Se ha detectado una vulnerabilidad en los certificados digitales de los DNIe que permite al atacante obtener la clave privada a partir de la clave pública.
Voy a intentar explicar un poco todos estos conceptos.
Firma digital en el DNIe
La firma digital en el DNI electrónico utiliza lo que llamamos clave asimétrica.
Se denomina así porque utiliza el conjunto de clave pública y clave privada.
Un ejemplo de comunicación de clave asimétrica sería el siguiente:
«Imaginemos que A quiere mandar un mensaje a B. Pues A cifraría el mensaje con la clave pública de B de manera que solo la clave privada de B sería capaz de descifrar el mensaje»
Uno de los cifrados de clave asimétrica más utilizados es el RSA. En el caso del DNIe es RSA de 2048 bits.
Vulnerabilidad R.O.C.A
Un estudio en una universidad Checa a dado con una vulnerabilidad que podría obtener la clave privada a partir de la pública.
Alertan, además, que claves de 4096 bits podrían ser factorizadas mejorando el ataque actual, denominado ROCA (The Return of Coppersmith’s Attack).
Como saber si mi DNIe está afectado
La Policía ha desactivado la función de certificado digital de los DNI electrónicos que fueron expedidos desde abril desde 2015 para reforzar su seguridad, después de que un estudio de una universidad checa haya alertado de su posible vulnerabilidad.
La desactivación es temporal, pero es la primera vez que se toma esta medida. ¿Cómo saber si te afecta y qué debes hacer si es así?
El posible fallo está siendo analizado por el Organismo de Certificación español, según informa la Dirección General de la Policía, que ha comenzado a modificar las funcionalidades de esos documentos para garantizar «la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España».
Los documentos que pueden verse afectados son los que tienen el número de soporte posterior al ASG160.000 que fueron expedidos a partir de abril de 2015.
¿Cómo saber si tu DNI está entre los afectados?
Además de la fecha de expedición, solo tienes que mirar al número que aparece debajo de la Fecha de Nacimiento, el ‘IDESP’.
Si en ese apartado aparece un número posterior al indicado, ‘ASG160.000’, entonces está confirmado: la firma digital de tu documento acaba de ser suspendida.