1. Alejandro
Digitally signed by Alejandro
Ramos
DN: cn=Alejandro Ramos, o=sia
group, ou=sia spain, dc=com
Ramos Reason: I am the author of this
document
Date: 2006.10.16 11:20:47 +02'00'
Presente: DNI
Electrónico.
Alejandro Ramos, CISSP
aramosf @ sia.es
Mallorca, Septiembre 2006
2. Agenda
1. Introducción.
2. Componentes.
3. Expedición.
4. Infraestructura.
5. Conclusiones.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
3. Introducción
• Nace con el objetivo de garantizar la
Autenticación, No repudio y
Confidencialidad en las transacciones
telemáticas.
• Lo emite la Dirección General de Policía
(DGP).
• Tiene por Objetivo:
– Firma digital con la misma validez que la
manuscrita.
– Identificación electrónica.
– Identificación tradicional.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
4. Introducción
Actualmente se está expidiendo en:
– Ávila
– Burgos
– Palencia
– Salamanca
– Santander
– Segovia
– Soria
– Valladolid
– Zamora
Presente: DNI electrónico.
Mallorca, Septiembre 2006
5. Ejemplos de Usos
Algunos ejemplos de su uso son:
– Presentar la Declaración de la Renta
– Consultar la vida laboral
– Subastas públicas
– Identificación en sistemas Single-Sign-
On.
– Usos similares al certificado FNMT.
Demo 1
Presente: DNI electrónico.
Mallorca, Septiembre 2006
6. Seguridad en el DNIe
Dos factores de seguridad:
– Algo que se tiene (tarjeta de
policarbonato)
– Algo que se sabe (PIN de 8-16
caracteres alfanuméricos)
Presente: DNI electrónico.
Mallorca, Septiembre 2006
7. Componentes
Por la parte principal:
– Número personal de identificación y carácter de
verificación.
– Imagen cambiante grabada en láser.
– Número de serie del soporte y fecha de validez.
– Fotografía con holograma en la superficie
– Firma manuscrita.
– Kinegrama.
– Datos personales.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
8. Componentes
Anverso:
– Datos de filiación.
– Equipo de expedición.
– Caracteres OCR-B (normativa
OACI de documentos de viaje).
Presente: DNI electrónico.
Mallorca, Septiembre 2006
9. Componentes
(fuente DGP)
Presente: DNI electrónico.
Mallorca, Septiembre 2006
10. Contenido
• El certificado público de la Autoridad
Certificación emisora.
• Los certificados electrónicos para autenticar
la personalidad del ciudadano.
• Los certificados electrónicos para firmar
electrónicamente.
• La plantilla biométrica de la impresión
dactilar
• La fotografía digitalizada.
• La imagen de la firma manuscrita.
• Los datos de filiación del propietario.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
11. Contenido
• Sistema Operativo DNIe v1.0.
• Aplicación Match-On-Card.
• Certificado de componente (CWA
14890), dedicado a cifrar la
comunicación entre el driver y la
smartcard.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
12. Que no contiene
• ADN.
• Información de tráfico.
• Grupo sanguíneo.
• Cualquier otra información personal.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
13. Componente electrónico
El REAL DECRETO 1553/2005, de 23 de
diciembre, que regula el DNI electrónico,
en su artículo 9, apartado 2, establece
que la activación de la utilidad
informática (identificación electrónica de
su titular y la capacidad de realizar la
firma electrónica de documentos) tiene
carácter voluntario
Presente: DNI electrónico.
Mallorca, Septiembre 2006
14. Componentes
Chip ST19WL34A
Presente: DNI electrónico.
Mallorca, Septiembre 2006
15. Componentes periféricos
Requerimientos:
– Pentium III o superior
– Windows, Linux, Mac
– Internet Explorer,
Firefox, Netscape.
– Software DNIe.
Demo 2
(fuente DGP)
Presente: DNI electrónico.
Mallorca, Septiembre 2006
16. Expedición
• Presentación física en las oficinas de
expedición
• Abonar la cuota (variable)
• Presentar la documentación adicional para
primeros DNI
• Se entrega en el acto.
• El PIN se entrega en sobre cerrado
• La contraseña se puede cambiar en los
“Kioscos”
Demo 3
Presente: DNI electrónico.
Mallorca, Septiembre 2006
17. Infraestructura
• Proyecto desarrollado por la UTE:
– Telefónica, Indra y Software AG.
– ~12 Millones de euros.
– Tecnología MultiPKI: Entrust y Safelayer.
– Modulo criptográfico RETEMSA.
– Desarrollos de terceras compañias:
Siemens y Sagem Défense Sécurité en
biometría.
– Kiosco ensamblado por Inves.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
18. Firma digital
Origen Mensaje Transmitido Destino
Mensaje Mensaje
Descifrar
Hash
Mensaje Firma Clave
Pública
Clave
Cifrar
Privada Hash Hash
Firma
Hash iguales = Integridad, No repudio
Presente: DNI electrónico.
Mallorca, Septiembre 2006
19. Que es un certificado
• Documento que contiene diversos datos,
entre ellos el nombre de un usuario y su
clave pública, y que es firmado por una
Autoridad de Certificación (AC).
• Como emisor y receptor confiarán en esa
AC, el usuario que tenga un certificado
expedido por ella se autenticará ante el otro,
en tanto que su clave pública está firmada
por dicha autoridad.
• Una de las certificaciones más usadas y un
estándar en la actualidad en infraestructuras
de clave pública PKIs es X509.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
20. X509
v3
Número DNI
DGP
Apellidos,
Nombre
Clave publica
Firmado por AC
Presente: DNI electrónico.
Mallorca, Septiembre 2006
21. Componentes
Certificado DNI - Ciudadano
Presente: DNI electrónico.
Mallorca, Septiembre 2006
22. Infraestructura
MultiPKI
(fuente DGP)
Presente: DNI electrónico.
Mallorca, Septiembre 2006
23. Emisión de Certificados
Autoridad Certificadora
– Entidad encargada de firmar los
certificados para que una tercera confíe en su
validez.
– La AC Raíz es el elemento con mayor nivel
de confianza en una estructura de PKI.
– Un sistema PKI es tan seguro como segura
estén los certificados de la AC Raíz.
– En el DNIe, la CA Raíz se guarda en un portátil
offline, bajo una caja fuerte, dentro de una
jaula metálica.
– Otras medidas son el uso de módulos
criptográficos (no manipulables) HSM.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
24. Usos de la AC Raíz
Uso de la AC Raíz
– Generación de clave propia.
– Generación de ARL/CRL para
subordinadas.
– Cambio en el procedimiento de
certificación y por lo tanto cambio en la
configuración de la AC.
– Emisión de una nueva AC subordinada.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
25. Emisión de Certificados
Grupo de Certificación Subordinado
– Encargado de emitir y revocar certificados
– Escalabilidad de la CA Raíz.
– Modelo Jerárquico.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
26. Emisión de Certificados
Autoridad de Registro
– Entidad encargada de solicitar las altas y bajas
de certificados.
– Se comprueba la verdadera identidad del
usuario (presencia física)
– En el DNIe son las oficinas de la DGP.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
27. Certificados del DNIe
• Raíz: 30 Años.
– Certificado Autofirmado con SHA1 y SHA256.
– Claves RSA 4096.
– Key Usage: Firma de certificados, Firma CRL sin conexión,
Firma CRL
• Subordinadas: 15 Años.
– Certificados firmados con SHA1 y SHA256.
– Claves RSA 2048
– Key Usage: Firma de certificados, Firma CRL sin conexión,
Firma CRL
• Ciudadano: 30 Meses.
– Certificados firmados con SHA1.
– Claves RSA 2048.
– Utiliza para firmar SHA1.
– Certificado de Autenticación: Key Usage = Digital Signature.
– Certificado de Firma: Key Usage = ContentCommitment.
Presente: DNI electrónico.
Mallorca, Septiembre 2006
28. Qué hay en una CRL
DN: cn=CRL,
Nombre de la CRL
o=ACME,c=ES
AC DN: o=ACME,c=ES Nombre AC emisora
Start: 1/3/06 1:02
End: 2/3/06 1:02 Periodo de Validez
Revoked: Lista de revocados
19123 24/02/04 10:20 Número de Serie
Fecha Revocación
Cese de la Operación Motivo de Revocación
12383 25/03/04 16:20
Compromiso de clave
Firmado por AC
Presente: DNI electrónico.
Mallorca, Septiembre 2006
29. OCSP (Online Certificate Status Protocol)
• Protocolo que determina el estado de
revocación de un certificado
• Evita tener que descargar la CRL completa
(puede existir una copia desactualizada)
• Los mensajes OCSP habitualmente se transmiten
sobre el protocolo HTTP
• La prestación de los servicios de validación se
realiza a través de OCSP
• http://ocsp.dnie.es
Presente: DNI electrónico.
Mallorca, Septiembre 2006
30. Declaración de Prácticas de Certificación
• Según ABA (American Bar Association Digital
Signature Guidelines) un DPC “es una declaración
de las prácticas, las cuáles una autoridad de
certificación emplea en emitir certificados”
• Describe las prácticas y los procedimientos de la
Autoridad de Certificación (AC) y de la Autoridad de
Registro (RA)
• Recoge los términos y condiciones bajo los cuales
prestarán sus servicios la AC y la RA.
• Derechos y obligaciones tanto de la organización,
como de las personas o Organizaciones que hagan
uso de los certificados que sean emitidos
Presente: DNI electrónico.
Mallorca, Septiembre 2006
31. Ceremonia de generación de claves
Procedimiento que describe como generar y
custodiar los certificados de la AC Raíz.
– Preceremonia: instalación y configuración de
cada uno de los sistemas
– Ceremonia: generación de claves
(intervención VIP)
– Posceremonia: custodia de los elementos
criptográficos y certificados generados
Presente: DNI electrónico.
Mallorca, Septiembre 2006
32. Ceremonia de generación de claves
Existen distintos roles en la ceremonia:
• Maestro de ceremonias: supervisa el acto.
• Operador de consola: ejecuta las tareas
durante la ceremonia.
• Testigos: dan fe de que el proceso se ha
seguido tal y como indicaba el procedimiento..
• Administradores del HSM: subconjunto
denominado K de N personas
• Responsables de archivos: salvaguarda de
archivos y material criptográfico.
• Personal de sistemas: técnicos de sistemas.
Demo 4
Presente: DNI electrónico.
Mallorca, Septiembre 2006
33. Conclusiones
• España es pionera en esta tecnología.
• El sistema es robusto.
• Los riesgos no son técnicos, intervención
de la picaresca.
• Gran potencial a medio plazo.
• EL DNIe es un futuro hecho presente.
Presente: DNI electrónico.
Mallorca, Septiembre 2006