Resultados 1 al 2 de 2

La policía desactiva la firma digital del DNI por fallos de seguridad

  1. #1 La policía desactiva la firma digital del DNI por fallos de seguridad 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    La vulnerabilidad ha sido descubierta por una universidad checa y afecta a los expedidos desde 2015.

    La policía ha desactivado la función de certificado digital de los DNIelectrónicos que fueron expedidos desde abril desde 2015 después de que un estudio haya alertado de un posible fallo de seguridad de este sistema de identificación online. La medida se ha tomado después de que una investigación publicada recientemente por una universidad de la República Checa haya señalado que el chip de los nuevos DNI españoles podría ser "vulnerable" ante un "ataque informático muy organizado", según un portavoz del Cuerpo Nacional de Policía. Este portavoz ha añadido que el DNI "no ha sufrido ningún ataque" y que, "hasta el momento, es invulnerable".



    Imágenes del DNI facilitadas por la policía.

    Ese posible fallo está siendo analizado por el Organismo de Certificación español, según informa la Dirección General de la Policía, que ha comenzado a modificar las funcionalidades de esos documentos para garantizar "la máxima seguridad y confidencialidad en la utilización de la autentificación y firma electrónica en España". La medida ha sido adoptada con carácter preventivo "con el objetivo de mejorar su seguridad para evitar cualquier tipo de vulnerabilidad en el futuro".

    Los documentos que pueden verse afectados son los que tienen el número de soporte posterior al ASG160.000 que fueron expedidos a partir de abril de 2015. Según la policía, hasta que en "fechas próximas" no se implementen las soluciones técnicas necesarias, se desactivará la funcionalidad de los certificados digitales de parte de los actuales DNIe. Cuando estén disponibles, serán los titulares quienes tengan que ir directamente a actualizarlos en las oficinas de documentación.

    La policía comunicará "puntualmente" cuando eso sea posible y, entretanto, el DNIe sigue siendo válido como documento de identificación (para cualquier tipo de trámite administrativo, mercantil, privado) y como documento de viaje para viajar a los países de la UE.

    Fuente:
    https://politica.elpais.com/politica/2017/11/09/actualidad/1510217634_470836.html
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2 Nueva víctima del ataque R.O.C.A.: el DNIe español 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.284
    Descargas
    223
    Uploads
    250
    El DNI electrónico español también se ve afectado por la vulnerabilidad de la librería de claves RSA y el ataque R.O.C.A.




    La Dirección General de Policía a través de la página oficial del DNI electrónico ha publicado un comunicado que alerta de un problema de seguridad relacionado con los certificados electrónicos del DNIe. El Organismo de Certificación español y la Dirección General de la Policía se encuentran trabajando en un análisis de la viabilidad del ataque R.O.C.A. y en la modificación de las funcionalidades del DNIe para corregir el actual problema y "garantizar la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España".

    Debido a la vulnerabilidad R.O.C.A. de la que hablábamos anteriormente se puede obtener o inferir la clave RSA privada a partir de la correspondiente clave pública.

    El DNIe utiliza un certificado digital con clave RSA de 2048 bits lo que supondría que para obtener la clave privada, en el peor de los casos y según el ejemplo que se comentaba en la anterior noticia, se necesitarían unos pocos días de cómputo. Se debe considerar que las instancias Amazon AWS C4 hacen uso de hasta 36 CPUs virtuales basadas en procesadores Intel Xeon, y que otros tipo de instancias basadas en GPU podrían mejorar tanto los tiempos como los costes derivados del ataque.

    Por el momento se ha desactivado la funcionalidad de certificado digital en los DNIe. Estos podrán ser actualizados por los titulares en las Oficinas de Documentación cuando esté disponible la solución, aunque no se ha establecido ninguna fecha estimada.

    Los documentos nacionales de identidad cuyos certificados podrían verse afectados por la vulnerabilidad son aquellos cuyo número de soporte es posterior al ASG160.000 (dicho dato aparece en el campo "Número de Soporte" de los nuevos y en
    el campo "IDESP" de los DNIe de los anteriores; ver imágenes para mayor información), que fueron expedidos a partir del mes de Abril de 2015.


    Número de soporte en las distintas versiones del DNIe. Fuente: dnielectronico.es


    Escrito por Juan José Ruiz
    [email protected]


    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

Temas similares

  1. Nociones sobre Criptografía y firma digital
    Por clarinetista en el foro GENERAL
    Respuestas: 2
    Último mensaje: 24-07-2008, 23:09
  2. Firma Digital Fabricante Ayuda! :(
    Por posker111 en el foro INTRUSION
    Respuestas: 0
    Último mensaje: 22-02-2008, 10:28
  3. xp me dice que falta firma digital!!!
    Por morza en el foro HARDWARE
    Respuestas: 4
    Último mensaje: 24-05-2004, 15:50
  4. Respuestas: 2
    Último mensaje: 04-02-2004, 20:47
  5. La firma digital llega a los juzgados
    Por aerial25 en el foro NOTICIAS
    Respuestas: 3
    Último mensaje: 14-12-2003, 00:26

Marcadores

Marcadores