La Policía deja abierta otra brecha de seguridad en el DNI 3.0 que permite seguir falseando firmas

Fuente: Vozpopuli enlace a la noticia
La Policía ha desactivado la firma digital del DNI 3.0 por fallos de seguridad, pero un ingeniero español ha descubierto que existe otra vulnerabilidad que permite seguir falsificando firmas
La Dirección General de la Policía (DGP) ha anulado la firma digital de los DNI expedidos desde abril de 2015 hasta ahora, tal y como adelantó El País, pero lo que no se ha puesto sobre la mesa es que las operaciones de firma realizadas desde esa fecha no tienen garantías.El fallo por el cual la DGP ha decidido anular la firma electrónica viene derivado del chip de fabricación que se incorporó en la actualización del DNI en abril de 2015, y que son fabricados por la empresa alemana Infineon. Un ingeniero español de Seguridad (Héctor M.)  ha descubierto que, además de la debilidad denominada como Roca, existe otra en la emisión de firma digital. En resumen, el diseño de la firma digital para el DNI 3.0 no certifica la fecha y hora de cada operación. El chip no tiene esa capacidad.
"Un ciberdelincuente podría firmar un contrato haciéndose pasar por otra persona, con una firma falsa y con fecha en el pasado o el futuro, y no habría forma de saber si la firma es falsa o si realmente se realizó posteriormente a que se descubriera el fallo de seguridad y la Policía anulara el sistema de firma. La Dirección General de la Policía puede marcar los certificados de firma como no válidos, pero no hay forma de bloquear su uso", matiza Héctor.
Un fallo que, según este ingeniero español que trabaja en Japón, podría haberse evitado, ya que existen tecnologías que permiten certificar la fecha y hora de las firmas digitales. "Hay tecnologías denominadas de sellado de tiempo que permiten certificar la fecha y hora de las firmas digitales, pero no se han implantado en el sistema central del DNI 3.0. Cada prestador de servicios decide tener una tercera parte que certifique la fecha de las firmas, y no todos lo hacen", añade Héctor.
La vulnerabilidad 'Roca'
El DNI 3.0 posee dos códigos, uno público y otro privado, que están conectados, tal y como descubrió el equipo de Petr Svenda, miembro del Centro para la Investigación de Criptografía y Seguridad vinculado a la Universidad checa de Masaryk.
El problema es que una vulnerabilidad permite a terceros conocer el código privado. Por eso la Policía ha desactivado este certificado digital, ya que se usa para diversos trámites administrativos, además de otros mercantiles y privados.
Alguien que se hiciera con ese certificado privado podría firmar documentos en nombre del verdadero propietario del DNI. Lo que ha descubierto Héctor M. es que pese a la desactivación anunciada por la policía, puede seguir haciéndose.