Utilizar MD5 para recurrir las multas de tráfico

El algoritmo MD5 se utiliza en los procesos de cifrado de información y la firma digital, conjuntamente con los sistemas de clave pública.

Imágenes modificadas

Un australiano consigue anular una multa de tráfico ante la imposibilidad de las autoridades de tráfico de demostrar fehacientemente que la imagen registrada por un radar no ha sido alterada.

Todo empezó cuando un australiano circulaba con su coche por una carretera que estaba siendo controlada con un radar que registra aquellos vehículos que circulan a una velocidad superior a la permitida. Si se sobrepasa la velocidad, automáticamente se emite una denuncia y se expide la correspondiente multa.

Hasta aquí nada destacable. Lo curioso del caso empieza cuando el abogado que representa al multado recurre la denuncia, argumentando que no se ha probado que la imagen obtenida por la cámara asociada al radar no ha sido modificada de ninguna forma.

Las autoridades australianas del tráfico responden a esta argumentación que se utiliza el algoritmo matemático MD5 para obtener una suma de control de las imágenes obtenidas por el radar. El problema radica en que no encuentran a ningún perito que demuestre ante el tribunal la validez de dicho algoritmo.

El algoritmo MD5 permite obtener una suma de control de longitud fija (habitualmente 128 ó 160 bits) a partir de una entrada arbitrariamente larga, con la característica que el valor obtenido es único y no reversible. Este algoritmo se ha venido utilizando habitualmente para obtener una suma de control de archivos informáticos, con el objeto de garantizar que no han sido modificados. También se utiliza en los procesos de cifrado de información y la firma digital, conjuntamente con los sistemas de clave pública.

En el caso de la suma de control, se suponía que cualquier archivo informático produciría una suma de control única. Es decir, que cualquier modificación en un archivo tiene como resultado una suma de control diferente y que no hay dos archivos diferentes que generen el mismo valor para su suma de control.

Vulnerabilidades y algoritmos

A finales del año pasado unos investigadores anunciaron diversas vulnerabilidades en los algoritmos utilizados para la obtención de sumas de control, afectando a MD5 y SHA, consistentes en el descubrimiento de colisiones. Esto es, se había demostrado que las sumas de control no eran únicas. Para simplificar, dos archivos diferentes podían tener exactamente la misma suma de control.

En el caso de los radares de tráfico australianos, se sacaba una suma de control de las imágenes obtenidas. Esta suma de control se obtenía aplicando el algoritmo MD5. Y esto es justamente lo que ha permitido recurrir la multa de tráfico.

Las autoridades de tráfico de Australia no han conseguido que ningún perito demostrara ante el tribunal que la suma de control MD5 identificaba de forma inequívoca y única a cada fotografía tomada, garantizando que no se ha realizado ninguna modificación en la misma. Por tanto, en teoría la fotografía podía haber sido retocada para cambiar la matrícula del automóvil y se carecía de la certeza de demostrar la realización de este cambio.

Ante la imposibilidad de garantizar la validez de la prueba fotográfica, que era la única aportada por las autoridades australianas, se retiró la denuncia presentada y, en consecuencia, se anuló la multa.