulo de registro y del módulo de validación como entidades separadas como referencias a un único módulo que lleve a cabo ambas funciones.
Los módulos de registro y/o de validación pueden ejecutarse en el mismo medio informático (por ejemplo, un ordenador) o compartir componentes, tales como los medios de comunicaciones, de almacenamiento, informáticos y/o de entrada/salida. Las Figuras 2, 3, 4, 5, 6 y 7 describen distintos ejemplos soportados por la presente invención para la implementación de estos módulos.
En una implementación preferente, la invención comienza con una primera etapa de introducción de la información de registro que ha de ser protegida utilizando la interfaz física, analógica y/o digital proporcionada por el módulo de registro. Esta información podría ser introducida por un usuario que es el propietario de dicha información (por ejemplo, un votante) u otra persona u otro sistema que interactuará en un entorno controlado con el módulo de registro en representación del usuario y que será identificado como registrador. En el caso de una interfaz física, la información de registro podría ser introducida a partir de un modelo en formato de papel u otro medio físico utilizando un escáner o similar. En el caso de una interfaz analógica, se consideraría la posibilidad de introducir la información utilizando medios accesibles local o remotamente. Posibles escenarios contemplados en esta implementación analógica serían el uso de un teléfono o plataforma de videoconferencia desde los cuales se podría introducir la información conectándose con un teléfono o videoteléfono. En el caso de una interfaz digital, la información de registro podría ser introducida utilizando un fichero en formato electrónico y enviándola a una dirección electrónica, o el procedimiento para introducir la información podría llevarse a cabo por medio de un programa interactivo. Posibles escenarios en este caso serían, sin pretender limitar la invención a ello, el envío de un fichero de texto, un modelo PDF u otro formato que puede utilizar un editor de texto a una dirección de correo electrónico, un modelo de Web o una aplicación interactiva específica diseñada para introducir la información de registro.
La información introducida de registro podría tener un formato preestablecido, tal como un modelo con los campos necesarios para el registro electoral de un votante, por ejemplo. Este modelo podría proporcionarse al votante o al registrador por el mismo módulo de registro como parte de la interfaz para introducir información. En este caso, se podría introducir la información necesaria de registro en el módulo de registro utilizando el mismo formato del modelo o utilizando uno distinto. Por ejemplo, el votante o registrador podría utilizar un modelo en un formato electrónico proporcionado por el módulo de registro, imprimirlo, rellenar la copia impresa y enviar esta a un registrador, de forma que tal registrador podría introducirla en el módulo de registro. Opcionalmente, los campos del modelo podrían mostrar una información almacenada anteriormente en el módulo de registro para facilitar el procedimiento para introducir la información.
Una vez se ha introducido la información de registro, se llevará a cabo una etapa de protección de la integridad de dicha información de registro en el módulo de registro. La etapa de protección de la integridad consistirá en una primera fase en la que se generará un elemento de prueba de integridad a partir de la información introducida de registro. Este elemento de prueba de integridad puede obtenerse aplicando una función de comprobación aleatoria, tal como una función criptográfica de comprobación aleatoria, a la información de registro. Como ejemplos de funciones criptográficas de comprobación aleatoria, sin limitar la invención al uso de las mismas, se podrían utilizar SHA1, SHA2 o MD5. También se considera la posibilidad de utilizar funciones criptográficas MAC (código de validación del mensaje), utilizando una clave conocida por el votante, el registrador y/o el módulo de registro. Como ejemplos de funciones criptográficas MAC, se pueden utilizar funciones criptográficas de tipo CBC-MAC, HMAC o UMAC. En una implementación alternativa, se puede generar el elemento de prueba de integridad utilizando funciones de compresión de datos. Ejemplos de funciones de compresión, sin limitar el uso a ellos, serían las proporcionadas por programas tales como GZIP, RAR o WinZIP. En otra implementación alternativa de la invención, se prescinde del uso de funciones de comprobación aleatoria, y se utilizaría una representación del contenido parcial o completo de la información de registro como un elemento de prueba de integridad.
En una segunda fase de la etapa de protección de la integridad, se representa visualmente el elemento de prueba de integridad al votante, de forma que pueda anotarlo, imprimirlo, memorizarlo o almacenarlo para su uso subsiguiente. Con ese fin, dicha información será transformada a un formato que permita que el votante la comprenda, anote, imprima o almacene. Ejemplos de formatos, sin limitar el campo de aplicación de los mismos, serían una representación alfanumérica de la información, una representación gráfica tal como un código de barras, una representación audible o una representación táctil. También se considera la posibilidad de utilizar una representación que combina varias de estas representaciones. En una implementación alternativa, se representaría visualmente una información parcial del elemento de prueba de integridad al votante para facilitar su capacidad de utilización. En este sentido, se podría representar visualmente una representación obtenida de un subconjunto de los bits más significativos, los bits menos significativos o un subconjunto de bits aleatorios del elemento de prueba de integridad.
La invención también contempla, opcionalmente, que se codifiquen la información de registro, el elemento de prueba de integridad y/o cualquier otra información proporcionada por el votante durante la etapa de registro. Esta codificación puede ser llevada a cabo por el votante o el registrador antes de introducir la información de registro y/o representar visualmente el elemento de prueba de integridad. La codificación podría llevarse a cabo mediante técnicas clásicas de cifrado (por ejemplo, códigos de sustitución), técnicas modernas de cifrado (por ejemplo, cifrado simétrico o asimétrico), técnicas de cifrado visual o técnicas de marca de agua.
También opcionalmente, se contempla la protección de la integridad de los datos de registro, del elemento de prueba de integridad y/o de cualquier otra información proporcionada por el votante durante el procedimiento de registro, utilizando criptografía de clave pública, tal como una firma digital. En este sentido, la información de registro y/o el elemento de prueba de integridad, que podría ser codificado anteriormente, podría ser firmado digitalmente con una clave privada que pertenece al votante, al registrador, al módulo de registro o a otro sistema externo, tal como un servidor de sellos de tiempo. Se podría incluir la firma digital resultante en la información firmada para que forme parte de la misma. Esta firma digital podría efectuarse y ser representada visualmente al votante junto con el elemento de prueba de integridad, en la segunda fase de la etapa de registro.
Una vez que se ha representado visualmente el elemento de prueba de integridad al votante, se iniciará una segunda etapa de generación del elemento de prueba irrepudiable de la información introducida de registro. No se considera crítico en el tiempo el inicio de esta etapa; por lo tanto, dependiendo de la situación, puede llevarse a cabo en un amplio intervalo de tiempo después del final de la etapa de registro (por ejemplo, horas, días, etc.). También puede implementarse utilizando un módulo de validación que tiene características de interfaz distintas de las del módulo de registro (por ejemplo, utilizando una interfaz digital en el módulo de registro y una interfaz analógica en el módulo de validación). Con ese fin, el votante utilizará el módulo de validación en el que se llevará a cabo una primera fase de captura de un elemento de prueba biométrica que contiene el valor del elemento de prueba de integridad. Este elemento de prueba biométrica podría ser un registro de la voz del votante, un registro manuscrito o cualquier otro elemento de prueba biométrica que puede contener el registro de integridad. Con ese fin, el módulo de registro representará visualmente el elemento de prueba de integridad al votante en un formato según el elemento de prueba biométrica que debe ser generado, tal como un formato legible, audible o imprimible, por ejemplo.
En el caso de que el elemento de prueba biométrica sea un registro de voz, este registro contendrá al menos la descripción del contenido del elemento de prueba de integridad y un registro de la voz del votante. Este elemento de prueba biométrica puede ser una grabación de la voz del votante describiendo el contenido del elemento de prueba de integridad (por ejemplo, una grabación del votante enunciando los dígitos del elemento de prueba de integridad). También puede ser la grabación de una representación audible del elemento de prueba de integridad junto con la voz del votante (por ejemplo, aceptando dicho elemento de prueba). Esta grabación podría tener un formato digital, un formato analógico o cualquier otro formato que pueda ser procesado para obtener una identificación del votante por medio de su voz. La grabación podría contener otros registros adicionales de voz del votante o de terceros, al igual que sonidos que pueden ser procesados (por ejemplo, los tonos o impulsos generados cuando se pulsan las teclas de un teléfono).
En caso de que el elemento de prueba biométrica sea un registro manuscrito, este elemento de prueba contendrá al menos una representación legible del elemento de prueba de integridad y una aceptación manuscrita del votante. El elemento de prueba biométrica puede contener la escritura del votante del elemento de prueba de integridad. También podría ser una firma manuscrita efectuada por el votante en una representación visible del elemento de prueba de integridad. La representación visible del elemento de prueba de integridad podría ser una representación impresa o gráfica del elemento de prueba de integridad, tal como una representación alfanumérica o un código de barras. Opcionalmente, la representación visible del elemento de prueba de integridad podría contener el elemento de prueba de integridad codificado mediante una marca de agua o técnicas de cifrado visual.
La presente invención también puede ser implementada con otras técnicas biométricas aparte de las mencionadas, tales como un registro visual, un registro de huella u otras existentes. Con independencia del procedimiento biométrico que se utilice, el elemento de prueba biométrica puede contener, opcionalmente, una información adicional de auditoría de dicho elemento de prueba, tal como un registro horario de cuándo se llevó a cabo y/o información del procedimiento para el cual es válido este elemento de prueba.
Una vez se obtiene el elemento de prueba biométrica, se llevará a cabo una segunda fase de obtención del elemento de prueba irrepudiable. El elemento de prueba irrepudiable contendrá al menos el elemento de prueba biométrica. Por lo tanto, en una implementación preferente, se utilizará el mismo elemento de prueba biométrica como un elemento de prueba irrepudiable. Opcionalmente, el elemento de prueba irrepudiable también podría contener otra información adicional tal como el elemento de prueba de integridad y/o información adicional relacionada con la identidad del votante, un identificador del modelo de registro u otra información que pueda ser considerada relevante. Se podría generar el elemento de prueba irrepudiable en un formato digital, analógico o físico. Ejemplos de implementación de un elemento de prueba irrepudiable podrían consistir en un papel con el elemento de prueba biométrica manuscrita del votante, una grabación de voz del votante o un fichero electrónico que contiene el elemento de prueba biométrica en este formato.
Opcionalmente, el elemento de prueba irrepudiable podría estar protegido mediante técnicas de codificación. Esta codificación puede ser llevada a cabo por el votante o ser llevado a cabo por el registrador. La codificación podría llevarse a cabo mediante técnicas clásicas de cifrado (por ejemplo, códigos de sustitución), técnicas modernas de cifrado (por ejemplo, cifrado simétrico o asimétrico), técnicas de cifrado visual o técnicas de marca de agua. En este sentido, se consideraría el resultado de la codificación como el elemento de prueba irrepudiable.
También opcionalmente, se podría proteger la integridad del elemento de prueba irrepudiable utilizando técnicas criptográficas de clave pública tales como la firma digital. En este sentido, se podría firmar digitalmente el elemento de prueba irrepudiable con una clave privada que pertenece al votante, al registrador, al módulo de validación o a otro sistema externo, tal como un servidor de sellos de tiempo. Se podría añadir la firma digital resultante al elemento de prueba irrepudiable para que forme parte del mismo.
En una última fase de la etapa de creación del elemento de prueba irrepudiable, se almacena este elemento de prueba irrepudiable en una unidad física, digital o analógica de almacenamiento según el formato original de dicho elemento de prueba irrepudiable. Ejemplos de almacenamiento serían un fichero físico, un disco duro o una cinta magnética. Este almacenamiento podría ser llevado a cabo en el mismo módulo de validación o en otro módulo distinto. Opcionalmente, se podría almacenar el elemento de prueba irrepudiable en un formato distinto del original y según el medio de almacenamiento. Por ejemplo, se podría almacenar un elemento de prueba irrepudiable manuscrita en formato digital, tal como un escaneo de dicho elemento de prueba. Otra posibilidad contemplada es que se almacene el elemento de prueba irrepudiable en el formato original y una copia en un formato distinto que facilite su procesamiento subsiguiente. Los elementos de prueba irrepudiable pueden almacenarse agrupados en la misma unidad de almacenamiento o individualmente. Opcionalmente, se puede almacenar una información adicional, tal como un registro horario, identificador del votante u otra información que puede ser considerada relevante para una auditoría, junto con cada elemento de prueba irrepudiable.
La invención contempla una etapa opcional que consistiría en el almacenamiento de la información de registro. Este almacenamiento podría llevarse a cabo en un formato digital, analógico o físico. Se comprenden los formatos digitales de almacenamiento como cualquier formato que permita el almacenamiento de los mismos en medios digitales, tales como un disco duro. Se comprenderá el formato analógico como cualquier formato que permita el almacenamiento del mismo en dispositivos analógicos, tales como un formato audible y visible. Se comprenderá el formato físico como los formatos que permiten el almacenamiento en un medio físico, tal como un formato que permita la impresión de la información. Opcionalmente, el elemento de prueba de integridad también puede ser almacenado junto con la información de registro. Podría ser almacenado en el módulo de registro, en el módulo de validación o en un tercer sistema.
Opcionalmente, antes de llevar a cabo el almacenamiento del elemento de prueba irrepudiable y/o antes de este almacenamiento, la invención contempla la implementación de una etapa de validación de los elementos de prueba irrepudiable. Esta etapa consiste en verificar que el elemento de prueba de integridad contenido en el elemento de prueba biométrica utilizado para generar el elemento de prueba irrepudiable coincide con el elemento de integridad de información de registro de un votante introducida anteriormente. En caso de que dicho registro de información del votante no exista o de que el elemento de prueba de integridad del elemento de prueba irrepudiable no coincida con el elemento de prueba de integridad del registro de información del votante, el almacenamiento del elemento de prueba irrepudiable podría ser cancelado o podría marcarse el registro irrepudiable como no validado. En el caso afirmativo, el elemento de prueba irrepudiable sería almacenado si es necesario y/o el registro del votante sería marcado, opcionalmente, como validado. En una implementación preferente de esta etapa de validación de los elementos de prueba irrepudiable, el elemento de prueba de integridad del elemento de prueba irrepudiable es extraído del elemento de prueba biométrica contenido en el elemento de prueba irrepudiable. Esto se hace utilizando un algoritmo para procesar la información contenida en el elemento de prueba biométrica. Este algoritmo estaría relacionado con el formato en el que se ha generado el elemento de prueba biométrica. Por ejemplo, en caso de que sea un registro audible, se obtendrá la información de un algoritmo para identificar palabras, tonos o impulsos. En otra implementación preferente, se podría almacenar el elemento de prueba de identidad obtenido del elemento de prueba irrepudiable de una forma adjunta al elemento de prueba irrepudiable.
La invención también contempla la implementación opcional de otra etapa de detección de registros irrepudiables duplicados, y puede implementarse antes o después del almacenamiento del elemento de prueba irrepudiable. Esta etapa consiste en detectar si hay más de un registro irrepudiable almacenado que ha sido generado por el mismo votante. En una implementación preferente, esta validación se lleva a cabo extrayendo un elemento de prueba de identidad de los votantes que han generado los elementos de prueba irrepudiable a partir del elemento de prueba biométrica contenido en los elementos de prueba irrepudiable que están siendo verificados. Una vez que se han extraído los elementos de prueba de identidad, se verifica si dos o más elementos de prueba irrepudiable tienen elementos de prueba de identidad correspondientes a la misma persona. En caso afirmativo, se puede no llevar a cabo un almacenamiento del elemento de prueba irrepudiable que estaba siendo verificado contra el resto, si este aún no ha sido almacenado, o los registros irrepudiables que tienen un elemento de prueba de identidad del mismo votante pueden ser marcados como duplicados. Se podría adjuntar el elemento extraído de prueba de identidad o una representación del mismo (por ejemplo, un identificador conocido del votante) a los registros irrepudiables almacenados para facilitar la futura implementación de esta etapa. Para extraer el elemento de prueba de identidad de las características biométricas, se utilizarán algoritmos biométricos según el formato del elemento de prueba biométrica. Por ejemplo, si el elemento de prueba biométrica es un registro manuscrito, se utilizaría un algoritmo que identifica una persona a partir de sus características de escritura.
En otra implementación preferente, se lleva a cabo esta etapa de detección de registros irrepudiables duplicados utilizando un elemento de prueba de identidad obtenido a partir del elemento de prueba biométrica contenido en el elemento de prueba irrepudiable, que ha sido extraído anteriormente y almacenado en el elemento de prueba irrepudiable o junto al mismo. Este elemento de prueba de identidad podría haber sido extraído utilizando algoritmos biométricos durante la etapa de generación del elemento de prueba irrepudiable o subsiguientemente.
Otra etapa opcional contemplada en la invención consiste en la detección de información no validada de registro de votantes. Esta etapa consiste en la verificación de si una información almacenada de registro de votantes coincide con uno de los elementos de prueba irrepudiable almacenados. Esta coincidencia se basa, al menos, en la verificación de si el elemento de prueba de integridad de la información de registro del votante coincide con cualquiera de los elementos de prueba de integridad contenidos en los elementos de prueba biométrica utilizados para generar los elementos de prueba irrepudiable almacenados. En caso afirmativo, se podría marcar el registro del votante como validado o como no validado en el caso negativo. Para obtener el elemento de prueba de integridad de la información de registro y los elementos de prueba irrepudiable, se pueden utilizar los procedimientos descritos anteriormente en la etapa opcional de validar los elementos de prueba irrepudiable.
En una implementación alternativa de la invención, se prescinde del uso de funciones de comprobación aleatoria, utilizando un identificador único proporcionado por el módulo de registro o las autoridades que gestionan el registro electoral antes de la etapa, o durante la misma, de introducción de la información de registro. En este caso, el elemento de prueba de integridad contendría este identificador único. El valor del identificador único podría ser un identificador aleatorio o secuencial relacionado con el modelo de registro o con el propio votante. Ejemplos de identificadores podrían ser el número de seguridad social del votante, un número de orden del votante en una lista de registro, un número de orden del modelo de registro proporcionado al votante, etc.
En otra implementación alternativa de la invención, el votante interactuaría con el módulo de registro mediante un registrador que tendría acceso al módulo de registro en un entorno controlado. En este sentido, el votante enviaría la información completada de registro a un registrador por medio de un canal de comunicaciones, preferentemente seguro, y este registrador la introduciría en el módulo de registro. Este canal de comunicaciones podría ser digital, analógico o físico. Ejemplos de canales soportados de comunicaciones serían Internet, una red de comunicaciones punto a punto, fax o correo postal. Una posible implementación de esta alternativa podría consistir en rellenar un modelo en formato de papel con los datos de registro electoral y enviarlo a través de uno de los canales mencionados al registrador. También se contempla que el votante cumplimente este modelo electrónicamente, utilizando, por ejemplo, un programa específico de registro, un editor de texto o un modelo PDF. En ese caso, el votante podría enviar el modelo electrónico por medio de una red de comunicaciones y herramientas de envío de información, tales como un correo electrónico, o imprimirlo y enviarlo por fax o correo postal al registrador.

Claims (30)

REIVINDICACIONES
1. Un procedimiento implementado por ordenador para la protección de la integridad y de la autoría de una información (103) de registro que pertenece a un usuario (101), que puede ser utilizado para un registro de dicho usuario (101) como un votante, comprendiendo dicho procedimiento, para cada información (103) de registro, las siguientes etapas:
a) introducir (201), por el usuario (101), la información (103) de registro en un módulo (102) de registro de al menos un dispositivo informático;
b) generar (202), mediante el módulo (102) de registro, un elemento de prueba (104) de integridad de la información (103) de registro a partir de al menos dicha información (103) de registro,
en el que se genera el elemento de prueba (104) de integridad por medio de al menos una de: una función de comprobación aleatoria aplicada a al menos parte de la información (103) de registro, una función MAC aplicada a al menos parte de la información (103) de registro utilizando una clave conocida por el usuario (101) y/o el registrador (108), y/o a partir de una copia completa o parcial de la información (103) de registro, comprendiendo dicho procedimiento, además:
c) representar visualmente (203), mediante el módulo (102) de registro, el elemento de prueba (104) de integridad al usuario (101) en un formato legible, audible o imprimible;
d) capturar (204), mediante un módulo (106) de validación de al menos un dispositivo informático, un elemento de prueba biométrica (105) de múltiples formatos, incluyendo voz, una imagen, escritura o una combinación de los mismos, del usuario (101), siendo capturado dicho elemento de prueba biométrica (105) de múltiples formatos obteniendo un registro biométrico del usuario (101) que contiene el elemento representado visualmente de prueba (104) de integridad que incluye un registro de audio, un registro manuscrito, un registro visual o una combinación de los mismos;
e) generar (205), mediante el módulo (106) de validación, un elemento de prueba irrepudiable (107) de la información (103) de registro utilizando al menos el elemento capturado de prueba biométrica (105) de múltiples formatos; y
f) almacenar (206), mediante el módulo (106) de validación, al menos el elemento de prueba irrepudiable (107),
en el que bien antes o bien después del almacenamiento del elemento de prueba irrepudiable (107), el procedimiento:
- valida el elemento generado de prueba irrepudiable (107) verificando si el elemento de prueba irrepudiable (107) ha sido generado en función de un elemento de prueba (104) de integridad de cualquier información (103) de registro introducida; o
- valida que el elemento generado de prueba irrepudiable (107) no es un elemento duplicado de prueba irrepudiable verificando si existe una prueba irrepudiable (107) almacenada que ha sido generada por el mismo usuario (101) como otra prueba irrepudiable (107) que ha de ser almacenada o ya almacenada pero distinta de la comparada; o
- verifica la existencia de registros no validados del elemento de prueba irrepudiable (107) detectando la información (103) de registro introducida en un módulo (102) de registro de al menos un dispositivo informático para el cual aún no se ha almacenado un elemento de prueba irrepudiable (107).
2. El procedimiento según la reivindicación 1, en el que el elemento capturado de prueba biométrica (105) es un registro audible que comprende al menos la voz del usuario (101) que explica el contenido del elemento de prueba (104) de integridad, o al menos una voz que explica o un sonido que representa el contenido del elemento de prueba (104) de integridad y la voz del usuario (101).
3. El procedimiento según la reivindicación 1, en el que el elemento capturado de prueba biométrica (105) es un registro manuscrito de al menos el contenido del elemento de prueba (104) de integridad escrito por el usuario (101).
4. El procedimiento según la reivindicación 1, en el que el elemento capturado de prueba biométrica (105) es un registro manuscrito con una representación gráfica del elemento de prueba (104) de integridad del grupo que comprende una representación alfanumérica, un código de barras o una marca de agua, y un texto escrito por el usuario (101) que acepta dicho elemento de prueba (104) de integridad del grupo que comprende una firma manuscrita o una palabra o frase de aceptación manuscrita por el usuario (101).
5. El procedimiento según la reivindicación 1, en el que el elemento capturado de prueba biométrica (105) es un registro visual de al menos el usuario (101) explicando visualmente el contenido del elemento de prueba (104) de integridad o al menos el usuario (101) aceptando visualmente una representación visible del elemento de prueba (104) de integridad.
6. El procedimiento según la reivindicación 1, en el que en la etapa a) el usuario (101) o un registrador (108) en representación del votante utilizando un entorno controlado introduce la información (103) de registro.
7. El procedimiento según la reivindicación 1, que comprende utilizar como una función de comprobación aleatoria en dicha etapa b) una función criptográfica de comprobación aleatoria, del grupo que comprende MD5, SHA1 o SHA2, y/o una función de compresión de información, del grupo que comprende una función GZIP, RAR o WinZip.
8. El procedimiento según la reivindicación 1, en el que dicho formato legible, audible o imprimible de la etapa c) incluye una representación alfanumérica, gráfica, audible o táctil, o combinaciones de las mismas.
9. El procedimiento según la reivindicación 1, que comprende representar visualmente (203) en la etapa c) una información parcial del elemento de prueba (104) de integridad al usuario (101).
10. El procedimiento según la reivindicación 9, que comprende obtener la información parcial del elemento de prueba (104) de integridad de un conjunto de bits más significativos, menos significativos o aleatorios de dicho elemento de prueba (104) de integridad.
11. El procedimiento según la reivindicación 1, que comprende añadir el elemento de prueba (104) de integridad a la información (103) de registro.
12. El procedimiento según la reivindicación 1, en el que en la etapa d) se utiliza el elemento capturado de prueba biométrica (105) como un elemento de prueba irrepudiable (107).
13. El procedimiento según la reivindicación 1, en el que en la etapa e) se genera (205) el elemento de prueba irrepudiable (107) concatenando el elemento capturado de prueba biométrica (105) y al menos el elemento de prueba (104) de integridad.
14. El procedimiento según la reivindicación 1, en el que en la etapa d) se codifica el elemento generado de prueba irrepudiable (107).
15. El procedimiento según la reivindicación 14, que comprende codificar el elemento generado de prueba irrepudiable (107) por medio de al menos uno de algoritmos criptográficos simétricos, asimétricos, visuales o marcas de agua.
16. El procedimiento según la reivindicación 1 o 14, en el que en la etapa d) se protege la integridad del elemento de prueba irrepudiable (107) por medio de un algoritmo criptográfico del grupo que comprende una firma digital o una función MAC.
17. El procedimiento según la reivindicación 16, en el que al menos el usuario (101), un registrador (108) y/o un servidor de sellos de tiempo participa en la protección de la integridad del elemento de prueba irrepudiable (107).
18. El procedimiento según la reivindicación 1, que comprende, además, almacenar al menos la información (103) de registro en un módulo (102) de registro, un módulo (106) de validación y/o un tercer módulo independiente.
19. El procedimiento según la reivindicación 18, que comprende, además, codificar la información (103) de registro.
20. El procedimiento según la reivindicación 19, que comprende utilizar uno o la combinación de algoritmos criptográficos simétricos, asimétricos, visuales o marcas de agua para codificar la información (103) de registro.
21. El procedimiento según la reivindicación 18 o 19, que comprende proteger la integridad de la información (103) de registro por medio de un algoritmo criptográfico del grupo que comprende una firma digital o una función MAC.
22. El procedimiento según la reivindicación 21, en el que al menos el usuario (101), un registrador (108) y/o un servidor de sellos de tiempo participan en la protección de la integridad de la información (103) de registro.
23. Un sistema para la protección de la integridad y de la autoría de una información (103) de registro que pertenece a un usuario (101), que puede ser utilizada en un registro de un votante, para implementar el procedimiento descrito en las reivindicaciones 1 a 22, que comprende:
a) un módulo (102) de registro de al menos un dispositivo informático configurado para recibir del usuario (101) una información (103) de registro y para generar (202) un elemento de prueba (104) de integridad, comprendiendo el módulo (102) de registro:
i. medios de entrada/salida de datos para recibir la información introducida (103) de registro y para representar visualmente el elemento generado de prueba (104) de integridad de dicha información (103) de registro; y ii. medios de procesamiento para permitir dicha generación (202) del elemento de prueba (104) de integridad de la información (103) de registro; y
b) un módulo (106) de validación de al menos un dispositivo informático que comprende:
i. medios configurados para capturar un elemento de prueba biométrica (105) de múltiples formatos, incluyendo voz, una imagen, escritura o una combinación de las mismas, del usuario (101) y que contiene el elemento representado visualmente de prueba (104) de integridad, y
ii. medios configurados para generar un elemento de prueba irrepudiable (107) de la información (103) de registro utilizando al menos el elemento capturado de prueba biométrica (105) de múltiples formatos y para validar y almacenar al menos el elemento de prueba irrepudiable (107).
24. El sistema según la reivindicación 23, en el que al menos parte de dichos medios de entrada/salida de dicho módulo (102) de registro son un dispositivo para capturar información física del grupo que comprende un escáner de documentos, una cámara fotográfica o un lector Braille.
25. El sistema según la reivindicación 23, en el que al menos parte de dichos medios de entrada/salida de dicho módulo (102) de registro son un dispositivo para capturar información analógica del grupo que comprende una grabadora analógica de sonido, un sistema analógico de telefonía o una cámara analógica.
26. El sistema según la reivindicación 23, en el que al menos parte de dichos medios de entrada/salida de dicho módulo (102) de registro son un dispositivo para capturar información digital del grupo que comprende una red de comunicaciones, una grabadora digital de sonido, un sistema digital de telefonía o una cámara digital.
27. El sistema según la reivindicación 23, en el que dicho medio para capturar de la fase i) de la etapa b) incluye un dispositivo que captura información biométrica en un formato físico del grupo que comprende un dispositivo para escanear documentos o un dispositivo para capturar huellas.
28. El sistema según la reivindicación 23, en el que al menos parte de dichos medios de entrada/salida de dicho módulo (102) de registro son un dispositivo para capturar información biométrica en formato analógico del grupo que comprende un dispositivo para capturar información audible analógica o un dispositivo para capturar información visible analógica.
29. El sistema según la reivindicación 23, en el que dicho medio para capturar de la fase i) de la etapa b) incluye un dispositivo que captura información biométrica en formato digital del grupo que comprende un dispositivo para procesar información biométrica audible en formato digital o un dispositivo para procesar información biométrica visible en formato digital.
30. El sistema según la reivindicación 28, en el que dicho medio para almacenar al menos el elemento de prueba irrepudiable (107) comprende un medio analógico o digital de almacenamiento.
ES07823006T 2007-10-24 2007-10-24 Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales Active ES2749606T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/ES2007/000599 WO2009053500A1 (es) 2007-10-24 2007-10-24 Método y sistema para la protección de registros de información de usuarios aplicable a procesos electorales

Publications (1)

Publication Number Publication Date
ES2749606T3 true ES2749606T3 (es) 2020-03-23

Family

ID=40579108

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07823006T Active ES2749606T3 (es) 2007-10-24 2007-10-24 Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales

Country Status (4)

Country Link
US (1) US8316454B2 (es)
EP (1) EP2216729B1 (es)
ES (1) ES2749606T3 (es)
WO (1) WO2009053500A1 (es)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009068697A1 (es) * 2007-11-26 2009-06-04 Scytl Secure Electronic Voting, Sa Método y sistema para la consolidación segura y auditable de resultados de procesos electorales
JP5275468B2 (ja) * 2008-09-10 2013-08-28 エヌイーシー ヨーロッパ リミテッド サービスアクセスの制限を可能にする方法
CA3002034A1 (en) * 2015-10-14 2017-04-20 Cambridge Blockchain, LLC Systems and methods for managing digital identities
US10068397B2 (en) * 2016-04-06 2018-09-04 Guardtime IP Holdings, Ltd. System and method for access control using context-based proof
KR101853610B1 (ko) * 2017-11-07 2018-05-02 주식회사 시큐브 생체정보 기반의 전자서명 인증 시스템 및 그의 전자서명 인증 방법
US20230142147A1 (en) * 2021-11-10 2023-05-11 Microsoft Technology Licensing, Llc Network communication using proof of presence

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5412727A (en) * 1994-01-14 1995-05-02 Drexler Technology Corporation Anti-fraud voter registration and voting system using a data card
US20020124176A1 (en) * 1998-12-14 2002-09-05 Michael Epstein Biometric identification mechanism that preserves the integrity of the biometric information
US6553494B1 (en) * 1999-07-21 2003-04-22 Sensar, Inc. Method and apparatus for applying and verifying a biometric-based digital signature to an electronic document
DE60003444T2 (de) 1999-08-16 2004-05-06 Votehere Inc., Bellevue Verfahren, medium und vorrichtung zur registrierung von zu erfassenden personen, zum beispiel wähler
US7047418B1 (en) * 2000-11-29 2006-05-16 Applied Minds, Inc. Imaging method and device using biometric information for operator authentication
CA2369274A1 (en) * 2001-01-24 2002-07-24 Roger L. Duerksen Telephonic certification of electronic death registration
US20020141621A1 (en) * 2001-02-09 2002-10-03 Lane William F. Self-authenticating identification substrate with encoded packet output
US7729991B2 (en) 2001-03-20 2010-06-01 Booz-Allen & Hamilton Inc. Method and system for electronic voter registration and electronic voting over a network
US20030012374A1 (en) * 2001-07-16 2003-01-16 Wu Jian Kang Electronic signing of documents
US7197167B2 (en) 2001-08-02 2007-03-27 Avante International Technology, Inc. Registration apparatus and method, as for voting
US7840803B2 (en) * 2002-04-16 2010-11-23 Massachusetts Institute Of Technology Authentication of integrated circuits
US20070112775A1 (en) * 2002-04-17 2007-05-17 Ackerman David M Method for user biometric artifical authentication
US7606768B2 (en) 2003-01-17 2009-10-20 The Mitre Corporation Voice signature with strong binding
US20050044413A1 (en) 2003-02-05 2005-02-24 Accenture Global Services Gmbh Secure electronic registration and voting solution
FR2867881B1 (fr) * 2004-03-17 2006-06-30 Sagem Procede de controle d'identification de personnes et systeme pour la mise en oeuvre du procede
JP4885853B2 (ja) * 2004-06-25 2012-02-29 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 更新可能かつプライベートなバイオメトリクス
US20060289638A1 (en) 2005-06-27 2006-12-28 Schilling Donald L Voting verification system and method
HUP0500872A2 (en) 2005-09-21 2007-05-02 Csik Balazs Method and apparatus for creating digital signature defined by biometric identification
US20070157321A1 (en) * 2006-01-04 2007-07-05 Stephen Errico Method to improve the integrity of internet programs, websites and software

Also Published As

Publication number Publication date
WO2009053500A1 (es) 2009-04-30
US8316454B2 (en) 2012-11-20
EP2216729A1 (en) 2010-08-11
EP2216729A4 (en) 2011-06-22
US20110131661A1 (en) 2011-06-02
EP2216729B1 (en) 2019-07-10

Similar Documents

Publication Publication Date Title
ES2344232T3 (es) Procedimiento y dispositivo para proteger un documento con una imagen de firma añadida y datos biometricos en un sistema de ordenador.
ES2335642T3 (es) Procedimiento para la proteccion de datos.
US7024562B1 (en) Method for carrying out secure digital signature and a system therefor
US8103501B2 (en) System and method for generation and authentication of a signed document using voice analysis
ES2763186T3 (es) Un método implementado en ordenador para certificar automáticamente documentos con garantías de integridad y autenticidad y programas de ordenador del mismo
ES2890833T3 (es) Método, sistema, dispositivo y producto de programa de software para la autorización remota de un usuario de servicios digitales
KR20090122657A (ko) 문자 인식을 통한 공개키 기반의 문서위조 방지 방법
ES2749606T3 (es) Procedimiento y sistema para la protección de registros de información de usuario para su uso en procesos electorales
JP2015537431A (ja) e文書に署名するための追加的な確認を備えたアナログデジタル(AD)署名を使用する方法
US11531746B2 (en) Method for electronic signing of a document by a plurality of signatories
JP2007122143A (ja) 電子チケット配信方法、携帯端末、サーバ、システム及びプログラム
CN108540470A (zh) 基于电子认证标记的认证系统及方法
ES2910352T3 (es) Procedimiento de autenticación fuerte de un individuo
JPH1188321A (ja) ディジタル署名生成サーバ
ES2870153T3 (es) Método y sistema de creación de una firma electrónica de un documento asociado a una persona por la huella de voz de la persona y método correspondiente para verificar la firma electrónica
EP1280098A1 (en) Electronic signing of documents
JP2003134108A (ja) 電子署名システム、電子署名検証装置、電子署名検証方法、プログラム、及び記録媒体
WO2003009217A1 (en) Electronic signing of documents
US10915771B2 (en) Method and apparatus for securing a captured fingerprint
JP6616868B1 (ja) 情報処理システム及び情報処理方法
CN104980275A (zh) 一种可代签的基于二维码的数字签名认证方案
JP2020022150A (ja) 情報処理システム及び情報処理方法
JP4495957B2 (ja) 生体照合を用いた個人認証装置、生体照合を用いた個人認証システム、及び生体照合を用いた個人認証方法
JP2010079515A (ja) 認証システム、そのシステムに用いるキー、認証方法およびプログラム
JP2002040936A (ja) 電子印鑑作成装置、電子印鑑証明書発行装置、電子印鑑署名装置、及び電子印鑑認証装置、並びに電子署名システム及び電子署名方法