La seguridad del DNI electrónico, comprometida: a quién afecta, por qué y cómo solucionarlo

Autor: | Posteado en Noticias Sin comentarios

Dni E

El Ministerio del Interior de España ha informado a través del Cuerpo Nacional de Policía de un débil inconveniente de seguridad en el certificado electrónico del DNI electrónico (DNIe). Eso ha provocado una reacción inmediata: se ha desactivado la cometido de los certificados digitales de aviso de los actuales DNIe.

EL inconveniente se ha detectado tras descubrirse que las mismas vulnerabilidades se habían exhibido en Estonia, adonde este documento es aviso integral de íntegramente el movimiento de sus servicios y adonde se han desactivado mas de de 750.000 certificados digitales para eludir males mayores. A continuación te explicamos si estás afectado, cuál es el origen del inconveniente y qué realizar para solucionarlo lo previamente posible.

Cómo conocer si tu DNI está perjudicado por el sentencia de seguridad

Como indican los responsables de la Policía Nacional, los documentos nacionales de identidad perjudicados fueron expedidos a abrir de abril de 2015. Para conocer si nuestro DNIe está perjudicado tendremos que prestar atención a 1 de los códigos de ese documento.

Dnie 1

En concreto, al número que está abajo el llamado IDEPS o NUM SOPORT (según el persona de DNI electrónico que tengamos en cada caso). En el comunicado administrativo se especifica que “se comunica que los documentos cuyos certificados pudieran resultar afectados, aire los que poseen número de apoyo posterior al ASG160.000, que fueron expedidos a abrir de abril de 2015″.

Tu DNI sigue siendo válido tan documento de identificación

Es primordial resaltar que pese a que el certificado digital de estos DNIe queda desactivado tan ley de seguridad, el DNIe sigue siento perfectamente válido tan documento de identificación.

Pasaporte

Eso quiere expresar que si tenemos que realizar trámites administrativos tan mercantiles o privados, el DNIe sigue manteniendo su validez, y lo semejante ocurre por arquetipo si lo utilizamos tan documento de viaje en el punto nos desplazamos a la práctica totalidad de los países de la Unión Europea.

¿Qué realizar si tu DNIe está entre los afectados?

La desactivación de estas cometidos se mantendrán mientras se mejoría la seguridad del DNI electrónico, y según la Policía Nacional este proceso “se hará en fechas próximas”.

Citadnie

Este organismo indica tambien que en el punto se encuentre disponible la actualización los ciudadanos españoles podrán actualizar los documentos “directamente en las Oficinas de Documentación“.

No hay fechas concretas para delegación entrar a la actualización, inconveniente en el Cuerpo Nacional de Policía indican que en el instante que eso sea factible “se informará puntualmente”. En asunto de realizar un utilización raudo del certificado digital y rondar perjudicado por el problema, lo mas adecuado es solicitar la renovación del DNIe, ya que tan se especifica entre las novedades de esa renovación:

En asunto de sustracción, extravío, deterioro o achaque movimiento del chip electrónico, deberá renovarlo lo previamente posible, y obtendrá un mas reciente documento con su validez total en el punto queden carencia de 90 días para su caducidad. En el asunto que superase los 90 días, obtendrá 1 mas reciente con la validez anterior.

Los responsables de la Policía Nacional indican que para demandar la cita previa que posibilita recibir o actualizar acierto el DNI tan el pasaporte podremos aprovechar el incomunicación web Cita Previa eDNI-Pasaporte, mientras que el número de teléfono administrativo para la tramitación de la cita es el 060.

El origen del problema

Como explicaban en Ars Technica hará 3 semanas, la vulnerabilidad se halla en una librería ampliamente usada en este ámbito. Debido a este inconveniente un atacante podría calcular la porción privada de una clave vulnerable utilizando tan únicamente la porción pública.

Estoniandni

Eso daría lugar a que un atacante acabara pudiendo suplantar la personalidad de la víctima para transcribir datos sensibles, ocultar software malicioso en software firmado digitalmente o superar la protección basada en estos sistemas. Dicha librería software fue desarrollada por el fabricante alemán de chips Infineon, y según los estudios ha estado generando claves débiles desde al carencia 2012.

Ese inconveniente causó que el gobierno de Estonia indicara que mas de 750.000 documentos de identidad electrónicos eran vulnerables a este ataque. Eso provocó la desactivación de los certificados digitales para eludir el abuso de esta vulnerabilidad, tal y tan explicaba Kaspar Korjus, máximo encargado del departmento estonio de “Residencia electrónica” que gestiona estos documentos.

El 1º ministro de Estonia, Jüri Ratas, explicaba cómo el peligro descubierto no se limitaba a los documentos de Estonia, destino que esa vulnerabilidad estaba presente en otros numerosos sistemas y documentos en diversos países que usan los chips del semejante fabricante.

Korjus explicaba que no se conocen casos de achaque utilización de aquellos documentos o de que se hubiese aprovechado el sentencia de seguridad, y en este departamento del gobierno estonio están actualizando la seguridad de sus documentos con un mas reciente aparato de cifrado de curva elíptica que “es mas permanente y veloz que los certificados SSL que se usaban previamente”.

La vulnerabilidad podía ser aprovechada para esa suplantación de identidad de apariencia verdaderamente simple a través del llamado ROCA (Return of the Coppersmith Attack). Los avezados que analizaron el inconveniente estimaron que alquilar un aseo en la nube para romper una clave vulnerable de 1024 bits llevaría 25 minutos y 38 dólares. Romper una clave de 2.048 bits costaría demasiado más: 20.000 USD y 9 días de cálculos en aquellos servicios.

Algunos investigadores estiman que el precio podría ser demasiado inferior a través del utilización de tarjetas gráficas para realizar aquellos cálculos. Las claves mas comunes aire las de 2.048 buts, y romper esas claves con un aparato basado en unas cuantas GPUs se podría realizar en levemente unas horas según los expertos, tambien de disminuir el precio de apariencia notable a levemente unos cuantos cientos de dólares.

Los proveedores de chips inteligentes que utilizaban estos sistemas de seguridad han tratado de rebajar el estado de alarma. Los propios responsables de gobierno estonio indican que apurar el ataque sería “complicado y ausencia barato”, y que usarlo por arquetipo para usarlo en fraudes a gran escala en votaciones electrónicas no sería asumible. El fabricante holandés de chips inteligentes Gemalto tambien ha indicado que únicamente sus tarjetas IDPrime.NET podrían rondar afectadas, inconveniente no ha entregado numerosos datos encima cómo solucionarlo.

Los descomposición del inconveniente abundan en la agrupación de avezados en seguridad informática. Dan Cvrcek, de la consultora Enigma Bridge, avisaba de los peligros del utilización de este persona de chips, e indicaba que pese a que las soluciones de la actualización de su firmware —como la que proponen el gobierno estonio y nuestro Ministerio del Interior— aire válidas, el inconveniente puede persistir.

De hecho, tan tan nos comentaba Román Ramírez (@patowc), avezado en seguridad tecnológica y co-organizador de la conferencia RootedCON, pueden desvelarse otros vectores de ataque en el futuro que sigan poniendo en peligro a estos chips y a los documentos que los utilizan. La solución pasaría por reemplazar el hardware de base, inconveniente lógicamente eso es tan tambien indicaba Cvrek demasiado mas complejo… y muchísimo mas caro.

El arquetipo estonio

La situación en Estonia es mas preocupante por la dependencia que los ciudadanos de ese país poseen de su documento de identidad electrónico. Como explicaba un ciudadano de ese país en los comentarios de un artículo en Ars Technica, hará levemente un mes que se produjeron allí las elecciones municipales, que podrían haberse visto comprometidas por el utilización del voto electrónico, que se utilización mas que de ningún modo en adagio país.

Hay que poseer en recuento que la población estonia es de 1,3 millones de personas, lo que hará que la desactivación de 750.000 certificados digitales afecte a casi la práctica totalidad de la población adulta. Los peligros existen de apariencia patente en esa manipulación de los resultados electrorales, ya que según este ciudadano Rusia ya ha demostrado su interés en inlfuir en los resultados en el pasado.

En ese país un gran número de ciudadanos, residentes y e-residentes “han recibido mensajes de falla debido al grande anchura de gente actualizando sus certificados al semejante tiempo”, lo que ha realizado que el gobierno estonio dé prioridad a aquellos que usan de apariencia acciona sus certificados digitales para “servicios vitales, tan los profesionales médicos en Estonia”. El proceso de actualización de aquellos certificados se alargará inclusive marzo de 2018 en ese país, inconveniente allí existe tambien la opcion de aprovechar el aseo Smart-ID que hará utilización del amovible y de la clave PIN asociada a la identidad de los documentos de identidad estonios.

En Xataka | Certificado digital, íntegramente lo que necesitas conocer para demandar e instalarlo en tu navegador

También te recomendamos

La guía definitiva para acertar con la talla del sujetador, y por qué es primordial hacerlo

No, no había agujero de seguridad en WhatsApp: tus mensajes están a a excepción

Cloudbleed es la última gran brecha de seguridad que ha expuesto los datos privados de millones de personas


La noticia La seguridad del DNI electrónico, comprometida: a quién afecta, por qué y cómo solucionarlo fue publicada originalmente en Xataka por Javier Pastor .

Agrega tu comentario