EDICIóN GENERAL
233 meneos
3268 clics
Los certificados electrónicos del DNIe serán sustituidos para garantizar la máxima seguridad

Los certificados electrónicos del DNIe serán sustituidos para garantizar la máxima seguridad

Esta medida preventiva de refuerzo de la seguridad, que está siendo implementada por la División de Documentación de la Dirección General de la Policía, será llevada a cabo en fechas próximas, durante las cuales se suspenderá la funcionalidad de los certificados para proceder a su sustitución y reforzar así los estándares de calidad y seguridad del DNI electrónico. | Otra fuente/vía y relacionada en #1

| etiquetas: dnie , certificado , electrónico , seguridad , policía , dgp
Comentarios destacados:                        
#2 ¿Eso hará que por fin el DNIe pueda ser usado por quienes no tengan un par de másters en ingeniería informática?
¿Eso hará que por fin el DNIe pueda ser usado por quienes no tengan un par de másters en ingeniería informática?
#2 Mejor pásate por la relacionada. :-D
#3 La leí en su momento, por eso lo digo.
#4 Pues mejor espera a ver que pasa después de la suspensión y el reset. :tinfoil:
#2 Lo reconozco: lo intenté y fracasé. Aunque reconozco que no tengo el máster en informática.
#2 #8 Hombre, yo lo tuve que usar en un despacho e instalar el tema en Win y Mac y tampoco fue una debacle. No es algo que lleve cinco minutos pero tampoco es una debacle. :-D

Edit/añado, sí hubo que hacer alguna llamada por el Mac. :shit:
#9 Depende de la versión de Windows que tengas. Yo tengo una para la cual, tras mil gestiones, la propia policía me acabó enviando este email reconociendo que el software que ellos mismos tenían publicado para descargar no funciona. Aquí la captura del email:  media
#10 Buen detalle por su parte.
#16 El que tenían era anterior, seguro, un 7 u 8. (cc #10 que no le he contestado) De todas formas es una puñetera ginkana.
#9 Yo con Windows 10 no he sido capaz de hacerlo funcionar.
#16 usa el edge como iexplorer para que te los reconozca. Yo si puedo.
#16 Depende de donde intentes usarlo, en alguna administración me ha puesto "solo funciona con Internet Explorer 7 o anterior" y mi W10 viene con IE11 de fabrica :roll:
#46 ¿Has intentado hacer spoofing del navegador, es decir, hacerlo pasar por otro navegador/versión?
#16 Vuelve al XP
#16 internet explorer (el que viene con windows 10) + software Java + lector original de los que regalaban, me funciona todo

con otros lectores que venden no funciona aunque pongan compatibles con DNIe.

Tengo este  media
#30 Yo, pero como indico en #86
#9 importar y exportar certificado en tu sistema operativo. cinco minutos con contraseña.

No se donde está el problema.
#9 Pero es que hablamos del DNIe... no tendrá verdadera utilidad hasta que un chimpancé sea capaz de usarlo tan fácilmente como se usa la tarjeta VIsa. Si su uso sigue siendo minoritario es dinero tirado a la basura.
#49 Hombre, minoritario... como muestra, ahora todo el sistema legal, abogados, procuradores, etc., son usuarios.
#53 ¿Podríamos, por ejemplo, usarlo para votar en un referéndum nacional actualmente? Como único medio de votar, quiero decir... ¿Cual sería la participación en ese caso?
#56 Uf, buena pregunta aunque dada la hora no me voy a extender. De entrada mucha gente yo incluido y para un tema tan serio no sé aún cómo de preparado está el 'sistema'. Luego está la fecha de vencimiento de los carnet de diez años, mucha gente todavía estará con los antiguos. Bote pronto es lo que se me ocurre. :-)
#58 Pues ya lleva unos años dando vueltas el dichoso DNIe para encontrarnos todavía en este punto ¿no crees? Al final los móviles le van a pasar la mano por la cara para muchas cosas.
#60 Y seguiré sin fiarme, de la vieja escuela. xD Sí la verdad, no sé quizá en dos tres años estén todos con el nuevo, no recuerdo la fecha de su inicio.

Hay mucho mucho que mejorar en seguridad y usabilidad en sistemas como este y con aplicaciones como la que mencionabas.
#64 Pero usan más del certificado de la FNMT.
#9 Es terrible. Tienes que descargar uno por uno los certificados e instalarlos a mano en cada navegador, y lo mismo para las librerías criptográficas. ¿Por qué no hacen un instalador?
Yo incluso me bajé una aplicación para windows con la que firmar documentos, y no me funcionaba.
#8 pues difícil no era, era pesado.
#2 y además mucha suerte
#2 Yo en linux tuve más problema por la desconfianza de poder hacerlo que por que sea difícil. Al final, se trató de bajar e instalar dos archivos y seguir unas instrucciones (es algo que descoloca por como surge pero no es difícil). De hecho me dio más guerra instalar el lector de DNI, además de viejo, no indica como hay que insertar el DNI. Al final, cuando ya casi estaba para abandonar, justo después de estar seguro que el lector leía bien con un programa específico, intenté entrar en una…   » ver todo el comentario
#2 Los que estudiamos informática tampoco sabemos usar software chapuza.

Que en ingeniería no nos enseñan a instalar cosas en el ordenador...
#20 Que en ingeniería no nos enseñan a instalar cosas en el ordenador...

Lo hacen para protegeros de cuñaos y demás fauna. "Me instalas el güindous pirata?"
#20 A mí a principios de los 90, me llegaba gente diciéndome: "oye, que tengo la impresora fulanita, y uso el programa zetanito, y no consigo que me imprima en color, pero con el programa menganito, sí que lo hace". Yo ponía cara de póker y contestaba "ni he usado nunca esa impresora, ni conozco los programas que me nombras". La respuesta: "ah, ¿pero tú no eres informático?".
Paletos con la boina a rosca que pensaban que su programa de gestión en MS-DOS era algo universal.
#2 Yo conseguí resolver un trámite con el DNI electrónico, está en mi lista de proezas entre terminarme el Turok 2 y el Super Ghouls'n Ghosts :-D

Luego volví a intentarlo para una gestión que podía resolver de otra manera y a la media hora ya había desistido e iba a resolverla de esa otra manera...
#50 Pues imagina la gente "normal", como por ejemplo mi madre, que cuando renovó el DNI me pregunto "si podía usarlo en el cajero del banco"...
#2 yo cada vez que veo todas las mierdas en Java de las administraciones me pregunto como harán todo esto en otros países, si sera igual de cutre que aquí o si usaran mejores soluciones..
#72 si te sirve de consuelo en corea del sur tienes que tener POR COJONES un internet explorer que soporte active-x para la mayoria de las cosas oficiales (incluidas compras en linea) (dicen que lo van a quitar, no se si habran empezado ya)
#2 En PC solo necesitas iexplorer.
Me da que alguno robará dinero con esto
#6 cada x años version nueva que sigue sin funcionar y a seguir trincando por el bien de españa.
Chapuza, sobres y corrupcion 3.0 ppera.
Tal y como se escriben estas noticias dudo de si se refieren sólo a los certificados o también a la tarjeta.

Si quieren cambiar la tarjeta sería una putada puesto que recientemente se añadió soporte funcional a la biblioteca OpenSC.
Yo y mi pareja hace años que usamos en Linux los certificados digitales de la FMNT: www.sede.fnmt.gob.es/certificados/persona-fisica) para la declaración de la renta, gobierno local y alguna cosa mas y van bien, los usamos en varios equipos informáticos . El DNI es un jaleo ya sólo de estar instalando un lector, y hace unos años daba más problemas en Linux, aunque recuerdo hacerlo funcionar.
#14 El problema es que hay administraciones autonómicas que no reconocen los certificados de la FNMT, y exigen que te saques un certificado de su autoridad certificadora (malditas autonomías y su duplicidad de funciones), y sólo permiten el DNIe en su defecto.
#32 Te diría que habría que centralizarlo en la FNMT y obligar a todas las autonomías a tener como poco dicho certificado (si luego quieren tener más, alla ellos). Pero hoy en día no dejar a una autonomía hacer lo que le salga de los cojones es ser un facha...
#33 Completamente de acuerdo.
#35 Yo aún diría mas, completamente de acuerdo.
#32 a mi solo me he pasado con el ayto de mi ciudad, donde admiten DNIe con el applet Java roñoso de AutoFirma y otras CA de mierda como CATCert, CAGVA, izenpe... pero no FNMT y vivo en una ciudad de Madrid. Sin embargo para cosas de la comunidad autónoma de Madrid sin problemas.

Mi pareja ha gestionado todo de autónomos (seg. social y hacienda) con el de la FNMT. Y el de la FNMT lo solicitamos con Firefox en mi Arch Linux y a correr.

En windows no se como se difícil es hacer andar el DNIe, en macOS era jodido aunque recientemente tuve que montarlo y fue todo a la primera y en Linux con los paquetes de opensc en su momento parcheados y ahora con opensc de upstream, desde hace unas versiones sin problemas.
#32 y esas autonomías tampoco reconocen el dinero de la FNMT? Habéis vuelto al trueque?
#77 No, para cobrar bien que aceptan el dinero de la FNMT, ahora bien, para dar servicio la cosa cambia.

Aquí tienes un ejemplo de trámite electrónico donde, o utilizas el DNIe, o tienes que sacarte el certificado propio de la comunidad autónoma ( en este caso, de la Generalidad Valenciana):
www.gva.es/es/inicio/procedimientos?id_proc=17026
#14 las parejas que usan Linux unidos permanecen unidos.
¿De qué pollas habla la noticia? Es absurda.
Es posible que esté relacionado con la vulnerabilidad que han encontrado en el DNI electrónico en Estonia.

Nos han cancelado los certificados a todo el mundo para prevenir que alguien se aproveche de la vulnerabilidad. Por suerte tenemos otras 2 alternativas igual de válidas desde el teléfono así que es un mal menor mientras podemos renovar los certificados.
#21 de hecho lo está. Lo de Estonia es por el bug en la generación de claves RSA en chips de Infineon y el DNIe español es Infineon.

Es software y es solucionable, basta con que el firmware sea actualizado y se nos regenere la clave por una nueva. Nadie va a meterse millones con un DNIe 4.0 como están diciendo otros comentarios. Pero vamos, la nota de prensa es vaga y sin información.

crocs.fi.muni.cz/public/papers/rsa_ccs17
cryptosense.com/infineon-rsa-key-generation-bug-how-the-attack-works-a
www.google.es/amp/s/arstechnica.com/information-technology/2017/10/cry
#25 correcto, los DNIe son Infineon. +info en #34
#38 si lo hacen bien bastará con ir a cualquier comisaría y meter el DNIe en la máquina que sirve para se cambiar pin, poner uno nuevo si lo has olvidado y renovar certificados. Si ahí mismo te generará los nuevos.

El motivo lo tienes en #34
#40 lo vi lo vi, increible que en tu comentario, con mucho menos digas más que la supuesta noticia con 3 párrafos. Aún así he probado el DNIe por curiosidad ahora mismo y no me indica que esté revocado, pero bueno habrá que ir a renovarlos por si acaso les da por revocarlos sin previo aviso.
#43 el problema es que con tan poca información que das lo mismo vas, lo renueva aún con el bug y te lo revocan igualmente...

De nuevo si hicieran las cosas bien se supone que con la salida de esta nota de prensa ya estarían preparados para que cualquiera que pase por las máquinas ya tenga el parche aplicado. Pero vete a saber... sinceramente estoy esperando a ver como lo gestionan.

Los nuevos DNIe espero que se creasen ya bien con el problema solucionado desde el día que Infineon lanzó los parches pero... De nuevo vete a saber.
#45 visto que se niegan a admitir la vulnerabilidad, dando la información como una "mejora de seguridad" y sin avisar previamente de como o cuando van a revocar los certificados, al final solo consiguen generar incertidumbre y que los que sabemos usarlos pasemos olímpicamente lo más que podamos.

Si ya no era suficiente coñazo hacer funcionar un lector de DNIe, firmar en las webs del gobierno con él (teniendo que instalar mil mierdas y pelearte con mi applets java del año de WinXP y Internet Explorer 6) y todo para firmar algo electrónicamente, si encima le sumamos que nos puedan revocar sin previo aviso los certificados y que igual hasta hay que renovar el DNI físico, apaga y vamonos.
#48 la gestión del DNIe y su ecosistema en España ha sido penosa.

En otros países existe esto mismo con muchos menos problemas, con el mismo hardware que se usaba en el sin NFC y con el mismo con el que se usa en el con NFC.

Supongo que lo de siempre adjudicaciones a empresas sin el conocimiento técnico que terminan haciendo chapuzas solo por ser los mejores con ofertas irreales o siendo amigo de X.

Lo peor de todo es que sí, salió fatal de inicio pero ya tiene soporte de serie en OpenSC…   » ver todo el comentario
#73 #34 ¿Lo habéis comprobado con vuestra propia clave pública? ¿Podéis poner un pantallazo de keychest.net y el fallo?
#94 Al final lo he hecho yo mismo. Efectivamente, el DNIe 3.0 está afectado por la vulnerabilidad ROCA.  media
Esto me huele a chamusquina...
Esto huele a que están afectados por la vulnerabilidad ROCA pero no quieren hacerlo público.
#25 Estan afectados. Lo puedes comprobar online con tu clave publica en keychest.net/roca
Vamos a ver, ¿dejará de funcionar el certificado digital sí o no? ¿Qué usaremos ahora? ¿Cómo se pide?
Mira que hay opciones para reforzar un sistema de seguridad si necesidad de certificados y pollas. Por ejemplo, un sistema de verificación en dos pasos:
www.google.com/landing/2step/

Que vale que no es perfecto. Pero qué sistema lo es? Estos del gobierno están flipados.
#28 no es un sistema de verificación, es un sistema con validez legal para hacer muchos tramites, más de los que te imaginas, y con el certificado del DNIe estás básicamente firmando.

No es un simple sustituto a un usuario y contraseña. Y de hecho tienes como alternativa cl@ve, que no me gusta, y para algunas cosas no sirve y tienes que pasar si o si por certificado.
#39 pues no me convence. Si fuera así, ya lo habrían implementado Google, Amazon, Apple, etc... Si estoy registrado en un sistema, prefiero entrar con mi clave. Si me preocupa (o les preocupa) la seguridad, activo un sistema de verificación a dos pasos. Y si me interesa un servicio, leo el contrato y le doy a "Aceptar".

Además, seguro que después de esta actualización, seguiré sin poder entrar desde Linux. Aunque hace tiempo que lo intenté. A lo mejor ya lo arreglaron. Quién sabe.
#44 a Google, Amazon, Apple, etc... se la pela tu identidad legal, no la necesitan para el trato que tienen contigo. De nuevo esto no es un sustituto a un usuario y contraseña.

Es un sustituto a tu firma para: darte de alta en autónomos, solicitar un cambio de padrón, hacer una declaración en hacienda. Básicamente es una firma digital legal y reconocida para muchas cosas que en malas manos te pueden joder la vida ya que sería una suplantación de identidad perfecta.

Por cierto soy usuario exclusivo de Linux en casa y antes en el curro (ahora uso Mac en el) y llevo usando el DNIe varios años.
#44 Ten muy presente lo que dice #47 (se la pela tu identidad legal) y en general a cualquier empresa. No olvides que por una parte tenemos que es muy fácil contratar servicios a tu nombre por teléfono, lo que a veces genera estafas de todo tipo. Hace nada un conocido tuvo que pagar servicios de pago en el móvil por hacer click en un anuncio (hola robafone).

Apple por ejemplo, en su momento ha sido condenada a devolver el dinero por compras que no habían hecho sus clientes sino sus hijos, pero normalmente no es un problema generalizado.
Pero alguien usa el dni electrónico?
#30 Pues viene de lujo para hacer montones de trámites online.
O el DNIe o los Certificados Digitales.
Quien tenga problemas con el DNIe, via web, el problema es que usa JAVA, que es una castaña y los navegadores han dejado de soportarlo por seguridad, el único que aun lo permite es el internet explorer (no confundir con el edge)
Una vez lo sabes, y vas actualizando java, ningún problema.
#31 Con la ultima actualizacion Windows Fall Creators tuve que reinstalar el certificado, aproveche y actualice a Java 9, en un W10x64 pero al darme problemas con Java x64 reinstale tambien Java 8 151 x32 y por fin. En efecto, ni Chrome, ni Firefox, ni Edge lo soportan. No se que esta esperando la Administraciin para cambiar la forma de autentificacion sin Java.
¿Sustituidos por qué? ¿Por otros? ¿Y por qué motivo? ¿Cambia su periodicidad?

Este artículo es la muestra de como decir nada en 3 párrafos.

P.D.: Soy uno de esos locos a los que le funciona el DNIe y lo usa cuando lo necesita (también decir que tengo un lector integrado en el portátil, cosa que facilita aunque solo sea por tema de drivers).
Pregunta: ¿voy a tener que cambiar mi DNIe físico? ¿Ir a comisaría a meterlo en la maquinita? ¿O se puede hacer la actualización desde casa? (esto último me parecería extremadamente peligroso, pero ya me espero cualquier cosa)
#41 en el mejor de los casos, si lo hacen bien, ir a la comisaría y meterlo en la máquina. Es algo solucionable sin cambiar hardware.
Hay que ver como se tira el dinero público.

Esto no lo usa ni el 0,1% de la población.
Garantizando la máxima seguridad... De que las consultoras implicadas ganen dinero, como siempre.
¿Por qué coño no copian lo que usamos en Suecia? BankID.
Un puñetero certificado habitualmente emitido por el banco (a través de una entidad en la que la mayoría de bancos colaboran) y que se usa a través de una aplicación en el móvil o instalada en el ordenador donde te pide un PIN de 8 dígitos después de introducir en la web o sitio donde se requiera tal autenticación.
Sencillo, rápido y cómodo.
#55 Personalmente pienso que se podría tener el mismo sistema sin pasar por el sector bancario. La idea sería la misma.
No vas a poder ir a cagar sin que la electrónica te controle. Que me enfoquen una cámara en el ojete para controlar el diámetro, volumen , longitud o solidez de mis zurullos. Es lo menos que se merecen.
Los momentos de diarrea explosiva después de una comida en un indio o en un méxicano supongo que lo solucionarán con limpiaparamierdas en la óptica de las camaritas. Como los limpiaparabrisas de los coches pero en plan escatológico a la altura de mi escroto y de su propia capacidad intelectual.
#61 Tu comentario sí que es de diarrea... mental. xD
#63 Tal cual. Como tu propia vida. xD La tuya quizir.
Y ahora viene la etapa de venganza de los admin. Me suena. Y eso que no soy catalán. Independentista sí, pero bellotero de los berruecos. Aver que llamada al odio o voto a comentario no apropiado se inventan ahora. xD xD xD xD
#66 En el cole me pasaba lo mismo por ser más listo y más sarcástico que los matones grandullones.
Hasta que crecí y fui a clase de defensa personal los tupí a fostias a todos. Ya veremos lo que dicen mis coleguis de Anonymous a la próxima baneada.
#68 ¿Personare ha dejado ya de llorisquear o le han petado lo que andaba pidiendo? Debe tener un ojete del tamaño del maelström.
La noticia no lo dice pero lo que van a hacer es revocar la CA SHA1 y todos los certificados expedidos con esta para solo contemplar los SHA256.
Llevan varios años con ello pero como todavía quedan muchos sistemas legacy SHA1 que dependían de la CA vieja no le habían dado boleto.
#71 Lo dudo. Como comentan por arriba, seguramente tenga que ver con la vulnerabilidad de la CryptoLib y la generación de claves del chip de Infineon que usa el DNIe 3.0.
Yo intenté instalarlo en Windows 10 con Creator update y no hubo manera.

Al final opté por instalar una máquina virtual con Windows 7 y configuré todo dentro sin problemas.

Una vez con el DNIe funcionando, fui a la FNMT y me descargué mi certificado digital y así tengo los dos por si acaso.

El problema con Windows 10 es generalizado, ya que nunca llega a levantar la ventanita pidiendo el PIN.

Lo que no entiendo es porqué no llegan a un acuerdo con Microsoft para meter los certificados, drivers y configuraciones en Windows Update e intentar hacerlo plug&play.

No sé, alguna manera habrá para hacer un instalador para que descargue y configure todo automáticamente, ¿No?
#75 tanto windows como mac ya llevan software integrado para smartcards, pero alguien decidió que era mejor usar un sistema open source, que al final es demasiado complejo, o inusable, carece de soporte y es igual de inseguro

Es lo malo del open source tienes que ser usuario nivel hacker,
#78 ¿Te has enfadado por el negativo? Vaya, pensaba que estabas troleando. Muchos perdones y condolencias si no es así.
¿Los que vivimos a tomar por culo vamos a tener que pagarnos un viajecito extra a España? :-(
Por mi trabajo tengo que usar el Certificado Digital de la FNMT y cuando he intentado usar el DNI por aquello de probar... un asco. No se en lo relativo a la seguridad pero en "usabilidad" un 3 sobre 10 siendo muy magnánimo.
Si queréis usar el DNIe y que os funcione bien, instalar el navegador Vivaldi. Es el único que me funcionó de todos los que probé. Me imagino que Vivaldi al evolucionar de Ópera, este también funcionará, pero no lo probé. Ni con IE, ni con Firefox lo di hecho funcionar, no detectaba el certificado, aunque estaba correctamente instalado (tontería de pareado que me ha salido). Tampoco probé Edge, que conste.

Salu2
No me lo puedo creer, me acabo de enterar. Lo uso una vez al año. Me han jodido pero bien. Encima, por muy poco, casi me libro.

Está todo revocado? parece claro que no se puede firmar, pero todavía se puede autenticar con el dnie??

Podría intentar sacarme el de la FNMT?

menéame