Vulnerabilidades del DNI electrónico
En noviembre de 2017 la Dirección General de la Policía desactivó la funcionalidad de los certificados digitales en los documentos expedidos a partir de abril de 2015, ya que según un estudio de la Universidad Masaryk de la República Checa, eran vulnerables a un ataque conocido como ROCA, que permitía adivinar las claves privadas del usuario de los certificados afectados analizando las claves públicas. Las autoridades informaron que en ningún DNI se había detectado dicho ataque, pero que se habían desactivado los certificados de los DNI vulnerables como medida preventiva. También informaron de que los documentos afectados seguían siendo válidos como documentos identificativos, aunque no pudieran usarse los certificados digitales. En diciembre de 2017, tras aplicar las soluciones técnicas necesarias, se notificó que ya era posible acudir a una comisaría a actualizar los certificados para solucionar el problema.
Esta vulnerabilidad no solo afectó a los certificados del DNI, sino que es una vulnerabilidad genérica detectada en algunas tarjetas criptográficas de algunos fabricantes, entre los que estaban los DNI expedidos después de la fecha indicada. Según el estudio, el fallo se encontraba en una librería de código utilizada por Infineon, uno de los proveedores más relevantes de chips inteligentes. El fallo implica que no se puede verificar si una firma digital la realizó el dueño del DNI o que los datos cifrados queden expuestos a terceros.
Por este motivo, además, queda en entredicho la validez de las firmas ya realizadas con estos documentos ya que no se puede demostrar quién los ha firmado. También ha sido revelada otra vulnerabilidad en la emisión de la firma: no certifica cuando fue realizada una firma, ni la fecha ni la hora de la operación.