Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1016
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
-
▼
noviembre
(Total:
21
)
- macOS High Sierra permite iniciar sesión root sin ...
- Grave vulnerabilidad RCE en servidor de correo Exim
- Imgur también fue hackeada en 2014 con 1,7 millone...
- Estados Unidos pondrá fin a la neutralidad de la r...
- El atacante de HBO es de Irán y por eso el FBI no ...
- Refrigeración líquida extrema: meter el ordenador ...
- Herramienta para detectar el backdoor en Intel Man...
- Disponible Kali Linux 2017.3: distribución orienta...
- Google admite que Android sabe dónde estás, aunque...
- Uber sufrió un hackeo con robo de 57 millones de c...
- Vulnerabilidad en Android permite grabar la pantal...
- Vectores de ataque más comunes documentos de Office
- 9.9.9.9, nuevos DNS públicos especializados en blo...
- Un fallo de seguridad en el sistema de Amazon Key ...
- El retorno de la No cON Name los días 24-25 de nov...
- Desactivada la firma digital de los DNI por fallo ...
- Intel se alía con AMD para crear gráficos Radeon y...
- Un empleado de Microsoft instala Google Chrome en ...
- No soy un robot: la inteligencia artificial que en...
- España revalida título de campeona del European Cy...
- Empleado de Twitter borra la cuenta de Donald Trum...
- ► septiembre (Total: 16 )
-
▼
noviembre
(Total:
21
)
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
353
)
ransomware
(
337
)
vulnerabilidad
(
300
)
Malware
(
263
)
Windows
(
243
)
android
(
242
)
tutorial
(
235
)
cve
(
234
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Desactivada la firma digital de los DNI por fallo de seguridad
jueves, 9 de noviembre de 2017
|
Publicado por
el-brujo
|
Editar entrada
La Policía ha desactivado la función de certificado digital de los DNI electrónicos que fueron expedidos desde abril desde 2015 para reforzar su seguridad, después de que un estudio de una universidad checa haya alertado de su posible vulnerabilidad. Ese posible fallo está siendo
analizado por el Organismo de Certificación español, según informa la
Dirección General de la Policía, que ha comenzado a modificar las
funcionalidades de esos documentos para garantizar "la máxima seguridad y
confidencialidad en la utilización de la autenticación".
Un fallo de seguridad obliga a suspender el certificado digital de los DNI expedidos desde abril de 2015
https://www.dnielectronico.es/PortalDNIe/
CARACTERÍSTICAS TÉCNICAS DNIe 3.0
El bug en la generación de claves RSA afecta a chips de Infineon y el DNIe español es Infineon.
El conocido como DNI 3.0 supuso una importante mejora frente a las versiones anteriores, escasamente utilizadas. Su chip, hasta ahora considerado seguro, permite firmar documentos con la misma validez jurídica que una rúbrica manuscrita, facilitando asimismo su empleo como tarjeta de identificación para viajar a los países que lo aceptan como alternativa al pasaporte.
Estonia también retira certificados
Cabe mencionar que hace apenas unos días Estonia también se vio obligada a renovar los certificados digitales de sus tarjetas de identificación. Las autoridades señalaron el descubrimiento en septiembre de un fallo de seguridad en el chip, fabricado por una compañía suiza. Dicho error permitiría a terceras personas suplantar la identidad de los usuarios afectados. Por el momento se desconoce si existe una relación entre este suceso y el caso español.
Estonia es posiblemente el país más digitalizado del mundo, por lo que la renovación de los certificados digitales ha supuesto un mayor problema. El programa de residencia digital del país báltico permite a los ciudadanos realizar todo tipo de operaciones en unos minutos, desde acceder a las oficinas online de los distintos ministerios a acceder a servicios bancarios o crear una empresa con unos pocos clics.
El ataque R.O.C.A
Según sus investigaciones, la librería afectada (versión 1.02.013) generaría claves que, dependiendo de su longitud, sería viable su factorización hoy en día con la inversión adecuada. Si tomamos como ejemplo claves RSA de 512, 1024 y 2048 bits, utilizando servicios como Amazon AWS, se podría factorizar aquellas claves generadas con la librería de Infineon, con un coste menor a $1, $100 y $40000 respectivamente, utilizando simplemente instancias Amazon AWS C4, y en un tiempo que varía entre horas o pocos días.
Alertan, además, que claves de 4096 bits podrían ser factorizadas mejorando el ataque actual, denominado ROCA (The Return of Coppersmith's Attack).
Utilizando
ROCA, un atacante podría suplantar identidades, firmar malware con un
certificado malicioso o descifrar mensajes que utilicen claves
vulnerables, por ejemplo.
- Actualizar el firmware de los dispositivos cuanto antes.
- Generar la clave mediante otra librería, como OpenSSL, y actualizar la del dispositivo con la nueva clave.
- Usar otro algoritmo de cifrado como ECC, en vez de RSA.
Fuentes:
http://unaaldia.hispasec.com/2017/10/roca-descubierta-grave-vulnerabilidad.html
https://www.lainformacion.com/amp/espana/desactivada-la-firma-digital-de-los-dni-por-un-posible-fallo-de-seguridad/6336504
https://www.elotrolado.net/noticia_la-policia-nacional-desactiva-la-firma-digital-de-los-dni-por-un-posible-fallo-de-seguridad_34102
Un fallo de seguridad obliga a suspender el certificado digital de los DNI expedidos desde abril de 2015
Para reforzar la seguridad de los certificados electrónicos del DNIe, a la vista del estudio publicado recientemente por una Universidad de la República Checa, cuya viabilidad está siendo objeto de análisis por el Organismo de Certificación español, la Dirección General de la Policía ha comenzado a modificar dichas funcionalidades, garantizando con ello la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España.Fuente:
Hasta no estar implementadas las soluciones técnicas necesarias (lo que se hará en fechas próximas) se desactivará la funcionalidad de los certificados digitales de parte de los actuales DNIe para que, cuando estén disponibles, puedan ser actualizados directamente por sus titulares en las Oficinas de Documentación.
En el momento que esto sea posible se informará puntualmente. Entretanto, se comunica que los documentos cuyos certificados pudieran resultar afectados, son los que tienen número de soporte posterior al ASG160.000 (ver imágenes), que fueron expedidos a partir de abril de 2015.
Se recuerda que el DNIe sigue siendo válido como documento de identificación (para cualquier tipo de trámite administrativo, mercantil, privado) y como documento de viaje (para viajar a la práctica totalidad de los países de la U.E.).
https://www.dnielectronico.es/PortalDNIe/
CARACTERÍSTICAS TÉCNICAS DNIe 3.0
- Chip:
- SLE78CLFx408AP de Infineon Technologies.
- Características:
- 400KB memoria Flash (código + personalización)
- 8 KB memoria RAM
- Dual Interface.
- Criptolibrería RSA
- CC EAL5+
El bug en la generación de claves RSA afecta a chips de Infineon y el DNIe español es Infineon.
El conocido como DNI 3.0 supuso una importante mejora frente a las versiones anteriores, escasamente utilizadas. Su chip, hasta ahora considerado seguro, permite firmar documentos con la misma validez jurídica que una rúbrica manuscrita, facilitando asimismo su empleo como tarjeta de identificación para viajar a los países que lo aceptan como alternativa al pasaporte.
Estonia también retira certificados
Cabe mencionar que hace apenas unos días Estonia también se vio obligada a renovar los certificados digitales de sus tarjetas de identificación. Las autoridades señalaron el descubrimiento en septiembre de un fallo de seguridad en el chip, fabricado por una compañía suiza. Dicho error permitiría a terceras personas suplantar la identidad de los usuarios afectados. Por el momento se desconoce si existe una relación entre este suceso y el caso español.
Estonia es posiblemente el país más digitalizado del mundo, por lo que la renovación de los certificados digitales ha supuesto un mayor problema. El programa de residencia digital del país báltico permite a los ciudadanos realizar todo tipo de operaciones en unos minutos, desde acceder a las oficinas online de los distintos ministerios a acceder a servicios bancarios o crear una empresa con unos pocos clics.
ROCA: descubierta grave vulnerabilidad en la librería de claves RSA Infineon
Se ha hecho público un importante estudio sobre la vulnerabilidad presente en la librería RSA de la firma Infineon (CVE-2017-15361), alertando de la viabilidad de realizar un ataque de factorización a todas aquellas claves RSA generadas mediante esta librería, y utilizando para ello únicamente su clave pública.
Dado que esta librería se utiliza en multitud de chips de cifrado (como Infineon TPM), en el cifrado y firma de certificados (como PGP), Smartcards, tarjetas de identificación, dispositivos Tokens (Yubikey), sistemas de cifrado de ficheros (BitLocker con TPM), etc., el
ecosistema de dispositivos y productos vulnerables es bastante amplio,
viéndose afectados paralelamente otros fabricantes como Microsoft, HP o Google.
El estudio ha sido anunciado por los investigadores del departamento CRoCS, de la universidad de Masaryk , en la república Checa y de la italiana Ca' Foscari en Venezia, junto a la empresa Enigma Bridge, y será presentado oficialmente a finales de mes en la conferencia ACM CCS '17.
Según sus investigaciones, la librería afectada (versión 1.02.013) generaría claves que, dependiendo de su longitud, sería viable su factorización hoy en día con la inversión adecuada. Si tomamos como ejemplo claves RSA de 512, 1024 y 2048 bits, utilizando servicios como Amazon AWS, se podría factorizar aquellas claves generadas con la librería de Infineon, con un coste menor a $1, $100 y $40000 respectivamente, utilizando simplemente instancias Amazon AWS C4, y en un tiempo que varía entre horas o pocos días.
La gravedad de este ataque ha provocado que el gobierno de Estonia mandara generar nuevas tarjetas de identificación, ya que se veían afectadas más de 750.000 generadas
desde 2014. Dado que los chips de Infineon, así como la librería, se
utilizan en multitud de dispositivos, otros países y fabricantes se
podrían ver afectados.
Recomendaciones
Tanto los investigadores como el fabricante han publicado diversas recomendaciones:
- Generar la clave mediante otra librería, como OpenSSL, y actualizar la del dispositivo con la nueva clave.
- Usar otro algoritmo de cifrado como ECC, en vez de RSA.
Se han publicado también herramientas para determinar si la clave se ve afectada por la vulnerabilidad:
ROCA detection tool
Así como servicios online:
Infineon, Microsoft, HP y el resto de fabricantes afectados, han publicado parches y firmwares ya disponibles, así que recomendamos que se actualicen los sistemas y dispositivos afectados lo antes posible.
Fuentes:
http://unaaldia.hispasec.com/2017/10/roca-descubierta-grave-vulnerabilidad.html
https://www.lainformacion.com/amp/espana/desactivada-la-firma-digital-de-los-dni-por-un-posible-fallo-de-seguridad/6336504
https://www.elotrolado.net/noticia_la-policia-nacional-desactiva-la-firma-digital-de-los-dni-por-un-posible-fallo-de-seguridad_34102
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.