Creado en 10/11/2017 02:10. Autor: Juan Arana
Revisado 26/12/2017 19:00 aquí
El 09/11/2017, medios de gran difusión [5] han informado de una vulnerabilidad del certificado electrónico contenido en el DNI electrónico (DNIe) y de la desactivación de dichos certificados electrónicos de una parte de los DNIe, los expedidos a partir de abril 2015.
La vulnerabilidad fue descubierta a final de enero de 2017 y presentada públicamente a finales de octubre de 2017 en la 24 ACM Conference on Computer and Communications Security (Dallas, USA) [1]. Entre esas dos fechas se produjo una colaboración entre el fabricante del software y un equipo de investigadores en criptografía de Masaryk University (República Checa), de la Universidad Foscari de Venecia y de la empresa Enigma Bridge.
Afecta a chips y otros dispositivos de criptografía y autenticación. En España, además de la DGP [6], el certificador vasco IZENPE anunció el 1 de noviembre [4] que sus certificados estaban potencialmente afectados aunque no habían detectado ningún caso de suplantación. Es muy probable que afecte a otros fabricantes de dispositivos que hayan preferido la discreción.
La vulnerabilidad consiste en que uno de los componentes del certificado, la clave privada, puede ser deducida de otro componente, relativamente visible, la clave pública. Pero no es fácil calcular la clave privada: el estudio citado estima que serían necesarios 148 años de un procesador Intel Xeon E5-2650 de 3 Gz, como el que se puede encontrar en un PC.
La clave privada es la "llave" del certificado electrónico y es una de las piezas de la firma electrónica. Es una especie de contraseña que el dueño del certificado debe mantener bajo su control para evitar que su firma sea robada. Descubrir la clave privada, que como vemos no es fácil, permitiría suplantar al titular de la firma a no ser que éste hubiera revocado o anulado el certificado.
La DGP ha anunciado en www.dnielectronico.es que "desactivará la funcionalidad de los certificados digitales" [6]. Los expertos no entienden muy bien qué significa "desactivar" en este contexto. Pudiera significar revocar, anular.
Pero en el momento de publicar esta nota, no parece que se hayan revocado los certificados.
Hemos comprobado, con un DNIe posterior a abril 2015, que se puede entrar en la Carpeta del Ciudadano (administracion.gob.es) a través de Cl@ve usando el DNIe. También hemos entrado en la Dirección General de Tráfico www.dgt.es "Consulta de puntos con certificado". Y por supuesto, en el Registro Electrónico de UNIZAR (regtel.unizar.es). Claro, estas operaciones son de "autenticación" y no requieren clave privada. Asi que es lógico que no las "desactiven", pero estaría bien que lo avisaran.
Hemos hecho la prueba de firmar con DNIe. Esta operación requiere clave privada. Y también hemos conseguido firmar dos horas antes de publicar esta nota. Hemos firmado con la aplicación Cliente @Firma del Ministerio de Hacienda y Función Pública (¡vale!, esa aplicación no comprueba si el certificado está revocado) y a continuación hemos comprobado que esa firma es correcta en valide.redsara.es, servicio de MINHAFP que si que comprueba que el certificado no está revocado.
También hemos firmado, hace menos de dos horas, en la herramienta de UNIZAR circuitofirmas.unizar.es, con Autofirma y con DNIe. Sin problemas
Asi que parece que la DGP no ha revocado los certificados de momento.
Lo que si sabemos es que el dia 7 de noviembre los puestos de autoservicio que sirven para cambiar contraseña y actualizar los certificados electrónicos estaban apagados en uno de las oficinas de Zaragoza y por tanto era imposible hacer esas operaciones. "Se está actualizando la seguridad" nos informó un funcionario.
Comprendemos la situación tan embarazosa en la que se deben encontrar los responsables de DNI electrónico (y los de otros CHIPS afectados): un potencial problema que causa una considerable alarma social pero que no se tienen noticias de que se hayan sufrido incidentes de cierta gravedad. Y cuya solución será, seguramente, bastante costosa. No es la primera vez que, en otros ámbitos sociales, sanitarios o tecnológicos ocurre algo similar.
Hubiera sido de agradecer que la nota de la DGP fuera algo más precisa: ¿en qué consiste la desactivación? ¿a qué funcionalidades va a afectar? ¿cuándo va a comenzar esa esa desactivación? ¿se van a revocar los dos certificados del DNIe o solamente el de firma? ¿cuando podrá volver a estar el DNIe en pleno funcionamiento?. Hemos hecho preguntas parecidas a ésta al soporte del DNI electrónico, pero todavía no hemos recibido respuesta.
Referencias:
[1] Articulo en que se publica la vulnerabilidad
https://acmccs.github.io/papers/p1631-nemecA.pdf
con un resumen
https://crocs.fi.muni.cz/public/papers/rsa_ccs17
[2] Descripción de la vulnerabilidad
https://en.wikipedia.org/wiki/ROCA_vulnerability
[3] Herramienta de detección de la vulnerabilidad
https://github.com/crocs-muni/roca
[4] Otros artículos técnicos
- http://unaaldia.hispasec.com/2017/10/roca-descubierta-grave-vulnerabilid...
- http://blog.segu-info.com.ar/2017/10/roca-chips-tpm-generan-claves-rsa.html
- http://www.irekia.euskadi.eus/es/news/41834-izenpe-sustituira-los-certif...
- https://dan.enigmabridge.com/roca-vulnerability-impact-on-gemalto-idprim...
[5] La noticia en los medios
- http://www.20minutos.es/noticia/3178133/0/certificados-electronicos-dni-...
- http://www.lavanguardia.com/vida/20171109/432737494196/desactivada-la-fi...
- http://www.elperiodico.com/es/politica/20171108/desactivada-temporalment...
- https://politica.elpais.com/politica/2017/11/09/actualidad/1510217634_47...
[6] Nota de la DGP
https://www.dnielectronico.es/PortalDNIe/ > NOTICIAS
Agradecimientos: la pista de las referencias técnicas la dió la mañana del 09/11 Jose Manuel Agudo Cuesta, de la Universidad de Salamanca, a través de RedIris. Con otros compañeros TIC y de Administración Electrónica, por ejemplo, Daniel Sánchez Martínez de la Universidad de Murcia o Iván Martinez de la Complutense hemos comprobado el comportamiento de los certificados DNIe. Fausti Salguero, funcionaria TIC de la AGE ha informado en el mismo sentido. Javier Bordonada de la Universidad de Zaragoza dio el 04/11 la noticia de que algo raro estaba pasando. Esther Zambrano aportó alguna comprobación. Pascual Pérez aportó su lucidez crítica. Estos dos últimos, compañeros de Administración Electrónica en UNIZAR.
02/12/2017 02:00 Reactivados los certificados electrónicos del DNIe
Durante la mañana del 01/12/2017 hemos comprobado que los certificados electrónicos del DNI electrónico volvían a funcionar. Al Verificar Certificado en valide.redsara.es indica Certificado válido. El 24/11/2017 decía Certificado inválido. El certificado se encuentra caducado.
En www.dnielectronico.es (Noticias) se ha publicado la siguiente nota:
Una vez aplicadas las soluciones técnicas necesarias, se ha activado de nuevo la funcionalidad de los certificados electrónicos de todos los DNI electrónicos, desde el soporte ASG160001 en adelante (ver imágenes) por lo que, aquellos ciudadanos que los necesiten, podrán actualizarlos o renovarlos en los Puntos de Actualización del DNI (PAD) que existen en todas las Oficinas de documentación de españoles.
La tarde del 01/12 hemos estado en un PAD de un centro de expedición del DNI y, aparentemente, sin hacer nada, el DNI estaba de nuevo validado.Por otra parte FNMT ha reactivado la posibilidad de obtener el certificado electrónico de persona física acreditándose con DNIe.
El Diario Cantabria, en una noticia de las 17:30 del 24/11 anunciaba esta reactivación y recordaba que el ministro del Interior, Juan Ignacio Zoido, en la sesión de control del 22/11/2017 había dado una explicación a preguntas del diputado David Serrada Pariente (PSOE, Salamanca):
He de decirle, en primer lugar, que a pesar de las habilidades que ha tenido lógicamente para aprovechar, por un lado, generar alarma, y por otro, mezclar unas cosas con otras, le voy a decir en cuanto a los documentos nacionales de identidad que no afectan desde el momento en que se empezaron a hacer, sino desde 2014, por tanto afecta solo a tres años. Pero lo que le voy a decir es todo lo que obra en mi poder y se lo puedo asegurar, porque como comprenderá no tengo por qué -ni es mi forma- mentir. No se ha detectado ningún fallo de seguridad, no ha habido brechas de seguridad, lo diga Agamenón o lo diga su porquero. No hay ningún tipo de peligro, simplemente tras el informe de la Universidad de la República Checa, y para eliminar cualquier tipo de posible fallo o sospecha, se ha procedido a la revocación de los certificados correspondientes a los DNI electrónicos 3.0. Estamos ante un problema teórico y no un problema real, y estamos haciendo todas las comprobaciones oportunas por parte del Centro Criptológico Nacional.
En definitiva, señoría, hemos actuado inmediatamente, lo hemos contado a la sociedad, y lo hemos hecho de forma inmediata una vez que hemos sido advertidos del problema.
Aquí están las preguntas y las respuestas del Diario de Sesiones del Congreso.
Si pasamos por alto el apartado "lo hemos contado a la sociedad", el resto de la intervención del ministro da una explicación, a mi modo de ver razonable, de las decisiones que se han tomado.
24/11/2017 22:40 Primeros certificados revocados
Una persona que trata de identificarse en regtel.unizar.es (registro electrónico) con su DNI electrónico recibe el mensaje de nuestra aplicación
El certificado no ha podido validarse.
Comprobamos otro DNIe candidato a ser revocado (posterior a marzo de 2015) en valide.redsara.es > Validar certificado
nos responde:
Certificado inválido
El certificado se encuentra caducado
Hasta hace dos días nos decía que el certificado era válido.
Nos ha llegado ya la anunciada revocación de certificados (desde el 06/11/2017)
En est momento en www.dnielectronico.es (ni tampoco www.minetad.es) encontramos ninguna información sobre los planes de reactivación, renovación, generación de un nuevo certificado, sustitución del DNIe o cualesquiera otros planes para resolver este problema.
20/11/2017 00:50
http://oscarpadial.com/vulnerabilidad-en-el-dnie/
Hemos añadido los enlaces al artículo de Julio Perales y Jose Antonio García DNIe, otra oportunidad perdida
14/11/2017 23:50 DNIe, otra oportunidad perdida
Jose Antonio García y Julio Perales, directivos de ASTIC, la asociación de funcionarios TIC, han publicado este interesante artículo sobre la vulnerabilidad del DNIe
https://cincodias.elpais.com/cincodias/2017/11/13/midinero/1510576751_27...
El periódico ha omitido, al publicarlo, interesantes enlaces que incorporaba el original. Esperamos contar con ellos y publicarlos.
Añadido 20/11/2017 00:40
13/11/2017 01:00 Verificación del certificado
10/11/2017 22:30 ¿Se desactivarán los certificados?
La cuenta Twitter del Punto General de Acceso del MINHAFP @060gobes admite (09/11/17 22:04) que no están revocados los certificados pero que se revocarán https://twitter.com/060gobes/status/928730076522405888 (textualmente: Sí, como puedes leer en la noticia, dice "se desactivará" a la pregunta ‘Desactivados’ no están... Me he identificado y firmado con uno afectado esta misma tarde. Imagino que los revocarán de oficio en breve, o eso espero)
Oferta de estudios
Perfiles
Añadir nuevo comentario