Historias
Slashboxes
Comentarios
 

Login Barrapunto

Login

[ Crear nueva cuenta ]

Fallo en el DNIe español

editada por nettizen el Jueves, 09 Noviembre de 2017, 09:17h   Printer-friendly   Email story
Un pobrecito hablador nos cuenta: «Hace unos días se publicaba la noticia del fallo en una biblioteca de claves RSA de Infineon. Esta vulnerabilidad supondría la realización de un ataque de factorización con conocer sólo la clave pública, con el resultado del suplantamiento de identidad. La noticia tiene una importante repercusión en España puesto que el Documento Nacional de Identidad electrónica (DNIe) utiliza esa biblioteca y ese chip. La consecuencia es que la policía ha desactivado la firma digital en aquellos DNIe expedidos después de Abril del 2015.»

Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Noticia muy importante ésta

    (Puntos:5, Informativo)
    por jperex (53608) el Jueves, 09 Noviembre de 2017, 20:42h (#1380066)
    ( Última bitácora: Viernes, 08 Diciembre de 2017, 19:53h )
    La vulnerabilidad está presente en el firmware de un chipset de la compañía Infineon, y consiste en la generación de claves RSA débiles que permiten calcular la clave privada a partir de la clave pública.

    El Cuerpo Nacional de Policía ha informado que ha revocado los certificados de los DNI-e expedidos a partir de abril de 2015 con número de soporte posterior al ASG160.000 [dnielectronico.es], de manera que ahora mismo no podemos usar nuestros DNI-e para autenticación ni para firma electrónica. Los ciudadanos podremos actualizar nuestros certificados presencialmente en las Oficinas de Documentación, no ahora, sino "en próximas fechas", "cuando las soluciones técnicas necesarias estén implementadas" (noticia oficial [dnielectronico.es]).

    En Estonia, ejemplo de un gobierno que apuesta por el uso de servicios electrónicos para todos los trámites de los ciudadanos con la administración (visto en Barrapunto [barrapunto.com]) se han revocado los certificados de los documentos de identidad expedidos entre el 16 de octubre de 2014 y el 25 de octubre de 2017 (anuncio oficial [www.id.ee]) afectando a 760000 documentos, un 58% del total en circulación, y han necesitado pocos días para facilitar a los ciudadanos la actualización remota de sus certificados [github.com] que usarán ahora criptografía por claves elípticas generadas por otra librería distinta a la afectada por la vulnerabilidad. Y todo con software de código abierto [github.com].

    Los DNI-e españoles y Estonios sirven ahora (hasta que se actualicen sus certificados) únicamente como medio de identificación tradicional ante los agentes de policía.

    Más información en Xataka [xataka.com].

    [ Responder ]
  • ¿Cómo conseguir la clave pública de

    (Puntos:1, Interesante)
    por pobrecito hablador el Viernes, 10 Noviembre de 2017, 07:21h (#1380067)

    Yo tengo una duda para poder valorar la gravedad de esta incidencia: ¿De dénde se puede obtener la clave pública de un DNI electrónico?

    A. Entiendo que con el acceso a un DNI Electrónico de forma física, se pueda leer sin necesidad de teclear claves. Si fuera sólo ésto el problema estaría relativamente controlado custodiando el DNIe.

    B. También doy por hecho que cuando se crea el par de claves del DNI la clave pública se envía a la autoridad certificadora de la policía para que la firme. ¿Pero la CA de la policía pone a disposición pública las claves privadas de los ciudadanos para su verificación? ¿O simplemente las guarda a buen recauda? Si es la opción segunda, la problemática no sería tan grave.

    C. Por ota parte supongo que al acceder a un sitio web que nos pide el uso de certificado electrónico se le remite nuestra clave pública firmada. Este podría ser un ataque contra esta vulnerabilidad pero sus riesgos se minimizarían si sólo se accede con DNI electrónico a los sitios fiables.

    A ver si hay alguien que me pueda aclarar las dudas. ¡Gracias!

    [ Responder ]