Grave fallo de diseño en PKI compromete las firmas digitales

Fernando Acero, experto en seguridad informática y miembro de Kriptópolis, ha encontrado una seria vulnerabilidad en el estándar PKI que provoca que, bajo ciertas condiciones, se puedan firmar digitalmente documentos a nombre de otras personas usando certificados X.509, como los expedidos por la Fábrica Nacional de Moneda y Timbre y que se utilizan para firmar la declaración de la renta. La vulnerabilidad afecta a todos los certificados digitales X.509, independientemente del sistema operativo (Windows / Linux / Mac OS) o del programa que se utilice para gestionarlos.

En el artículo Grave fallo de diseño en PKI compromete las firmas digitales (en Kriptópolis), se demuestra la existencia de la vulnerabilidad y se evalúan las posibles consecuencias:

"[...] como no conozco el entorno en el que se realizó la firma del documento, gracias a este fallo puedo cuestionar, al menos con una duda razonable, si ese documento ha sido firmado realmente por la persona a la que pertenece el certificado. Puede que algunos no se den cuenta del problema, pero es más grave de lo que parece, si además, tenemos en cuenta lo que dice la legislación."

Si estás pensando en instalar tu certificado de usuario en el ordenador del trabajo para presentar la declaración de la renta por Internet, deberías tener en cuenta este agujero de seguridad.

O eso, o presentarla en papel.

-- Wayfarer

Encontrado vía Edad Futura.