Portada
Hace 14 años | Por --63527-- a muycomputer.com
Publicado hace 14 años por --63527-- a muycomputer.com

DNIe británico hackeado en 12 minutos

 muycomputer.com

La tarjeta de identificación que el gobierno británico quiere implantar, conocido como national ID card, ha sido hackeado, exactamente clonado y modificado posteriormente, por un experto de seguridad en cuestión de sólo 12 minutos.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 29 36

Comentarios

David_VG
editado

Hablando de DNIe: A vosotros no os resulta gracioso que el estado nos facilite las claves pública y privada en lugar de firmar nuestra clave pública?

Es decir: ellos disponen de nuestra clave privada. Por lo que podrían firmar por nosotros o espiar lo que encripten "para" nosotros.

V 20
K 163
albandy
editado

#10 Como cualquier entidad certificadora que emita certificados personales. Hoy en día no te puedes fiar de nadie.
Si quieres cifrar algo utiliza GPG que al ser de código abierto es el único sistema que puede garantizar el cifrado sin puertas traseras.

V 18
K 152
D
editado

Supertécnica la noticia. Podrían dar algo más de información, leñe.
Algo más completo, en inglés:
http://www.dailymail.co.uk/news/article-1204641/New-ID-cards-supposed-unforgeable--took-expert-12-minutes-clone-programme-false-data.html

#10: La idea del DNI-e es la administración electrónica. Es decir, el estado lo que quiere saber es si cuando haces una transacción, eres tú de verdad de la buena. Su objetivo no es que lo uses para cifrar comunicaciones privadas.

Y básicamente lo que dice #11, las entidades certificadoras son organismos de los que se supone que ambas partes se fían. Por ejemplo, cuando entras en la web del banco, te fías de ella porque está certificada. Pero ese certificado lo ha emitido una empresa privada (VeriSign, por ejemplo), de la que te fías que sólo certifica a quien tiene que certificar

V 2
K 25
David_VG
editado

#11 Lo propio sería que tu entregases la clave pública a la certificadora, para que esta la firmase y generase el certificado correspondiente. No tiene sentido que otra persona (u otra empresa) te de tu clave privada.

#14 El estado no necesita mi clave privada para saber si yo soy yo, le basta con la pública. El estado, ofreciendome el eDNI debería de aceptar de mi una clave pública y debería de firmarla el. No darme una clave pregenerada por ellos.

Y el fin que le dea al eDNI es cosa mía. No tengo por que firmar exclusivamente documentos públicos. Si quiero firmar un contrato, un correo o lo que quiero, el eDNI tiene la capacidad de indicar que yo y sólo yo lo he firmado (y también me permitiría desencriptar mensajes dirigidos a mi). Exactamente igual que los certificados que vas a comprar a la fabrica de moneda y timbre.

#17 Firmas con tu clave privada. Pero para ello no tiene que dartela el estado. Lo único que necesitas realmente es que el conozcan tu clave pública y que una CA firme tu clave pública (en este caso el estado).

#20 Eres libre de no utilizarlos.

V 1
K 14
c
editado

#10 #24 ¿Pero de dónde sacais que el "Estado" tiene la clave privada del DNIe? Las claves las genera el propio DNIe y el certificado queda almacenado en la propia smartcard. Nadie aparte del poseedor del DNI y del pin (elegido por el titular) tiene acceso a esos certificados. Y la clave privada no se puede extraer... así que como FUD está bien, pero de realidad más bien poco. Ni las claves las genera el Estado ni tiene una copia. Salvo que consideremos que el estado sea la Smartcard.

En cuanto a la noticia, ¿nos tenemos que creer, que este experto en informática se ha cargado una RSA con clave de 4096 bits en 12 minutos con un móvil Nokia? Porque si es así, podría dedicarse a "crackear" cualquier sistema de comercio electrónico, que le saldría más a cuenta. Como bien dice #14, no explican nada.

V 7
K 68
u
editado

#28 menos mal que hay alguien en este meneo que sabe de lo que habla...
Hay gente hablando por arriba como #10 que se piensa que la aleatoriedad es un juego y se debería depender de que el usuario esté moviendo el ratón por la pantalla durante unos minutos como con GPG y cuando puede llegar un tonto del bote que no tiene ni puta idea de lo que está haciendo y no mueve el ratón y no se guenera una semilla decente... para el DNI-e se utilizan protocolos que certifican que la semilla del algoritmo es fiable para la generación de las claves...

Luego está #19 que sin tener ni idea de lo que habla menosprecia el que hasta ahora es el mejor DNI-e del mundo y se ríe de la empresa que fabrica la mayoría de todas nuestras defensas militares.

de nuevo #24 empeñado en que el gobierno guarda una base de datos con todas nuestras claves privadas y se empecina en que cada uno se genere su par de claves, poniendo empeño en que los protocolos que garantizan la aleatoriedad de la semilla no sirven para nada.

llegamos a #26 que se cree que la robustez del par de claves depende del algoritmo, volvemos a no tener en cuenta la semilla, si no hay una buena semilla, no hay algoritmo que sirva para nada.

Repito, menos mal que hay gente como #28 que sabe de lo que habla...

PD: #20 si conoces el S3lab respóndeme al comentario. por favor.
PD2: #23 estás en lo cierto, en cada DNI hay un ordenador completo.

V 7
K 49
c
editado

#31 Es que es tan fácil como ir a la página web del DNIe (http://www.dnielectronico.es/) y leer un poco, que te explican todo clarísimamente. Lo que pasa que la gente se lee en la wikipedia "Sistema de clave pública" y se creen expertos en sriptosistemas, y se deben pensar que el DNIe es un trozo de cartón que incorpora una tarjeta SIM.

Y dejando a los expertos en conspiraciones, en cuanto al tema después de buscar más información al final resulta que lo que han hecho los expertos, es clonar un RFID de unas tarjetas que les dan a los extranjeros en UK. Así que de DNI británico, nada. El listo del periodista, dice que si se puede "crackear" la tarjeta de los extranjeros, "seguramente" se podra crackear el futuro National ID, porque es "similar". Vamos, como para darle el Pulitzer. Y si la noticia es el clonado del RFID, entonces el Pulitzer, pero de hace unos cuantos años...

V 0
K 6
David_VG
editado

#31 Ya puede ser "jodidamente mala" la semilla, para osar compararla con recibir de "otra persona" tu clave privada.

V 0
K 7
c
editado

#34 Y dale, que no recibes ninguna clave privada de nadie, ni ningún certificado salvo el de la CA, que los genera el propio DNI. Salvo que consideres el DNI como otra persona, pero en ese caso, también deberías de considerar que tu CPU es otra persona.

#33 La Smartcard es la que es, la policia puede pedir misa, pero no es que se les niegue, es que la clave privada no se puede extraer del DNI. Y por supuesto sólo aclarar, que el DNI si que puede cifrar datos, si no val vamos. A lo que se refiere #33 es que no puedes es usar tu esa clave privada para por ejemplo firmar un email. Pero repito, no porque la policia no quiera, si no porque la utilidad del DNI es la de autentificar al usuario y firmar electrónicamente. Pero es que si tu te genereas un certificado X509, tampoco es para que andes cifrando documentos word secretos....

V 0
K 6
rafaLin
editado

#35 "el DNI si que puede cifrar datos"

No, no puede, sólo puede firmar y autentificarse, no puede cifrar, a diferencia que el de la FNMT que sí es un certificado completo y te deja hacer todo.

"no puedes es usar tu esa clave privada para por ejemplo firmar un email"

Eso sí puedes hacerlo, lo que no deja es cifrar.

V 0
K 10
ohyeah
editado

#10, #11 y #24 : Pienso que no hay que comerse demasiado la cabeza con el tema de la clave privada. Nos la da el estado porque, de elegirla el usuario, se podría comprometer el sistema al utilizar claves débiles. También puede el estado crear un DNI tradicional y utilizarlo en su beneficio y no por ello lo hacen; así como los tienen falsos los terroristas u otros delincuentes.

V 1
K 18
D
editado

#25 La clave será igual de fuerte si la generas tú o si la genera el estado. No se trata de claves que eliges al hazar, sino generadas siguiendo un algoritmo matemático. No sirve la típica clave 1234.

V 0
K 6
takamura
editado

#26 Dios, ese "hazar" me ha dolido >_

V 1
K 14
Stash
editado

Estoooo.... #10, majete, y con que se supone que vas a firmar... ¿con tu clave pública?

V 3
K 6
systembd
editado

#10 Utilizar el verbo encriptar crirría en muchos oídos (algo así como el término "computadora"). No tiene sentido utilizar anglicanismos cuando ya existe un verbo para esa acción: cifrar.

V 3
K 28
rafaLin
editado

#10, en el eDNI no se quedan con la clave privada. Querían hacerlo, pero se les negó y al final se llegó a un acuerdo intermedio, la policía no se queda con la clave privada pero tampoco se permite que el eDNI pueda cifrar datos.

Por eso es bastante mejor el certificado de la FNMT, que ni se quedan con la clave privada, ni te capan el cifrado.

#13, puedes renovarlo sin certificado electrónico, para que sea igual que el antiguo, sin nada en el chip. Lo normal es que por defecto te lo den con el certificado, a menos que digas que no lo quieres o que el funcionario piense que no vas a saber usarlo y te pregunte (se hace en el caso de abuelos, etc).

V 0
K 10
albandy
editado

Entiendo que fuera posible clonar los datos, lo que no acabo de entender es como narices han podido modificarlos, es decir, si no conoces la clave privada no puedes cifrar los datos haciéndote pasar por otro, por lo que me da que pensar tres cosas:

1.- Conocían la clave (algo muy difícil)
2.- El algoritmo utiliza un cifrado débil y han podido obtener la clave privada a través de la pública (sería de risa)
3.- El algoritmo está mal diseñado.

V 11
K 88
hellodolly
editado

En la noticia habla de dos expertos: uno para leer los datos y otro para clonar y modificarlos.

V 3
K 40
D
editado

Pues que diseñen la "seguridad" de la ID card los dos expertos. Facil ¿No?

V 3
K 35
josjator
editado

¿12 minutos desde que le dan la tarjetita hasta que la clona?

V 2
K 32
s
editado

que poco me gustan a mi los dni´s estos electronicos

V 2
K 26
D
editado

Eso sí, la cara de Specimen del tío de la tarjeta es impresionante...

V 1
K 12
C
editado

En palabras de Laurie: "si el gobierno quiere certeza sobre que no exista el robo de identidad, debería haber impuesto mejores medidas que las del modelo actual".

Igual es que no quieren tal certeza...

V 0
K 12
Crotalo
editado

Menudo specimen el de la foto.

V 0
K 9
Candidatas
29
meneos
tecnología Así funciona la desinformación y el discurso de odio racista que se propaga impune por la red
38
meneos
cultura Activistas de Galicia (España) utilizan arte de guerrilla [EN]
25
meneos
actualidad Xi Jinping visita Europa por primera vez en cinco años: la gira de buena voluntad del presidente de China no será fácil
35
meneos
politica La Audiencia Provincial desestima el recurso de Cristina Seguí por los tuits contra Ábalos
60
meneos
temazos Rosendo - Pan De Higo
23
meneos
cultura Premio Tauromaquía
19
meneos
actualidad Un sacerdote armado, detenido en uno de los accesos a la plaza de San Pedro
16
meneos
ocio La Ruina (con Paula Malia)
zerial
editado

Sucede cuando ignorantes-"expertos en tecnologia y seguridad" se hacen cargo de este tipo de cosas.

V 0
K 7
i
editado

Me encanta...
La trampa siempre un paso delante de la ley.Como con el Windows 7, el P2P

editado:
..

Crackers, Hackers = Mis Heroes.

V 0
K 6
D
editado

Que sensacionalista, por dios...
¿Es que si se hiciese en 3 días sería menos espectacular?
Lo que importa es que han roto el sistema, me quito el sombrero ante estos señores, gracias a ellos el mundo es un lugar mas seguro.

V 0
K 6
D
editado

Yo puedo gimpear el dni de otra persona, poner mi foto en su lugar y plastificarlo de manera que la policía en una inspección rutinaria no note la diferencia. Y en menos de 5 minutos.

V 0
K 6
ThEInSaNE
editado

Incrackeable, como todo lo anterior.

V 0
K 6
L
editado

Yo me pregunto que tipo de información hay dentro del DNIe, si algun día lo descubro y no me gusta, estoy rallandolo por mis santos cojones

V 0
K 6
Alexxx
editado

#15 ¿Qué información contiene el chip de la tarjeta?

El chip que incorpora el DNIe contiene los mismos datos que aparecen impresos en la tarjeta (filiación, fotografía y firma digitalizada y resumen criptográfico de la impresión dactilar) junto con los certificados de autenticación y firma electrónica, además de un certificado de componente propio del DNIe. El nuevo DNI no contiene ningún dato histórico del titular como tampoco incorpora dato alguno de carácter sanitarios, fiscal, penal, laboral, etc...

http://www.dnielectronico.es/Preguntas_Frecuentes/descripcion/index.html#

V 5
K 54
l
editado

CRACKEADO!!!!!!!!!! SE DICE CRACKEADO!!!!!!!!

V 36
K -125
Don_Gato
editado

#9 Crackeado sería si hubiera hecho un destrozo, borrado los datos o aprovechado la copia para delinquir, cosa que no ha sucedido. Ha creado un DNI falso perfectamente reconocible para denunciar el fallo de seguridad ergo 'hackeado' está correctísimamente usado.

Y tranquilo, si lo escribes en minúscula y sin negritas también se lee.

V 33
K 299
D
editado

¿Y que tal anda el DNI Español? Porque si te toca renovar, renovas y no puedes negarte.

#9: Se dice OWNEADO. O bueno, también vale... ¡owneDNIe! lol

V 4
K 50
D
editado

#13 Ese era tan fácil que no les tentaba el reto. Lo debió diseñar Indra.

V 2
K 30
pandereto
editado

#19 Creo que no es tan fácil. El DNI español dentro del chip no solo lleva la clave, lleva una especie de microcontrolador, un verdadero computador integrado en el chip con su microprocesador y memoria que es el que hace internamente todos los procesos de encriptación y desencriptación. Buscando un poco se pueden ver más detalles técnicos y parece bastante robusto. Tampoco soy un experto en el tema, básicamente es lo que recuerdo haber leido en la documentación oficial así que corregidme si me equivoco.

V 1
K 13