EDICIóN GENERAL
328 meneos
1718 clics
Desactivada la firma digital de los DNI por un posible fallo de seguridad

Desactivada la firma digital de los DNI por un posible fallo de seguridad

La Policía ha desactivado la función de certificado digital de los DNI electrónicos que fueron expedidos desde abril desde 2015 para reforzar su seguridad, después de que un estudio de una universidad checa haya alertado de su posible vulnerabilidad. Ese posible fallo está siendo analizado por el Organismo de Certificación español, según informa la Dirección General de la Policía, que ha comenzado a modificar las funcionalidades de esos documentos para garantizar "la máxima seguridad y confidencialidad en la utilización de la autenticación".

| etiquetas: firma electrónica , dni , seguridad
#0 revisa bien porque esto ya ha sido enviado.
#1 hay una noticia sobre el cambio de protocolo, pero la anulación es última hora.
#3 De hecho en la noticia anterior se especulaba con que pasaría esto pero todavía no era un hecho.
Lo mejor que se puede hacer es sacar el chip así ya no hay fallo de seguridad
#2 yo lo llevo pegado con un chicle
#2 Para conseguir robarme la identidad antes tendrían que instalar el lector, los controladores, los plugins, el navegador más compatible y aun así sudarían. Joder, les regalo mi identidad si consiguen hacerlo funcionar.
Aquí en euskadi ha habido también problemas con los certificados de izenpe. Supongo que será el mismo agujero ¿?
#4 si usan el sistema de la FMNT será el mismo.
#5 tambien han anulado la firma digital con el certificado?
#25 Podéis probar aquí si vuestro certificado está afectado por ROCA:
keychest.net/roca
cc/ #4
Los certificados del DNI son seguros ya que prácticamente nadie los utiliza...
#6 Yo los uso a diario. o_o
#7 Te gusta el riesgo, se sabe desde que salio que la seguridad no era lo fuerte.
#9 Me encanta el uso del intransitivo en tu frase.
#10 En mi cabeza sonaba bien, hasta que lo volvi a leer y me di cuenta que no se podia editar.
#11 el otro día cambié yo "y" por "ll". Shit happens
#10 ¿cuál es el problema? :-)
#9 El problema precisamente es que es demasiado seguro, de ahí sus problemas de usabilidad, como que pida 200 veces la contraseña antes de hacer cada operación. Esta vulnerabilidad, creo, es del fabricante del software que genera los certificados, y afecta a muchísimas organizaciones.
#36 Tienes una mala idea de lo que es la seguridad, pedirte la contrasena 200 veces antes de cada operacion no tiene nada de seguro. Mas posiblidades de que te hagan un ataque y mas informacion podran obtener sobre ella.

Y lo de la vulnerabilidad si, es del fabricante, y culpa de quien ha elegido dicho diseño o implementarlo de dicha manera cuando hay un estandar mas que probado.
#37 La contraseña no se envía por la red, va directa al driver de la tarjeta. Si hay alguna vulnerabilidad, o tienes un keylogger, da lo mismo que la introduzcas una vez que 200. Y al introducirlo cada vez que se va a consultar algún dato se asegura que éstos no se persistan en el SO.

Claro que hay un estándar probado, pero ese estándar hay que implementarlo. Y lo implementan distintos fabricantes. Que haya vulnerabilidad en esas implementaciones no es problema de los gestores del DNI, sino de quien les ha certificado, que son organismos internacionales. Y, repito, esto ha afectado a numerosas organizaciones y Estados.
#38 Y si te miran por encima del hombro tambien y mil maneras mas de conseguir una contraseña. Por regla general cuanto mas tengas que estar picando la contraseña mas insegura es, porque crees que se recomiendan los gestores de contraseñas? Y no, no hace falta que guardes la contraseña en el SO.

Por otro lado tienes razon, culpable es quien ha certificado y ha dado el visto bueno cuando tenian que seguir el estandar.
#39 No me refería a guardar la contraseña, sino la parte pública del certidicado, que incluye ciertos datos personales. Alguien decidió, para extremar la protección de esos datos, que para acceder a la parte pública hubiera que introducir la contraseña, CADA VEZ, lo que es un sinsentido, porque si se llama "pública" es por algo. Se supone que se hizo para evitar que alguien pudiera acceder a datos personales si se guardaba esa parte pública en el navegador, y que el riesgo que comentas de que alguien te pudiera ver la contraseña era menor, porque a fin de cuentas la contraseña no sirve de nada sin acceso físico a la tarjeta.

Y esa decisión causó un gran problema de usabilidad.
#40 ¿Seguro qu e la parte pública requiere password?

En las mesas electrónicas electorales que se han ido metiendo, simplemente con meter el DNI en el lector aparecen todos sus datos
#42 Buena pregunta... me lo explicaron así, pero me haces dudar :-|
No solo el DNI... un montón de firmas digitales del G.Vasco ( por ejemplo ) han sido revocadas por el mismo problema
La anulación era a partir de este lunes. Lo sé porque fui precisamente este lunes a renovarme el DNI y le pedí a la señora que me lo hizo la clave electrónica y me dijo que habían recibido una circular, que me leyó, diciendo que nada de claves electrónicas, que hay un fallo de seguridad.
Yo sigo y seguiré con mi certificado de la FNMT.

Me lo arrancarán de mis inertes y frías manos.
Vamos a tener más versiones de DNI que versiones de Chrome.
#20 los sobres no se llenan solos xD
Informacion oficial de www.dnielectronico.es:

Para reforzar la seguridad de los certificados electrónicos del
DNIe, a la vista del estudio publicado recientemente por una Universidad
de la República Checa, cuya viabilidad está siendo objeto de análisis
por el Organismo de Certificación español, la Dirección General de la
Policía ha comenzado a modificar dichas funcionalidades, garantizando
con ello la máxima seguridad y confidencialidad en la utilización de la
autenticación y…   » ver todo el comentario
El el último no, pero en el primero con chip que tuve, lo primero que hice al llegar a casa es meterle descargas a los contactos del chip "tipo sim" que tiene. Habrá que repetir con este.
#22 Pues luego cuando necesites identificarte para hacer un trámite administrativo no podrás. El fallo de seguridad es al firmar, no al comprobar la identidad.
#50 Da igual, no lo necesito y es mas, pa cosas "normales" tiene que bastar con el DNI fisico.
Otra ventaja de todo esto es que así también se logra impedir que los catalanes en el extranjero puedan solicitar el voto por correo
De posible nada, les a tocado el ROCA de lleno. El escenario óptimo sería la destrucción y fabricación de nuevos DNI para todos los afectados, pero no creo que haya € para volver a generar todos los DNI.
#25 es un defecto en la generación de la clave. Basta con aguantar el software que se encarga de eso. En teoría un podio de dnie actualizado debería de poder actualizar los certificados afectados oye unos buenos sin mayor problema
#47 que software, si las claves se generan en el propio DNI. A menos que publiquen un nuevo firmware y TODOS vayamos con el DNI a actualizarlo a la comisaría, no habrá nada que hacer.
#48 pero si es lo que te estoy diciendo....
Vaya desastre, lo uso semanalmente. Cuando me renovaron al DNI 3.0 perdí la posibilidad de usarlo en Linux, ahora esto. Hay muchos trámites que tenemos que hacer telemáticos y se pasan de plazo. Esto nos libera de los plazos? O será como siempre que el autónomo paga el pato.
#26 Usa los de la FNMT
#26 Yo uso (usaba xD) el 3.0 en Linux sin ningún problema.
#26 ¿Solo los autónomos crees que usan el certificado digital? Ains...
Justo ayer me fui a renovar el DNI y me dijeron que no podía obtener en sus máquinas la firma digital y la contraseña. Que llevaban días desconectadas las máquinas. Ahora entiendo el por qué.
#27 Pues si el fallo es solo en los DNI posteriores a abril de 2015 como dicen, si apagan las máquinas están imposibilitando que la gente que tiene uno más antiguo renueve los certificados que caducan a los 30 meses, y si no se pueden renovar los certificados mucha gente que lo necesita por ejemplo para presentarse a bolsas de empleo público que solo admiten presentación telemática, tendrán que dejar el DNI en un cajón y pasarse al certificado de la FNMT. A ver cuanto tardan en arreglarlo.
Jejeje el mierda DNI 3.0, enesima patochada que no funciona y por la que trincan una millonada de euros. Españistan. Va la tercera version que tengo y no he conseguido nunca nada con ellos, a lo mejor es por mi culpa pero como me considero una usuaria avanzada de la electronica, pienso que el resto de la poblacion lo tendra muy dificil.
#28 Pues yo la declaración de la renta la hago todos los años con el dni-e. Define "usuaria avanzada" xD
#31 Yo llevo años haciendo la declaración de la renta por Internet y nunca he necesitado ningún certificado digital ni mierdas de estas. Te piden el número de teléfono, te envian un código al móvil, le pones ese código y la casilla nosecuantos de la declaración del año pasado y ya te deja hacerla. De verdad que no entiendo para qué complican tanto las cosas. Yo pondría una contraseña segura y el envio de un código al móvil y ya está. Nada de certificados que hay que cambiar cada poco tiempo y nunca se sabe dónde quedan guardados.
#31 Monto los PCs para mis amigos, soy Windows insider e instalo redes y cada vez que he querido usar esa mierda he tenido que pelear con drivers, SOs y mil vainas.
Ese "posible" no tiene credibilidad alguna
Desde el 22 de Octubre que se sabía según Hispasec, han tardado más de la cuenta por la gravedad del asunto.
www.meneame.net/story/dnie-3-tan-dificil/c066#c-66

En este enlace tenéis información en castellano:

unaaldia.hispasec.com/2017/10/roca-descubierta-grave-vulnerabilidad.ht
Me siento segurooo..

menéame