Centro de Cooperación Interbancaria​
  • Contacto
  • Acceso a Intranet
  • Noticias
  • Pinakes
  • Contacto
  • Acceso a Intranet
  • Noticias
  • Pinakes

La Policía deja abierta otra brecha de seguridad en el DNI 3.0 que permite seguir falseando firmas

14/11/2017

 
Fuente: Vozpopuli enlace a la noticia
La Policía ha desactivado la firma digital del DNI 3.0 por fallos de seguridad, pero un ingeniero español ha descubierto que existe otra vulnerabilidad que permite seguir falsificando firmas
La Dirección General de la Policía (DGP) ha anulado la firma digital de los DNI expedidos desde abril de 2015 hasta ahora, tal y como adelantó El País, pero lo que no se ha puesto sobre la mesa es que las operaciones de firma realizadas desde esa fecha no tienen garantías.El fallo por el cual la DGP ha decidido anular la firma electrónica viene derivado del chip de fabricación que se incorporó en la actualización del DNI en abril de 2015, y que son fabricados por la empresa alemana Infineon. Un ingeniero español de Seguridad (Héctor M.)  ha descubierto que, además de la debilidad denominada como Roca, existe otra en la emisión de firma digital. En resumen, el diseño de la firma digital para el DNI 3.0 no certifica la fecha y hora de cada operación. El chip no tiene esa capacidad.
"Un ciberdelincuente podría firmar un contrato haciéndose pasar por otra persona, con una firma falsa y con fecha en el pasado o el futuro, y no habría forma de saber si la firma es falsa o si realmente se realizó posteriormente a que se descubriera el fallo de seguridad y la Policía anulara el sistema de firma. La Dirección General de la Policía puede marcar los certificados de firma como no válidos, pero no hay forma de bloquear su uso", matiza Héctor.
Un fallo que, según este ingeniero español que trabaja en Japón, podría haberse evitado, ya que existen tecnologías que permiten certificar la fecha y hora de las firmas digitales. "Hay tecnologías denominadas de sellado de tiempo que permiten certificar la fecha y hora de las firmas digitales, pero no se han implantado en el sistema central del DNI 3.0. Cada prestador de servicios decide tener una tercera parte que certifique la fecha de las firmas, y no todos lo hacen", añade Héctor.
La vulnerabilidad 'Roca'
El DNI 3.0 posee dos códigos, uno público y otro privado, que están conectados, tal y como descubrió el equipo de Petr Svenda, miembro del Centro para la Investigación de Criptografía y Seguridad vinculado a la Universidad checa de Masaryk.
El problema es que una vulnerabilidad permite a terceros conocer el código privado. Por eso la Policía ha desactivado este certificado digital, ya que se usa para diversos trámites administrativos, además de otros mercantiles y privados.
Alguien que se hiciera con ese certificado privado podría firmar documentos en nombre del verdadero propietario del DNI. Lo que ha descubierto Héctor M. es que pese a la desactivación anunciada por la policía, puede seguir haciéndose.


Comments are closed.

    Autor

    Escribe algo sobre ti mismo. No hay que ser elegante, sólo haz un resumen.

    Archivos

    October 2021
    April 2021
    March 2021
    February 2021
    October 2020
    September 2020
    March 2020
    October 2019
    March 2019
    December 2018
    August 2018
    July 2018
    March 2018
    February 2018
    January 2018
    December 2017
    November 2017
    October 2017
    September 2017
    July 2017
    May 2017
    March 2017
    February 2017
    December 2016
    October 2016
    July 2016
    June 2016
    May 2016
    January 2016
    November 2015
    October 2015
    September 2015
    April 2015
    March 2015

    Categorías

    All

    RSS Feed

términos y condiciones

política de cookies

imágenes:pexels.com
Copyright © 2018