EDICIóN GENERAL
368 meneos
1951 clics
La Policía deja abierta otra brecha de seguridad en el DNI 3.0 que permite seguir falseando firmas

La Policía deja abierta otra brecha de seguridad en el DNI 3.0 que permite seguir falseando firmas

La Dirección General de la Policía (DGP) ha anulado la firma digital de los DNI expedidos desde abril de 2015 hasta ahora, pero lo que no se ha puesto sobre la mesa es que las operaciones de firma realizadas desde esa fecha no tienen garantías. El fallo por el cual la DGP ha decidido anular la firma electrónica viene derivado del chip de fabricación que se incorporó en la actualización del DNI en abril de 2015, y que son fabricados por la empresa alemana Infineon. |Relacionadas en #1

| etiquetas: dnie , certificado , electrónico , seguridad , policía , dgp , firma , documentos
Mucha gente le quita el chip a los DNI o se caen por sí solos o sí mismos, como se diga.
#2 Lo que preocupa es la gente que los usa y no creo que ellos se despreocupen, valga la redundancia, de ese detalle.
#4 Sin ánimo de quitarle importancia (que la tiene), una firma debería llevar sello de tiempo para evitar estas cosas. Si ves una firma sin sello de tiempo cualquiera puede haber usado un certificado revocado hace años y decir que lo firmó cuando aún era válido. Por eso, para que tenga validez legal, se suele exigir un sellado de tiempo por un tercero de confianza. Los documentos firmados (con su sello de tiempo) antes de divulgar la vulnerabilidad diría yo que se pueden considerar válidos.
#26 y ¿qué autoridades están disponibles para que cualquiera pueda obtener un sello de tiempo válido legalmente en España? muchas de ellas no son accesibles por el público.

La que encontré yo es esta de la Generalitat Valenciana: www.accv.es/empresas/sellado-de-tiempo/
#35 Creo que todas son de pago... FNMT, Camerfirma, Firmaprofesional... para que tengan validez legal lo suyo es que las entidades que expiden el certificado con el que te firman el sello de tiempo estén reconocidas por el MINETAD (los que considera "cualificados"): sedeaplicaciones2.minetur.gob.es/prestadores/

Normalmente estas mismas entidades ofrecen servicio de sellado...
#38 El que puse yo, de la Generalitat Valenciana, está abierto al público y dice ser válido, pero el tema es que como dices "Creo que todas son de pago..." Es decir, que no facilitan mucho la tarea de algo que sería recomendable hacer cuando firmas un documento digital. Debería ser un servicio ofrecido por la propia FNMT de forma gratuita.
#2 Entonces, ¿puedo arrancar el chip del DNI sin que pase nada malo? (ni multa ni nada?)

Lo digo porque mi DNI es nuevo, lo renové no hace medio año todavía.
#14 Yo llevo usándolo sin chip ya dos años y el único problema que he tenido es que en correos no me dejaron hacerme una tarjeta de prepago porque debían pasar el dni con el chip por el scanner.
#28 #16 ¿qué diferencia hay entre eso y simplemente no usar el certificado del DNI? No entiendo la costumbre de romper el chip.

P.D: Es como el bloqueo de ignorados de menéame ¿para qué meter a nadie en una lista? llega con no hacerle caso.
#36 Pues que si pierdes el DNI o si alguien te lo coge, tiene acceso al chip y aunque depende de la vulnerabilidad y cuando yo lo hice no habia nada de esto, puede llegar a acceder a tu certificado y usarlo o lo que sea. El romper el chip es un "yo no lo voy a usar y para evitar riesgos me lo cargo, asi nadie puede usarlo". En mi caso ademas, viviendo en Bizkaia, no uso el certificado digital, asi que...
#39 No pueden usarlo, el chip no sirve sin la clave.

Además, con chip o sin él, si pierdes el DNI tienes que denunciarlo y en dicho caso anularían tu certificado.
#40 Eso si no hay fallos. Mi maxima es, si yo no voy a usar el chip, no quiero que nadie pueda usarlo, ni que lo intente. Sin mas. Es sencillo.
#51 En dicho caso tendrían que concurrir tres condiciones:

1. Que pierdas el DNI: Es posible
2. Que al perderlo no hayas denunciado su pérdida: Es posible pero un error por tu parte.
3. Que exista algún fallo que lo haga vulnerable: Es difícil pero puede ser.

Las tres cosas por separado son posibles pero que pierdas el DNI y no lo denuncies justo cuando aparece un fallo que lo hace explotable, creo que es más fácil que te toque el euromillón.

Y tú vas con el chip quemado por si se alinean los planteas y concurren esas tres circunstancias cuando lo que le interesa al delincuente es el documento en sí y los datos que tiene impresos en él, sin importarle el chip.
#67 Depende. Tambien puede ocurrir en un entorno cercano, supongo, o en un lugar malicioso donde te piden el DNI. Y la cosa es que si puedes firmar algo electronicamente con ese certificado o hacer un tramite X, pues...

A ver, ya digo que esto lo hice con un DNI anterior en su dia, por que por principios no me gustaba la idea de ese chip y era cuando me toco renovar y era elprimer DNI con chip que yo tenia. llegue a casa y le meti un chispacito :-D Pero si que me toca un poco los cojones que se obligue a tener dicho chip. Que sí, que estara "desactivado" por defecto, etc. pero no me gusta que nos metan esta y otras cosas por la garganta por que si. Llamadme anarca si quereis...
#68 No sé, lo siento pero no te entiendo. ¿qué puede pasar en un entorno cercano? y ¿a qué te refieres con un lugar malicioso donde te piden el DNI? ¿qué te piden y que pueden hacer?

Porque en un lugar malicioso en donde te piden el DNI, como no te lo roben y se queden con él, no pueden hacer nada.
#69 Si una vulnerabilidad permitiera, no ya firmar algo o hacer una transaccion, sino hacer esto o incluso extraer la clave privada del DNI sin tener la clave, por ejemplo, bastaria con meter ese DNI en un lector malicioso ( por ejemplo al usarlo en algun establecimiento malicioso, dejarselo a un policia corrupto,... ) y extraer la clave privada de dicho DNI.

Una vez en esa situacion, pueden usar esa clave privada para hacer transacciones en tu nombre.

Por alguien cercano puede ser eso,…   » ver todo el comentario
#70 "extraer la clave privada del DNI sin tener la clave" < igual ha quedado lioso, queria decir:

"extraer la clave privada ( del certificado digital ) del DNI sin tener el codigo PIN"
#70 OMG. Ahora no tengo tiempo para extenderme pero antes te toca el euromillon dos veces seguidas. Eso que dices no puede ocurrir.
#74 Como que OMG, te estoy diciendo en todo momento que todo esto es suponiendo un fallo/vulnerabilidad en el chip, no necesariamente algoritmico o criptografico. No seria ni la primera ni la ultima vez que se consigue algo asi, ya sea con ataques por brown out, por timming, etc.

La unica forma de asegurarte es quemar el chip.

No se si has entendido mis dos mensajes anteriores; da la sensacion de que parece que asumes que a) esa clave privada no se puede sacar ( depende del tipo de chip, si tiene firmado/cifrado on chip ) o que b) aun si es con firmado on chip esa firma no se puede producir en esa "pequeña" ventana de tiempo.

Hint: ISO 7816.
#79 Para empezar, tú dices "extraer la clave privada ( del certificado digital ) del DNI sin tener el codigo PIN"

La clave privada está cifrada. Eso es como decir "si se pudiese descifrar sin tener la clave"

Lo que yo te digo no es que sea completamente imposible, sino que es tan difícil como que te toque el euromillón dos veces, algo que es posible pero demasiado improbable. Es muy difícil que te extraigan la clave privada del DNI en el período de 5 años de vigencia del…   » ver todo el comentario
#80 La diferencia es que quemar el chip tiene un coste marginal, salir a la calle en una jaula de faraday tiene un coste elevado. La gestion de cuidar el DNI en si, me resulta mas sencilla y un trade-off que si tengo que aceptar que la de gestionar lo que hay en el chip, que NO USO, luego en cuestion de segundos de esfuerzo puedo quemarlo, nadie se entera de que lo he hecho y si algun dia las autoridades lo requieren les puedo decir que el chip se puede quemar ello solo por varias razones como la electricidad estatica, etc. y no pueden exigirme nada al respecto.
#81 Cierto que salir a la calle en una jaula de faraday tiene un coste elevado, es más sencillo quemar el chip, pero más sencillo aún es no hacer nada, ni siquiera activar tu certificado, porque por defecto vienen desactivados y hay que activarlos en una máquina DNI.
#82 Si activar supone meter ese certificado en si, vale. Pero que yo sepa el certificado ya esta dentro y activar es eso, activarlo para que se pueda usar. Depende de si es asi o no, ante potenciales vulnerabilidades, daria o no igual que este activado.
#83 Activar es ir a una máquina de DNI que se encuentran en las oficinas de expedición del DNI, introducir el DNI electrónico, escanear tus huellas dactilares en la máquina para comprobar tu identidad y activar el certificado para que sea admisible. Si no lo activas, el certificado lo tienes dentro pero no te sirve de nada, es como un certificado revocado.
#86 Y ahi es donde, vuelvo a decir, como esta dentro, si hubiere una vulnerabilidad para poder acceder sin pin, te la cargas.
#87 Si yo cifro un texto, no puedes descifrarlo sin clave. Si el certificado está cifrado con un pin, no puedes descifrarlo sin pin.

Pero aunque pudieras, si consigues acceder al certificado, a la clave privada y esta no está activada, tendrás unos bonitos ceros y unos que no te servirán para nada.
#88 Eso es lo que no se y lo que importa, si por mucho que el certificado no este activado, esta ahi o no. Si esta, y hay una vulnerabilidad ( dudo mucho que se cifre en certificado con el PIN, de todas maneras, aunque un PIN, si puedes acceder a lo de dentro, es muy facil de reventar por fuerza bruta; digo siempre que puedas acceder y este cifrado con el PIN -como clave de criptografia simetrica- ), fail.
#89 yo ya no se como explicarlo.

Aunque le entregues el certificado en bandeja de plata, con todos los honores, si el certificado no esta activado, cuando el ladron entre en la administracion electronica de hacienda, el sistema de hacienda comprobara en su sistema interno la validez de ese certificado, si esta revocado, si esta activado... Y si no esta activado, hacienda no te dejara entrar.

Ni siquiera tu que conoces el pin, puedes usar el certificado si antes no lo activas.

Por culpa de este fallo han revocado los certificados afectados y ahora no se pueden usar aunque seas la persona legitima y lo hubieras activado porque como los han revocado ya no sirven. Pues con los no activados pasa lo mismo.
#90 Bien, si activarlo tiene como paso estar en una bbdd que indique ese hecho, vale. Eso ha sido siempre asi ? Por que el DNI que tuve en 2012 ( o 2011... ) tenias el PIN y creo que podias usarlo directamente.
#91 Pues sí, había que activarlo también entonces.

En cuanto a que "dudo mucho que se cifre en certificado con el PIN" En realidad sí está cifrado.
#92 Pues con el pin...
#93 ¿qué ocurre con el pin?
#94 Que como seguridad de acceso al chip, mientras no haya vulnerabilidades, bien, pero para cifrar algo un pin de 4 o incluso 5 digitos numericos no es criptograficamente seguro. Ojo que hablo de que, habiendo sacado el contenido cifrado de alguna forma digamos por una vulnerabilidad, si ese algo estuviese cifrado con un pin, cae rapido.
#95 El pin es una contraseña de ocho caracteres, letras mayúsculas y minúsculas, números y signos, pudiendo cambiarla tú cuando quieras por una de hasta 16 caracteres. A eso súmale la dificultad de extraer el contenido del chip

A ver, admítelo, cortocircuitar cosas mola, a mi también me gusta, pero no sirve para nada más.

P.D: www.dnielectronico.es/PDFs/CAMBIO_PIN_CON_PIN.pdf
#96 desconocia que fuera de 8 letras, un pin, lo normal, es que sean 4 o 5 digitos; no recuerdo que fueran tan pocos. 8 caracteres libres SI hacen una buena clave para cifrado simetrico.

No tengo ningun pfoblema en reconocerte que la seguridad del tema ya es suficientemente robusto como para no andar quemando el chip y mas aun si lo de adentro esta cifrado y ademas cifrado con una clave de 128 bits en algoritmo simetrico.

Aun asi en su dia lo hice con la maxima de "muerto el perro se…   » ver todo el comentario
#39 Si no activas los certificados no hay peligro. Y un DNI sin chip no es válido.... cuidado en los aeropuertos.
#46 Como que no es valido, ¿ en que aeropuertos ? Mira que he volado con el dni con chip quemado ( que fue del 2010 o 2011 a finales de 2014, creo ) y nunca ha habido problemas. En el de ahora no lo tengo quemado, pero deberia.

Hay mil razones por las que ese chip se joda el solo, y por eso no te van a liar nada. La valided del dni se comprueba por otras vias, el ultimo con la ventana de transparencia.
#52 Una cosa es que esté quemado y otra que esté sin chip. A mi me pasó, y la policía me dijo que podría tener problemas.
#53 En todo momento he dicho que yo meto descargas en los contactos, quitar el chip es una burrada.

Y lo de no activar los certificados... es que yo no me preocupo de eso, yo no quiero que el chip sea usable, nada mas. Asi no hay vulnerabilidad que valga en el futuro.
#52 Yo lo he presenciado: Portugal, Ryanair. Denegación de embarque.
#58 ¿ Con dni sin chip ?
#62 Claro, pero yo hablo de NO QUITAR EL CHIP, sino de QUEMARLO, FUNDIRLO.
#52 El nuevo DNI 3.0 trae NFC y además de los certificados también almacena datos biométricos, igual que los pasaportes:

El chip electrónico almacena los datos personales y la fotografía del titular, la imagen digitalizada de su firma manuscrita y el patrón de la impresión dactilar.

Podría haber problemas en viajes internacionales (dentro de la UE) cuando pasen el DNI por el lector NFC... y no responda. Claro que siempre puedes viajar con el pasaporte.
#36 Yo no lo rompí, se me cayó.
#2 Ya lo he dicho alguna vez, segun llega a casa unas buenas descargas electricas entre contactos, chip quemado, profit. De momento, para mi, el DNI que se quede en el uso de siempre.
El DNI 3.0 posee dos códigos, uno público y otro privado, que están conectados, tal y como descubrió el equipo de Petr Svenda, miembro del Centro para la Investigación de Criptografía y Seguridad vinculado a la Universidad checa de Masaryk.

Este párrafo es una patochada del redactor. Es el funcionamiento estándar. Clave privada+clave pública.
#3 No tiene por qué, puede referirse ─con una construcción rara─ a que el tal Svenda es el creador/descubridor de ese sistema aunque no he mirado su bio. De todas formas no invalida para nada el resto del artículo.
#5 pues igual hasta llevas razón y me he ido de frenada...
Estoy de acuerdo que el resto del artículo es válido y correcto.
#9 #5 #3
El creador de la criptografía de clave pública no fue el tal Svenda, fueron otros mendas....
en.wikipedia.org/wiki/Public-key_cryptography#History
El primer descubridor (que se sepa, jejeje), en 1970, como información "clasificada" de un organismo del Reino Unido, que luego fue complementado por otro colega en 1973, el señor "pollas", digo Cocks. (como el español que va a una farmacia: "- Ampollas" "- Welcome, Mr. Pollas")

Más…   » ver todo el comentario
#20 Que no te lea el Sr. Lobo. xD
#29 Copy, goto #20 :-)
#5 estamos rodeados de profesionales de la palabra que no tienen ni idea de lo que dicen con sus palabras.
#5 No lo es. Cuando se creó la criptografía de clave pública, Petr Svenda probablemente ni siquiera había nacido.
#3 A lo que se refiere, con poco acierto, es que el fallo de seguridad está en que la clave pública está relacionada con la clave privada... pudiendo extraerse esta de la pública.
Al parecer ha sido un fallo muy muy gordo.
#15 las claves publicas y privadas, siempre están relacionadas, pero en este caso encontraron la relación y a partir de una pudieron generar la otra
#27 No. La relación no se encontró, pues siempre se ha sabido. Se utiliza la clave pública para discernir si la clave privada es atacable o no, y como punto de partida del ataque, y luego pasan a atacar la privada.

Es como mirarte el buzón; la relación no la encuentra nadie, pues ya se sabe perfectamente qué relación hay entre tu buzón de correo y tu piso. Pero un ladrón viene y mira tu buzón, y si lo ve de cierta forma (lleno de propaganda) sabe que estás de vacaciones y entonces pasa al ataque (forzar tu cerradura).
#31 bien explicado. Creo que el generador "random" para las claves no era tan "random" después de todo.
#34 El problema no era ese. El generador puede ser perfectamente aleatorio (o, mejor dicho, perfectamente pseudo-aleatorio). El problema radicaba en que existen ciertos estándares que dictan procedimientos a seguir cuando se quiere acelerar la generación de primos. Lo lento no es la generación de números aleatorios, si no los tests de primalidad. Aún no he leído ROCA entero y con detenimiento, pero en un primer vistazo el problema radica en que estos estándares dictan una distancia mínima de…   » ver todo el comentario
#3 Todo el artículo es una patochada.

"tal y como está diseñado el DNI 3.0 no se puede saber cuándo han sido firmados esos documentos. Al no haber una fecha de firma en el sistema diseñado por la DGP no se sabe en el momento en el que algo ha sido firmado o no. Para descubrirlo habría que acudir a la tercera parte implicada". A ver; al firmar un documento queda, en el documento firmado, la fecha. No en el DNI. Así es como funcionan todos los certificados.

"Un

…   » ver todo el comentario
Bueno, entonces seguiré usando la firma digital de la GVA. Tenía pensado activar la del dni para no tener que irme a mi ciudad de origen para renovar las claves.
#6 Por un momento he pensado en el simulador de carreras. :palm: xD
Lo de la votación electrónica va a ser un queso de gruyere en el futuro.
Ya no hará falta votar en urnas callejeras. :calzador:
#7 ¿Múltiples votos? ¡Nada! El futuro será ir a votar... y que te digan que ya votaste, porque otro ya votó por ti! xD xD :wall:
Para la próxima que exijan el uso de software libre.
NitroKey no se ha visto afectado. Utilizan software libre, incluido el firmware.
#11 YUBICO Tambien usa sotware libre (OpenPGP) y está afectada.:
www.yubico.com/2017/10/infineon-rsa-key-generation-issue/
#71
Yubico hace tiempo que dejó de usar software libre. Y en el firmware por descontado.

Si quieres bugs con software libre, puedes mirarte el HeartBleed de OpenSSL. Esa cosa echa por gente de BSD, servidores fieles de empresas utilitaristas.
Esto me recuerda a cuando SONY no parchea completamente el HW de las Play Station, porque ya le va bien que se pirateen los juegos de vez en cuando ... :tinfoil:
Abandonemos la Internet para datos sensibles y verdaderemente importantes.

Dejémosla para el entretenimiento, que ya es bastante.

¿Qué pasará cuando haya tal maremàgnum de falsificaciones y errores que no se sepa qué datos son verdad o manipulados?

No aboquemos información médica, laboral ni bancaria a la telaraña.
#13 unlike
#13 Tarde.
Muy tarde.
Llevamos décadas haciéndolo y el mundo no ha implosionado. Siempre habrá falsificaciones, pero en papel también, obviamente.
#13 claro abandonemos la criptografía y las conexiones seguras porque un certificado digital estaba mal diseñado.

También deberíamos abandonar los aviones porque ha habido fallos de diseño que han constado vidas.

Y los coches, las medicinas, los móviles (que pueden explotar)....

Mejor volver a la cueva a hacer pinturas rupestres que esas no han dado nunca fallo.
#13 Y piden el voto electrónico..... animalitos.
Una verdadero despropósito. Entiendo que todo sistema puede tener fallos, asumo que se puede haber hecho con la mejor intención pero no perdono que no se informe mas ampliamente ni mas claramente. No me queda claro si con los DNI anteriores a 2015 se puede operar. Supongo que hay que entenderlo entre líneas.
#17 El certificado del DNI tiene una duración de 60 meses, 2'5 años. Así que respondiendo a tu pregunta un DNI del 2014 tampoco podría usar el certificado ya que estaría caducado, y en caso de haber renovado el certificado del DNI tampoco podría usarlo ya que sería de los nuevos.
Marca Alemania. Productos con errores brutales que pasan todas las certificaciones.
#18 No seas demagogo. Las cosas que se consideran seguras, lo son hasta que se descubre o demuestra lo contrario. Igual que con el tabaco, el amianto, las carnes procesadas, o mil cosas más.

Una certificación no es una garantía de que funcione perfectamente. Es una garantía de que ha pasado unos controles mínimos de calidad y seguridad. Pero no puedes pasar controles que aún no se han creado, no puedes aprobar exámenes que aún no se han escrito, y mucho menos de asignaturas (ataques) que aún…   » ver todo el comentario
#61 Pero puedo olerme una tostada cuando veo que el fallo sólo se daba en los productos de esta marca Alemana y no en ninguna otra, a pesar se que técnicamente todas han pasado por el mismo proceso de certificación y todas han seguido el mismo estándar.
Por cierto, el ejemplo del ciclista es malo, el código dice que la distancia debe ser mayor o igual a metro y medio, no igual a metro y medio. Seguirlo a pies juntillas sería programar un >= y no un ==.
#64 Pero puedo olerme una tostada cuando veo que el fallo sólo se daba en los productos de esta marca Alemana y no en ninguna otra

Es que esta marca alemana proporciona los chips inteligentes que miles de fabricantes de todo el mundo integran en sus productos. Son como el Qualcomm de los chips criptográficos. Y solo les afecta a ellos porque es un error de implementación, han interpretado erróneamente el estándar.

Por cierto, el ejemplo del ciclista es malo, el código dice que la

…   » ver todo el comentario
#65 A ver si me aclaro: sólo les afecta a ellos, porque sólo ellos han tenido ese error de interpretar erróneamente el estándar, pero a pesar de eso no cuenta como error. Contestar erróneamente la pregunta de examen que te dice qué distancia mínima debe dejar el conductor con el ciclista no cuenta como error en el teórico y es una pregunta de examen que al parecer no está escrita, por lo que no son responsables :roll:
Y siguiendo el mismo ejemplo: es un conductor malo porque no hace caso a esa misma pregunta y la interpreta erróneamente (no de forma literal como antes decías), pero no cuenta como mal conductor.
¿No te das cuenta de que entras en contradicción con el anterior mensaje?
Qué fácil es hacer castillos digitales en el aire
OGCE, otra gran cagada española. Eso si, obligatoria, faltaria mas.
¿Alguien sabe que cárnica lleva esto? :-D
Que dimita el informático de turno.
Esto es un despropósito de noticia. Lo de la fecha abril 2015 es orientativo. La gilipollez del ejperto es digna de mención. La policia conoce todas las claves públicas de esos chips y los certificados han quedado anulados. El banco, organismo o quien sea que posea documentos firmados electronicamente solo tiene que confrontar las firmas contra el servidor de la policía y saldrán todos los documentos firmado con certificado invalido.

Obviamente, si el documento se firmo antes de 2015,…   » ver todo el comentario
#33 Y como determinas de modo fehaciente la fecha de la firma?
#48 cuando tengáis este tipo de dudas haceros el siguiente tipo de preguntas: si fuera una firma fisica como determinaria fehacintemente la fecha?

Y se responden solas.
#50 Una firma física no tiene problemas de descifrado o falsificación.

Parece que la firma digital, si.
#54 Nope. Una firma física puede ser falsificada.
es.wikipedia.org/wiki/Peritaje_caligráfico
#54 Estimado @chavi

Permíteme que me extienda un poco más en la explicación que te di antes pues creo que me quedó bastante parca en palabras y pudiera no entenderse correctamente.

Afirmas que “Una firma física no tiene problemas de descifrado o falsificación.“

Como decía antes en mi anterior comentario, lo mejor para resolver estas dudas es hacer la comparación rehaciendo una pregunta, algo así como:

¿Una firma física no tiene problemas de descifrado o falsificación?

Distinguir entre…   » ver todo el comentario
#77 Si la falsificación es detectable, no es posible.
Saca tu mismo tus conclusiones :

blog.signaturit.com/es/como-se-analizan-las-firmas-dudosas-en-un-proce

La "falsificación" de una clave privada, obtenida a partir de una pública, no es detectable.
#78 Sí y no. Puntualizar que no sería una falsificación por si misma. Una vez obtenida la clave privada se estaría firmando como si fuera el usuario legítimo de la firma. No cabe siquiera hablar de falsificación en este caso cuando se ha descifrado la clave privada, si no de uso ilegítimo, que es algo bastante diferente.
#84 Ok... estoy de acuerdo.
Muy bien. Pues que me devuelvan los 11 € que me costó renovarlo hace 2 meses. Otra estafa más del PP.
#42 El documento te seguirá sirviendo como DNI físico.
Cuando esté solucionado el problema (dicen que en unas semanas) se podrá actualizar el certificado con uno válido en el mismo DNI.

menéame