Historias
Slashboxes
Comentarios
 
Búsqueda
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Fallo en el DNIe español | Log in/Crear cuenta | Top | 9 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • ¿Cómo conseguir la clave pública de

    (Puntos:1, Interesante)
    por pobrecito hablador el Viernes, 10 Noviembre de 2017, 07:21h (#1380067)

    Yo tengo una duda para poder valorar la gravedad de esta incidencia: ¿De dénde se puede obtener la clave pública de un DNI electrónico?

    A. Entiendo que con el acceso a un DNI Electrónico de forma física, se pueda leer sin necesidad de teclear claves. Si fuera sólo ésto el problema estaría relativamente controlado custodiando el DNIe.

    B. También doy por hecho que cuando se crea el par de claves del DNI la clave pública se envía a la autoridad certificadora de la policía para que la firme. ¿Pero la CA de la policía pone a disposición pública las claves privadas de los ciudadanos para su verificación? ¿O simplemente las guarda a buen recauda? Si es la opción segunda, la problemática no sería tan grave.

    C. Por ota parte supongo que al acceder a un sitio web que nos pide el uso de certificado electrónico se le remite nuestra clave pública firmada. Este podría ser un ataque contra esta vulnerabilidad pero sus riesgos se minimizarían si sólo se accede con DNI electrónico a los sitios fiables.

    A ver si hay alguien que me pueda aclarar las dudas. ¡Gracias!

    Puntos de inicio:    0  puntos
    Moderación   +1  
    Modificador extra 'Interesante'   0  
    Total marcador:   1  

  • Re:¿Cómo conseguir la clave pública

    (Puntos:1, Inspirado)
    por pobrecito hablador el Viernes, 10 Noviembre de 2017, 08:07h (#1380068)
    Básicamente es como dices, aunque no estoy seguro no creo que exista ninguna relación "Nombre/Apellidos/DNI/Clave_pública" que se pueda consultar de forma libre y abierta por cualquiera, al fin y al cabo sólo la terna Nombre/Apellidos/DNI ya es un dato que debería estar protegido, tradicionalmente no se hacía, se publicaban listados con nombres y DNI's de todo tipo incluso en boletines oficiales, pero de un tiempo a ésta parte se evita hacerlo de esa forma, ahora se oculta el DNI total o parcialmente.

    Pero de todas formas da igual, porque la fortaleza básica de RSA, el corazón del "sistema", radica en la imposibilidad de obtener la clave privada a partir de la pública, si ésto no se cumple todo se viene abajo. El sistema debería ser fuerte incluso aunque se publicara la lista de claves públicas de todo el mundo. Así que la vulnerabilidad sí es MUY GRAVE.

    Afortunadamente el "sistema" contiene medidas de protección ante casos como éste, la REVOCACIÓN de certificados, y eso es exactamente lo que ha hecho la policía nacional, revocar los certificados. ¿Cómo funciona ésto?

    Aunque no existan listados públicos de claves públicas, sí existen listados públicos de certificados revocados, no conozco los detalles, pero la idea es que si tú presentas un certificado con clave pública firmado por una autoridad de certificación. Quien lo recibe DEBE comprobar que dicha firma/certificado no haya sido revocada, de ser el caso, automáticamente todo el certificado pierde cualquier validez que pudiera tener a efectos de autenticación, firma o cualquier otro próposito.

    Así que realmente ahora mismo no deberías poder utilizarlo en ningún sitio, fiable o no, el certificado del DNI habrá sido revocado y el receptor DEBERÍA rechazártelo (otra cosa es que no tenga su lista de certificados revocados actualizada, pero DEBERÍA tenerla).
    [ Padre ]
  • 1 respuesta por debajo de tu umbral de lectura actual.