Security Analysis of the Mexican Fiscal Digital Certificate System

Autores/as

  • Luis Rivera-Zamarripa Instituto Politécnico Nacional, Centro de Investigación en Computación
  • Lil M. Rodriguez CONACYT Research Fellow-INAOE
  • Miguel Ángel León Chávez BUAP-Benemérita Universidad Autónoma de Puebla
  • Nareli Cruz-Cortés Instituto Politécnico Nacional, Centro de Investigación en Computación
  • Francisco Rodríguez-Henríquez CINVESTAV-IPN, Computer Science Department

DOI:

https://doi.org/10.13053/cys-23-2-2994

Palabras clave:

Information security, mexican public key infrastructure system, digital certificates, RSA

Resumen

In 2005 the Mexican National tributary system (SAT) started an ambitious public key infrastructure project with the aim of providing to each Mexican citizen a public/private key pair along with a digital certificate that was issued by SAT itself. As of March 2016, approximately a total of 17 million certificates have been issued. This e-government system permits Mexican citizens to exercise a series of digital on-line services such as: tax declaration, official receipt issuing/verification, contract signing, etc. In particular, all Mexican official invoices became digital by January 2016, effectively going paperless for this service. In this paper, we carefully analyze the Mexican PKI system showing that it has several weak points that can be attacked by malicious adversaries. We report experimental evidence showing that one can launch a simple dictionary attack on SAT’s password-based authentication system. We also argue that due to the fact that the hash function SHA-1 has been recently completely broken, an attacker can produce the same signature for two different documents that will verify correctly when using any old FIEL certificate that has the RSA-1204/SHA-1 signature suite.

Descargas

Publicado

2019-06-27

Número

Vol. 23 Núm. 2 (2019): Topic Trends in Computing Research (Guest Editors: A. Aguilar Meléndez, E. U. Moya Sánchez)

Sección

Artículos

Licencia

Transfiero exclusivamente a la revista “Computación y Sistemas”, editada por el Centro de Investigación en Computación (CIC), los Derechos de Autor del artículo antes mencionado, asimismo acepto que no serán transferidos a ninguna otra publicación, en cualquier formato, idioma, medio existente (incluyendo los electrónicos y multimedios) o por desarrollar.

Certifico que el artículo, no ha sido divulgado previamente o sometido simultáneamente a otra publicación y que no contiene materiales cuya publicación violaría los Derechos de Autor u otros derechos de propiedad de cualquier persona, empresa o institución. Certifico además que tengo autorización de la institución o empresa donde trabajo o estudio para publicar este Trabajo.

El autor, representante acepta la responsabilidad por la publicación del Trabajo en nombre de todos y cada uno de los autores.

Esta Transferencia está sujeta a las siguientes reservas:

  • Los autores conservan todos los derechos de propiedad (tales como derechos de patente) de este Trabajo, con excepción de los derechos de publicación transferidos al CIC, mediante este documento.
  • Los autores conservan el derecho de publicar el Trabajo total o parcialmente en cualquier libro del que ellos sean autores o editores y hacer uso personal de este trabajo en conferencias, cursos, páginas web personal, etc.