Juan Crespo Inspector Jefe del Cuerpo Nacional de Policía. Área de Informática.

Transcripción

1 Juan Crespo Inspector Jefe del Cuerpo Nacional de Policía. Área de Informática.

2 Origen y Evolución del Documento de Identidad Español Las Cédulas Personales fueron el origen de los documentos de identidad en España. Estas cédulas eran expedidas por la Diputaciones Provinciales

3 Origen y Evolución del Documento de Identidad Español reverso anverso

4 Origen y Evolución del Documento de Identidad Español Cada año se expiden + 6 millones de DNI Acredita física y electrónicamente la identidad y permite la firma electrónica de documentos.

5 La seguridad en el DNIe Seguridad del CHIP. Seguridad de la Tarjeta Soporte Seguridad en las Comunicaciones. Seguridad de la Infraestructura de Clave Pública. Seguridad en el Registro y Expedición.

6 Seguridad del CHIP CC EAL 5+. El componente ha sido Certificado por el esquema francés de evaluación y certificación de las Tecnologías de la Información. CC EAL 4+ SOFT HIGH. La mascara ha sido Certificada como Common Criteria EAL 4+ SOFT HIGH según el Perfil de Protección europeo para tarjetas inteligentes. Por el esquema de Certificacion Nacional. (CCN/CNI) CWA SSCD. Dispositivo Seguro de Creación de Firma. CWA Autenticación Mutua de Dispositivo. Sistema de Expedición. Acreditación por el Organismo Nacional de Certificación.

7

8

9 Componente electrónico Fuente del componente Proveniente de dos suministradores (doble fuente) Estructura en tres zonas Zona pública? Zona privada Acceso mediante palabra de paso (autenticación y firma) Zona restringida Acceso mediante verificación biométrica (renovación)

10 Contenido del chip Toda la información está firmada por la Arquitectura de certificación del DNI para garantizar su Integridad y su Autenticidad. Contenido: Certificado de autenticación y Claves asociadas Certificado de firma y Claves asociadas. Certificado de la autoridad de certificación emisora. Datos de filiación del ciudadano. Imagen de la fotografía. Imagen de la firma manuscrita. Plantilla de la impresión dactilar. Aplicación de Match On Card.

11 Seguridad de la Tarjeta Soporte Primer Nivel Perceptibles a simple vista Hologramas / Kinegramas Tinta OVI Imagen láser cambiante (CLI) Letras táctiles Estructuras superficiales en relieve Segundo Nivel Perceptibles mediante equipos mecánicos y electrónicos Tintas reactivas UV Microtexto Fondo de Seguridad (Guilloches) Imágenes codificadas Tercer Nivel Perceptibles en laboratorio Medidas criptográficas y biométricas integradas en el chip.

12 ELEMENTOS DE SEGURIDAD Estructura de superficie Guilloches y microimpresión Fácil verificación visual y táctil Tintas UV / IR Sólo visibles con luz ultravioleta o infrarroja Tintas Fluorescentes Tintas OVI Impresión con cambio de color Chip criptográfico Para autenticación mediante comparación biométrica almacenada en el el chip Datos criptografiados Imagen láser l cambiante (CLI) Elementos de información diferentes y específicos combinados en una estructura grabada a láser. Fotografía MLI Holograma /Kinegrama/ Estructura holográfica diseñada artísticamente Protegido por un overlay de 100 nm. Fotografía Fondo de Seguridad Grabada con tecnología láser en el el interior de la la Tarjeta Protección contra falsificación Integración de la la imagen en el el fondo impreso de la la tarjeta. Borde del retrato superpuesto y fondo de seguridad Formas de guilloches que pueden incorporar logotipos Impresión irisada

13 DNIe: MATERIALES Policarbonato (I) Es especialmente adecuado para la personalización por láser. Se compone de un núcleo que ha de ser protegido con un laminado. Es casi imposible la manipulación de los datos. No es recomendable para personalización mediante sublimación de color. Adecuado para documentos de identidad que requieran larga duración.

14 DNIe: MATERIALES Policarbonato (II) Características: Material compuesto de gran seguridad. Altamente estable contra impactos. Resiste muy bien el desgaste provocado por los lectores. Ofrece un gran contraste para impresiones de seguridad Muy resistente a la luz ultravioleta. Actualmente, ya se ha introducido en muchos países como material para grabado láser de documentos de alta seguridad.

15 DNIe: MATERIALES Estructura de capas 1 OVERLAY POLICARBONATO 150 MICRAS Preparado para CLI y gofrado 2 OVERLAY POLICARBONATO CON KINEGRAMA 100 MICRAS Kinegrama 3 NÚCLEO POLICARBONATO 500 MICRAS Impresión en Iris, tintas UV y tinta OVI en anverso. Tintas UV (amarilla) e impresión en Iris en reverso 4 OVERLAY POLICARBONATO 50 MICRAS

16 Infraestructura de Clave Pública Autoridad de Certificación n Raíz COMPOSICIÓN Funcionamiento en off-line Ubicación física en centro del C.N.P. con nivel de seguridad 7. Autoridades de Certificación n Subordinada Multitecnología y replicadas en un centro espejo Autoridad de Registro asociada Autenticación de operadores de registro HW criptográfico de la CA Raíz Almacenamiento de las claves de la Autoridad Raíz. HW criptográfico servidor de claves Proporciona funciones seguras de firma, almacenamiento, generación, clonación, migración, administración y custodia de claves. Servicios de Validación Validación de los Certificados vía OCSP.

17 Estándares Aplicables - ETSI TS Policy requirements for certification authorities issuing public key certificates. En lo relativo a las prácticas de certificación. - ETSI TS Policy requirements for certification authorities issuing qualified certificates. En lo relativo a las prácticas de certificación. - ETSI TS Para la definición del Perfil como certificado Reconocido (Qualified Certificate profile). - CWA En lo relativo a la seguridad del sistema de certificación. - CWA EESSI Conformity Assessment Guidance. Para la verificación del cumplimiento de los requisitos de emisión de los certificado.

18 Prestadores de Servicios de Certificación CWA Servicio de Registro. - Servicio de Generación de Certificados. - Servicio de Provisión de Dispositivos. - Servicio de Diseminación. - Servicio de Gestión de Revocación. - Servicio de Consulta sobre el Estado de Revocación. (Externalizado) - Servicio de Time Stamping.

19 Infraestructura de PKI

20 Raíz: 30 Años. A Algoritmia y Claves. Certificado Autofirmado con SHA1 y SHA256. Claves RSA Subordinadas: 15 AñosA Certificados firmados con SHA1 y SHA256. Claves RSA 2048 Ciudadano: 30 Meses. Certificados firmados con SHA1. Claves RSA Utiliza para firmar SHA1. Key Usage: Autenticación (Digital Signature) Firma o Sin Repudio (ContentCommitment )

21 Servicio Generación Certificados: AC Raíz AC Raíz Nodo 1 Sistema de Expedición Resto de subsistemas (Aplicación Central de Expedición del DNI, Centros de Expedición ) Aplicación de Control Capa de negocio HSM BD Informix Capa de acceso Grupo de Certif. Grupo de Certif. Subordinado 1 Subordinado 6 Autoridad Registro AR Sub. 1 Nodo Nodo 1 N AR Sub. 6 Nodo Nodo 1 N Autoridad Validación updater Autoridad Certificación AC Raíz Nodo 1 AC Sub. 1 Nodo Nodo 1 N AC Sub. 6 Nodo Nodo 1 N A. CRL Indirecta AV Nodo Nodo 1 N HSM HSM HSM HSM BD Informix Sistema de PKI (LDAP) Directorio Funcionamiento en modo desconectado (off-line), sin ninguna conexión con otro subsistema, excepto con el HSM, para lo que se utilizará una conexión directa.

22 Servicio Generación Certificados: Grupos de Certificación Subordinados Grupo de Certif. Subordinado AR Sub. Nodo 1 Nodo N Sistema de Expedici ón AC Sub. Resto de subsistemas (Aplicaci ó n Central de Expedici ó n del DNI, Centros de Expedición ) Aplicació n de Control Nodo 1 Nodo N A. CRL Indirecta Capa de negocio Capa de acceso Grupo de Certif. Subordinado 1 Grupo de Certif. Subordinado 6 HSM HSM HSM BD Informix (LDAP) Directorio Autoridad Registro Autoridad Certificaci ón AC Raíz Nodo 1 AR Sub. 1 Nodo Nodo 1 N AC Sub. 1 Nodo Nodo 1 N AR Sub. 6 Nodo Nodo 1 N AC Sub. 6 Nodo Nodo 1 N A. CRL Indirecta Autoridad Validación updater AV Nodo Nodo 1 N HSM HSM HSM HSM BD Informix Sistema de PKI (LDAP) Directorio

23 Autoridad de Publicación n de Certificados Revocados

24 Jerarquía de Certificación DNIe Autoridad Certificación Raíz de Componentes edni Autoridad Certificación Raíz del DNIe Autoridad Certificación Raíz del C.N.P. Certificado X509 AC Subordinada Certificado CV AC Intermedia Certificado X 509 AC Subordinada Certificado X 509 AC Subordinada ACs Sub. Componente (ICC) FNMT AC Intermedia Terminales (IFD) ACs Producción DNIe ACs Producción Funcionarios Sistema Prepersonalización FNMT Certificado X 509 Certificado X 509 ICC AC.Sub Sistema Personalización TIP (CNP) Certifcado X509 ICC Certificado CV (TIP) TIP Puesto de Expedición DNIe Certificados X No repudio - Autenticación Certificados X 509 AC Sub TIF Aplicación de Personal Certificados X Autenticación - No repudio - Cifrado

25 Registro y expedición El operador se autenticará con su certificado en el sistema. Autenticación n Mutua (CWA 14890) de la tarjeta del DNIe (chip) con el equipo de registro. Generación n del par de claves. Petición n de certificados firmada por el operador. Carga de los certificados en la tarjeta. Registro de las operaciones realizadas.

26 La Renovación de los Certificados y el desbloqueo del PIN se podrá realizar ante el operador o en los Puesto de Actualización del DNIe (PAD), equipos seguros en un entorno controlado

27 Mediante proceso de reconocimiento mutuo tarjetaequipo, se podrán realizar las siguientes operaciones: - Comprobación de fecha de caducidad del DNIe. - Comprobación fecha de caducidad de los certificados. - Expedición de nuevos certificados y generación de nuevas claves. (RENOVACIÓN) - Revocación de los certificados. - Cambio o desbloqueo de palabra de paso. (PIN) - Verificar y visualizar el contenido del chip. Como medida de seguridad para la renovación se requerirá la comprobación biométrica de la identidad mediante la impresión dactilar. Puesto de Actualización del DNIe

28 Revocación Robo o Extravió: Denuncia en Comisarías del Cuerpo Nacional de Policía. Personación en los equipos del DNI. Denuncia ante resto de Fuerzas y Cuerpos de Seguridad del Estado. Voluntario: Personación en los Puestos de Expedición. Puesto de Actualización del DNI.

29 Usos de la biometría en el DNIe Desbloqueo del PIN. Renovación de certificados. Verificación de identidad. Primer proyecto con varios proveedores de biometría ISO y 100% interoperables ISO , ISO (Para formatos de cabecera y datos de referencia) ISO , ISO (Para comandos en la tarjeta)

30 Match On Card vs Match Off Card Match Off Card Es mas sencillo de implementar. No se debe utilizar como condición de acceso en la tarjeta. Es necesario portar el algoritmo por separado. Match On Card El sistema es auto-contenido. Se puede incluir en la política de seguridad de la Tarjeta. Garantiza la pivacidad de los datos de referencia. Único sistema que puede ser usado para garantizar que en el momento de la entrega de la tarjeta, no existe suplantación de identidad.

31 Entorno de Uso Web (SSL) Logon (Kerberos) (S/MIME) Firma plugin / applet (PKCS#7 / XML) XML RTF, HTML,... Client PDF Application Authenticode CryptoAPI Netscape Internal Services RSA Base CSP DNIe CSP DNIe PKCS#11 Microsoft Resource Manager PC/SC Drivers Netscape Internal PKCS#11

32 Campos del Certificado del Ciudadano 1. Versión CAMPO Campos de X509v1 2. Serial Number 3. Signature Algorithm V3 No secuencial CONTENIDO sha1withrsaencryption sha256withrsaencryption CRÍTI CA 4. Issuer Distinguished Name CN=AC DNIE XXX OU=DNIE O=DIRECCION GENERAL DE LA POLICIA C=ES 5. Validez 30 meses 6. Subject CN=APELLIDO1 APELLIDO2, NOMBRE (AUTENTICACIÓN) GN=NOMBRE SN=APELLIDO1 NÚMERO DE SERIE=DNI (con letra) C=ES 7. Subject Public Key Info Algoritmo: RSA Encryption Longitud: 2048 bits

33 Campos del Certificado del Ciudadano Campos de X509v2 1. issueruniqueidentifier 2. subjectuniqueidentifier Extensiones de X509v3 1. Subject Key Identifier No se utilizará No se utilizará Función hash SHA-1 sobre la clave pública del sujeto. NO (RFC 3280) 2. Authority Key Identifier Función de hash SHA-1 sobre la clave pública de la AC emisora (AC subordinada). NO SE incluye la identificación del certificado de la AC emisora (en este caso, DN de la AC Raíz, número de serie de la AC Subordinada). NO (RFC 3280) 3. KeyUsage Digital Signature 1 Non Repudiation 0 Key Encipherment Data Encipherment 0 0 SI (RFCs 3280 y 3739) Key Agreement 0 Key Certificate Signature 0 CRL Signature 0 4.extKeyUsage No se utilizará 5. privatekeyusageperiod No se utilizará

34 Campos del Certificado del Ciudadano 6. Certificate Policies Policy Identifier URL CPS OID asociado a la DPC o PC de certificado de firma de ciudadano. A determinar, perteneciente a la estructura de OIDs de ISO/ITU-T España ( ) NO Notice Reference No se utilizará 7.Policy Mappings qcstatements id-etsi-qcs-qccompliance id-etsi-qcs-qcsscd NO 8. Subject Alternate Names No se utilizará 9. Issuer Alternate Names No se utilizará 10. Subject Directory Attributes dateofbirth NO (RFC 3280)

35 11. Basic Constraints Campos del Certificado del Ciudadano Subject Type Path Length Constraint 12. Policy Constraints 13. CRLDistributionPoints 14. Auth. Information Access Entidad Final No utilizado No utilizado No utilizado OCSP: CA: ACRaiz.crt SI NO (RFC 3280) 15.netscapeCertType No se utilizará 16. netscaperevocationurl No procede 17. netscapecapolicyurl No procede 18. netscapecomment No procede 19. BiometricInfo Hash SHA256 de los datos biométricos: firma manuscrita foto huella de dos dedos NO (RFC 3739) 20. personaldatainfo ( ) Hash SHA256 de los datos biográficos (datos impresos en el DNI-e). NO

36 Usabilidad Autenticación. n. Firma. Cadena de Confianza. Validación.

37 Autenticación n con el DNIe Firma con el DNIe

38 Cadena de Confianza - Certificados del Ciudadano. - Certificado de la Autoridad de Certificación n emisora. - Certificado de la Autoridad de Certificación n Raíz ://

39 Validación - La Ley 59/2003, de firma electrónica, artº 18. d). - Prestadores de Servicios de Validación: - F. N. M. T. R. C. M. Prestador Universal. - M. A. P. Sector Público. P - M. I. T. y C. Empresas - A. E. A. T. Auto Consumidor - T. G. S. S. Auto Consumidor

40 Verificación de certificados vía OCSP (On-line Certificate Status Protocol). Empresa / Organismo - Nº Serie del certificado Cliente OCSP - Id. de la CA. Respuesta OCSP Servidor OCSP Prestador de Servicios de Validación -Nº Serie del certificado - Id. de la CA. - Estado del certificado { Bueno Revocado Desconocido

41 Validación Firmas App 1 Req A OCSP Req B Req C PORTAL PROBLEMAS Múltiples integraciones (por aplicación y por autoridad) Incremento de tráfico Dificultad de gestión Incremento de Coste (tarifas por validación) CRL Generalitat Valenciana (ACCV). Fábrica Nacional de Moneda y Timbre (FNMT). Agéncia Catalana de Certificació (CATCert). ANF Autoridad de Certificación (ANF AC). AC Camerfirma. Ziurtapen eta serbitzu enpresa, IZENPE. DNI electrónico (Dirección General de la Policía)

42 Plataforma Validación Req A App 1 OCSP Req B Req C PORTAL REQUISITOS Conocimiento de donde validar en función del certificado Soporte de múltiples métodos de validación (CRL, OCSP) Soporte de múltiples estándares (ASN1, XML, PKCS ) Caché de validaciones para reducir costes y tráfico Parseo para devolver datos del certificado (p.e. DNI) CRL Fábrica Nacional de Moneda y Timbre (FNMT). Generalitat Valenciana (ACCV). Agéncia Catalana de Certificació (CATCert). ANF Autoridad de Certificación (ANF AC). AC Camerfirma. Ziurtapen eta serbitzu enpresa, IZENPE. DNI electrónico (Dirección General de la Policía)

43 Protección Negocio Control Acceso HTTP Servers APP Server HSM TimeStamp Recursos BackEnd DB DB DB SOA APPS eas/tsp eas/tsp Políticas ABAC Políticas ABAC A HTTP Servers A Protección Perímetro Consumidores Clientes HTML SOA Aplicaciones Clientes XML DB DB A R Q U I T E C T U R A D E S E G U R I D A D

44 DNIe: Servicio de Atención a Usuarios Oficina técnica oficinatecnica@dnielectronico.es Universal y Gratuito D N I - I N D Servicio permanente: 24 horas al día, los 7 días de la semana. Atiende cualquier tipo de incidencia relacionada con el DNI electrónico Sirve para todos los Prestadores de validación: (MAP, RED.es, FNMT, AEAT, TGSS) sac@dnielectronico.es

45 Usos del D. N. I.

46 Usos del D. N. I.

47 Futuro?? Interoperabilidad a nivel Europeo. (MAP CNP). Incorporación n del DNIe en todos los procesos de negocio. Convenios con otros Organismos Perfiles de Protección n de Aplicaciones que usan el DNIe Utilización n de aplicaciones Certificadas. Desarrollos para nuevos dispositivos.

48 Gracias