Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

ROCA, vulnerabilidad en certificados electrónicos (ej. DNI)

Fecha de publicación: 08/11/2017
Petr Svenda, del Centro para la Investigación de Criptografía y Seguridad vinculado a la Universidad Masaryk (República Checa) ha descubierto la vulnerabilidad conocida como ROCA.

La cual afecta algunos DNI electrónicos, puede ser explotada para obtener la clave privada a partir de la factorización de la clave pública. Este hecho podría permitir a un atacante suplantar la identidad de un usuario, descifrar información sensible o realizar ataques similares.

Los DNI que pueden verse afectados por este fallo son aquellos cuyo número de soporte es posterior al ASG160.000, y que según confirman, habrían sido expedidos a partir de abril de 2015. Tambien se han visto afectados numerosos certificados electrónicos de Izenpe como el propio organismo emisor ya dio a conocer en sus canales de comunicación.

La solución que propone Petr Svenda en este caso pasa por sustituir los certificados vulnerables.

Más información:

ROCA: Vulnerable RSA generation (CVE-2017-15361) https://crocs.fi.muni.cz/public/papers/rsa_ccs17