CURSO DE ADMINISTRACIÓN ELECTRÓNICA Tema 4 DNI electrónico Daniel Sánchez Martínez (danielsm@um.es) Proyecto Administración Electrónica Universidad de Murcia
Objetivos Entender los fundamentos de seguridad el proyecto DNI electrónico. Conocer la información contenida dentro del chip del DNI electrónico. Desglosar el proceso de expedición del DNI electrónico. Analizar las diferentes alternativas de validación del DNI electrónico. Comprender las diferentes herramientas software distribuidas por la Dirección General de Policía. Introducir algunos retos pendientes. 2
Fundamentos Objetivos del proyecto Soporte físico Elementos de seguridad Validez 3
Objetivos Documento que certifique la identidad física y la electrónica. Dispositivo seguro de creación de firma. Firmas equiparables a la firma manuscrita. Expedición en un solo acto administrativo. Interoperabilidad con los proyectos europeos de identificación digital. Fomento de la confianza en las transacciones electrónicas. Aceptación por todas las Administraciones Públicas. 4
Soporte físico Material Policarbonato (PC) Especialmente adecuado para personalización laser. Soporta muy bien el desgaste y los impactos. Seguridad muy alta. Muy resistente a luz ultravioleta. Coste alto 5
Soporte físico Elementos de seguridad física. Primer Nivel Perceptibles por los usuarios Hologramas / Kinegramas Iridiscencias y tintas OVI Imagen múltiple a láser Letras táctiles Estructuras superficiales Segundo Nivel Perceptibles con aparatos Tintas reactivas UV Microescritura Foto fantasma Fondo de Seguridad Tintas fluorescentes 6
Soporte físico 7
Soporte físico Validez Sin variación con respecto al DNI tradicional. Cinco años, cuando el titular no haya cumplido los treinta al momento de la expedición o renovación Diez años, cuando el titular haya cumplido los treinta y no haya alcanzado los setenta. Permanente cuando el titular haya cumplido los setenta años. Fabricante Fábrica Nacional de Moneda y Timbre. 8
El chip Contenido Certificados Seguridad 9
El chip Características Modelo: st19wl34 y ICC ST19wl34. Sistema operativo: DNIe v1.1 Capacidad: 34Kbytes EEPROM. Acreditado por el CCN como un DSCF (EAL4+). Contenido Zona Pública: lectura sin restricciones. Certificado CA intermedia emisora. Certificado de Componente. Identifica a la tarjeta DNIe frente a posibles aplicaciones. Permite establecer un canal seguro entre tarjeta y software. 10
El chip Zona Privada: lectura protegida por PIN. Certificado de Autenticación Uso de la clave: Firma electrónica Certificado de Firma Uso de la clave: No repudio Zona de Seguridad: lectura protegida por huella dactilar, sólo en los puntos de actualización del DNIe (PAD). Datos de filiación del ciudadano (los mismos que están en el soporte físico). Imagen de la fotografía. Imagen de la firma manuscrita. 11
El chip No accesible. Clave RSA pública de autenticación (2048 bits). Clave RSA pública de firma (2048 bits). Clave RSA privada de autenticación (2048 bits). Clave RSA privada de firma (2048 bits). Patrón de impresión dactilar. Clave pública de CA para certificados de componente. Claves Diffie-Hellman. Datos de gestión. Traza de fabricación. Número de serie del soporte. 12
Certificados del DNIe Autoridad de certificación Dirección General de Policía. Validez 30 meses. El chip 13
El chip 14
15
El chip 16
El chip 17
El chip Seguridad Autenticación de usuario mediante PIN Número de intentos = 3. Desbloqueo mediante autenticación con huella dactilar. Autenticación de usuario mediante datos biométricos Sólo disponible en las oficinas de expedición del DNIe. Comprobación Match-On-Card. Permite desbloquear el PIN. Autenticación de la aplicación frente a la tarjeta. Autenticación mutua de aplicación y tarjeta. 18
Proceso de expedición Descripción Puntos de actualización Cita previa 19
Proceso de expedición En un solo acto administrativo En caso de renovación, se debe aportar: Dos fotografías recientes. DNI anterior. Certificado de empadronamiento si hay cambio de domicilio. Expedido un máximo de 3 meses antes. Certificado del Registro Civil si hay cambio de datos de filiación. Expedido un máximo de 3 meses antes. Se ha superado la cifra de 7 millones expedidos. Empresas participantes: Telefónica, Indra y Software AG. 20
Proceso de expedición Acude Datos Se entrega Revisión documentación Escaneo de fotografía y firma Grabación en el sistema Confección electrónica Personalización del documento Captura impresión dactilar Emisión de Certificados Entrega del documento 21
Proceso de expedición 22
Proceso de expedición Puntos de Actualización del DNIe (PADs). Desbloqueo/cambio de PIN. Renovación de certificados. Visualización de datos de filiación. 23
Proceso de expedición 24
Validación Autoridades de validación Marco normativo 25
Autoridades de validación Entidades diferentes a la DGP Garantía de la protección de datos de los ciudadanos. Ministerio de Administraciones Públicas Servicio para las Administraciones públicas. A través de SARA @firma Ministerio de Industria, Turismo y Comercio Servicio para las empresas. http://ocsp.ctpa.mityc.es Fábrica Nacional de Moneda y Timbre Servicio de carácter universal. http://ocsp.dnie.es/ Protocolo de validación OCSP. Disponible 24x7 los 365 del año. 26
Autoridades de validación 27
Marco normativo Ley 59/2003, de 19 de diciembre, de Firma Electrónica. Firma electrónica reconocida. DNI electrónico reconocido por todos. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula documento nacional de identidad y sus certificados de firma electrónica. Procedimiento de expedición. Validez de los certificados electrónicos. 28
Herramientas y servicios Requisitos técnicos Herramientas disponibles Tipos de procesos Servicios disponibles. 29
Herramientas y servicios disponibles Requisitos técnicos para su uso. Hardware PC (a partir Pentium III o similar) Lector de tarjetas inteligentes ISO-7816 Software Sistema operativo Windows, Linux, Unix o Mac. Navegadores Explorer, Firefox o Netscape. Módulos criptográficos. CSP para la arquitectura criptográfica de Microsoft Windows. PKCS#11 para el resto de sistemas operativos y aplicaciones. 30
Herramientas y servicios disponibles Herramientas disponibles. En el área de descargas del Portal Oficial. http://www.dnielectronico.es/descargas/index.html Módulos criptográficos para Windows y Linux. CSP y PKCS#11 Aplicación de cambio de PIN. PAD Virtual. Aplicación de comprobación de los certificados. Muestra la información contenida en el mismo. Aplicación para verificar ficheros firmados. 31
Herramientas y servicios disponibles Uso en 2 tipos de procesos de Administración Electrónica. Autenticación de usuario basada en certificado Acceso a datos personales en poder de la administración. Uso del certificado de autenticación. Firma electrónica de documentos Inicio de un trámite electrónico. Flujo de un procedimiento administrativo. Uso del certificado de firma. Servicios disponibles en la actualidad. http://www.dnielectronico.es/servicios_disponibles/ http://www.um.es/eadmon 32
Retos y desafíos Especificación pública Protección de datos personales Firma a ciegas 33
Especificación pública Actualmente la especificación de comandos APDU compatibles con el estándar ISO7816 del DNIe NO es pública. Este hecho impide desarrollar aplicaciones que necesiten crear una comunicación directa con el DNIe. A través del portal DNIe se ofrecen componentes (CSP, PKCS#11). Sólo para entorno PC. 34
Extensión multi-dispositivo Qué ocurre con el resto de dispositivos embebidos o móviles con lector de tarjeta? Sistemas de control de acceso. PDAs o smartphones. TDTs. La liberación de la especificación abriría un campo de nuevas posibilidades en el desarrollo de servicios. No supone un problema de seguridad. El DNIe es un DSCF (dispositivo seguro de creación de firma) homologado. Su fortaleza reside en su diseño y en su implementación hardware. 35
Plataformas de validación Escenario español actual: Múltiples PSC. Múltiples tipos de certificados. Múltiples mecanismos de validación. Problemas de interoperabilidad. Aumento de la complejidad de los clientes finales. Surgen terceras partes confiables (TTP) que ofertan servicios de valor añadido. Interpretación de certificados Validación de certificados Es consciente el usuario del uso que se hace de sus datos personales? 36
Plataformas de validación Ejemplo: MAP Ofrece un webservice a través de la plataforma de validación (@firma). http://www.dnielectronico.es/seccion_aapp/platform.ht ml 37
Plataformas de validación Servidor de aplicaciones Servidor de aplicaciones Servidor de aplicaciones Repositorio de certificados Plataforma de validación de certificados Log de uso de la plataforma conexión online descarga periódica conexión online OCSP Responder CRLs SCVP Responder? CA 1 CA 2 CA 3 CA n 38
Datos personales 39
Formatos de firma Los formatos de firma actualmente extendidos incluyen el certificado del firmante. En el caso del DNIe, dentro del certificado es posible encontrar la fecha de nacimiento del firmante y el patrón biométrico de su huella dactilar. Cada documento almacenado y preservado por una Administración u organismo incluirá este información del firmante. Qué hay de la protección de datos? 40
Referencias Portal Oficial sobre el DNI electrónico www.dnielectronico.es Guía de referencia básica http://www.dnielectronico.es/pdfs/guia_de_refer encia_basica_v1.0.pdf Política de certificación http://www.dnielectronico.es/pdfs/politicas_de_c ertificacion.pdf Informe de certificación del CCN sobre la seguridad del DNIe http://www.oc.ccn.cni.es/dni-e_es.html 41
PREGUNTAS 42