Centro de Cooperación Interbancaria​
  • Contacto
  • Acceso a Intranet
  • Noticias
  • Pinakes
  • Contacto
  • Acceso a Intranet
  • Noticias
  • Pinakes

La Policía deja abierta otra brecha de seguridad en el DNI 3.0 que permite seguir falseando firmas

14/11/2017

 
Fuente: Vozpopuli enlace a la noticia
La Policía ha desactivado la firma digital del DNI 3.0 por fallos de seguridad, pero un ingeniero español ha descubierto que existe otra vulnerabilidad que permite seguir falsificando firmas
La Dirección General de la Policía (DGP) ha anulado la firma digital de los DNI expedidos desde abril de 2015 hasta ahora, tal y como adelantó El País, pero lo que no se ha puesto sobre la mesa es que las operaciones de firma realizadas desde esa fecha no tienen garantías.El fallo por el cual la DGP ha decidido anular la firma electrónica viene derivado del chip de fabricación que se incorporó en la actualización del DNI en abril de 2015, y que son fabricados por la empresa alemana Infineon. Un ingeniero español de Seguridad (Héctor M.)  ha descubierto que, además de la debilidad denominada como Roca, existe otra en la emisión de firma digital. En resumen, el diseño de la firma digital para el DNI 3.0 no certifica la fecha y hora de cada operación. El chip no tiene esa capacidad.
"Un ciberdelincuente podría firmar un contrato haciéndose pasar por otra persona, con una firma falsa y con fecha en el pasado o el futuro, y no habría forma de saber si la firma es falsa o si realmente se realizó posteriormente a que se descubriera el fallo de seguridad y la Policía anulara el sistema de firma. La Dirección General de la Policía puede marcar los certificados de firma como no válidos, pero no hay forma de bloquear su uso", matiza Héctor.
Un fallo que, según este ingeniero español que trabaja en Japón, podría haberse evitado, ya que existen tecnologías que permiten certificar la fecha y hora de las firmas digitales. "Hay tecnologías denominadas de sellado de tiempo que permiten certificar la fecha y hora de las firmas digitales, pero no se han implantado en el sistema central del DNI 3.0. Cada prestador de servicios decide tener una tercera parte que certifique la fecha de las firmas, y no todos lo hacen", añade Héctor.
La vulnerabilidad 'Roca'
El DNI 3.0 posee dos códigos, uno público y otro privado, que están conectados, tal y como descubrió el equipo de Petr Svenda, miembro del Centro para la Investigación de Criptografía y Seguridad vinculado a la Universidad checa de Masaryk.
El problema es que una vulnerabilidad permite a terceros conocer el código privado. Por eso la Policía ha desactivado este certificado digital, ya que se usa para diversos trámites administrativos, además de otros mercantiles y privados.
Alguien que se hiciera con ese certificado privado podría firmar documentos en nombre del verdadero propietario del DNI. Lo que ha descubierto Héctor M. es que pese a la desactivación anunciada por la policía, puede seguir haciéndose.


Los comentarios están cerrados.

    Autor

    Escribe algo sobre ti mismo. No hay que ser elegante, sólo haz un resumen.

    Archivos

    Octubre 2021
    Abril 2021
    Marzo 2021
    Febrero 2021
    Octubre 2020
    Septiembre 2020
    Marzo 2020
    Octubre 2019
    Marzo 2019
    Diciembre 2018
    Agosto 2018
    Julio 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Mayo 2017
    Marzo 2017
    Febrero 2017
    Diciembre 2016
    Octubre 2016
    Julio 2016
    Junio 2016
    Mayo 2016
    Enero 2016
    Noviembre 2015
    Octubre 2015
    Septiembre 2015
    Abril 2015
    Marzo 2015

    Categorías

    Todo

    Canal RSS

Si quiere tratar algún tema de interés, rogamos dirija un correo electrónico a nuestro buzón: organizacion@asociacioncci.es

términos y condiciones

política de cookies

imágenes:pexels.com
Copyright © 2018