Identificación personal: tarjeta inteligenteUna llave muy segura

Algo que se posee

No duplicable e inviolable

Además protegida por PIN secreto y/o biometría

Algo que se conoce y/o se es.

Portabilidad total Claves y certificados grabados

en la tarjeta

Firma electrónica avanzada Según la normativa vigente

Tarjetas y chip criptográficosEl chip criptográfico contiene un microprocesador que realiza las operaciones criptográficas con la clave privada. La clave nunca se expone al exterior.

Doble seguridad: posesión de la tarjeta y PIN de acceso (o mecanismos biométrico).

Puede ser multipropósito:

Tarjeta de identificación gráfica.

Tarjeta de control de acceso/horario mediante banda magnética o chip de radiofrecuencia.

Tarjeta monedero.

Tarjeta generadora de contraseñas de un solo uso (OTP).

Se precisa de un middleware (CSP) específico para utilizar la tarjeta, así como de un lector (USB, integrado en teclado o PCMCIA)

El número de certificados que se pueden cargar depende del perfil de certificado, de la capacidad del chip y del espacio que se reserve para los certificados.

Chip de 32 KB: 3 a 5 certificados tipo

Chip de 64 KB: de 6 a 10 certificados tipo

Otros tiposToken USB:

Sirven de almacén de claves/certificados y realizan las operaciones criptográficas en su interior.

Ventajas: no precisan de lector (sólo puerto USB), reducido tamaño.

Inconveniente: no sirven como tarjeta de identificación, monedero, de acceso.

Chip de radiofrecuencia (p. ej. Mifare):

El chip criptográfico puede ser de acceso por radiofrecuencia (sin contacto).

Ventajas:

Se reduce el desgaste físico, no es necesaria la introducción de la tarjeta.

Inconveniente:

Las operaciones criptográficas son lentas, lo que exige mantener la proximidad un tiempo significativo

En la práctica el chip de radiofrecuencia se usa para control de acceso físico y horario.

El lector lee el número de serie del chip o un código almacenado y lo compara con su base de datos de acceso.

R.D. 1553/2005 del D.N.I.

● El DNI, es el documento público que acredita, por sí solo, la identidad de las personas y goza de la protección que a los documentos públicos y oficiales otorga el ordenamiento jurídico.

Evolución del DNI

DNI no electrónico

Ley 59/2003 de Firma Electrónica● Art. 15.-1º “El Documento Nacional de Identidad

electrónico es el documento nacional de identidad que acredita electrónicamente la identidad personal de su titular y permite la firma electrónica de documentos. ”

● Art. 15.-2º “Todas la personas físicas o jurídicas, públicas o privadas, reconocerán la eficacia del D.N.I. electrónico … para acreditar la identidad del firmante y la integridad de los documentos firmados con los dispositivos de firma electrónica en él incluidos.”

El DNI-e● Emitido por la Dirección General de la Policía (DGP) dependiente del

Ministerio del Interior. Para ello, la DGP ha desplegado una infraestructura de PKI y se ha constituido como Prestador de Servicios de Certificación Reconocido.

● Su jerarquía de CAs está constituida por un nodo raíz y tres sub-raíces a partir de las cuales se generan los certificados correspondientes. Esta estructura de sub-raíces se incrementará conforme crezcan el número de DNIe emitidos.

● Las CAs están ubicadas físicamente en el bunker del Escorial, sede oficial de la DGP.

● Las Autoridades de Registro (RAs) están constituidas por las comisarías expendedoras del DNI, distribuidas por toda la geografía española.

● El DNI-e es pertenece a la clasificación de Persona Física, no cubre la representación Jurídica.

● Cada DNI-e contiene un par de certificados electrónicos: uno para autenticación y otro para firma electrónica

– http://firmaelectronica.gob.es/Portal/ciudadanos/cosasquedeberiassaber/C-INFODNI

¿Para qué sirve?

¿Para qué sirve?

Contenido del chip

● Toda la información está firmada por la Arquitectura de certificación del DNI para garantizar su Integridad y su Autenticidad

Seguridad de la Tarjeta Soporte

Elementos de seguridad

Uso de varios certificadosAutenticación. No repudio. De Componente.

Capacidad biométricaDe tipo “Match On Card”.

Certificación de la seguridad Según el esquema Common Criteria y nivel EAL4+

Canal seguroSegún recomendación europea CWA 14890.

CARACTERÍSTICAS LÓGICAS

Dos tendencias en esta tecnología:

Match Off Card (Previsto en ICAO)

La comparación se hace fuera de la tarjeta. Es necesario portar el algoritmo por separado. Los datos de referencia salen de la tarjeta en cada comparación. Es muy sencillo de implementar. No se puede utilizar como condición de acceso en la tarjeta.

Match On Card (Usado en DNIe)

El sistema es auto-contenido: La comparación se hace dentro de la tarjeta y el patrón de referencia nunca sale de ella.

Privacidad absoluta de los datos de referencia y del propio algoritmo.

Se puede incluir en la política de seguridad de la Tarjeta.

Biometría “Match On Card” vs “Match Off Card”

APLICACIÓN DE LA BIOMETRIA EN EL DNIe

La biometría participa en los procesos administrativos para:

Desbloqueo del PIN. Sólo en el entorno autorizado de la DGP.

Renovación de certificados. Sólo en PADs de la DGP, junto con otras condiciones de

acceso.

Verificación de identidad. Sólo en el entorno autorizado de la DGP.

Primer proyecto con varios proveedores de biometría ISO 100% compatibles.

Pretendemos demostrar que la tarjeta DNIe cumple los requisitos de seguridad y funcionales que le permiten ser un:

“Dispositivo seguro de creación de Firma”

(Conforme a la ley 59/2003, de 19 de Diciembre, cuyo Artículo 27 detalla la certificación de dispositivos seguros de creación de firma electrónica).

CERTIFICACIÓN SEGURIDAD COMMON CRITERIA EAL4+

22

Para lograr este objetivo, un laboratorio independiente (INTA) realiza un examen detallado e imparcial de los aspectos de seguridad del producto y las pruebas necesarias para asegurar que funciona correctamente, es eficaz y no muestra ninguna vulnerabilidad explotable.

Con este informe, el Organismo de Certificación (CCN) emite, si procede, un certificado de seguridad.

CERTIFICACIÓN SEGURIDAD COMMON CRITERIA EAL4+

Los elementos necesarios para poder usar el DNI electrónico DNI electrónico:

Se debe recordar la clave personal que además de ser alfanumérica acepta símbolos y diferencia las mayúsculas de las minúsculas.

Lector de tarjetas inteligentes

Debe ser compatible con la norma ISO 7816 (1, 2 y 3) o tener una velocidad mínima de 9.600 bits por segundo.

Programa informático

El ciudadano deberá descarga el software que proporciona la Dirección General de la Policía en el área de descargas del portal del DNI electrónico

Firma con el DNIe

DNIe 3.0 NFC● La incorporación de la tecnología NFC a los dispositivos móviles de última

generación elimina las barreras del lector, drivers, etc. facilitando la conexión online y la autenticación del ciudadano.

● el DNIe 3.0 tiene un chip dual-interface que permite su utilización tanto con contactos como en modo contactless.– http://www.dnielectronico.es/PDFs/Implementacion_NFC_FNMT.pdf

● CAN (Card Access Number) del documento con el que nos vamos a autenticar– Este identificador es un número de 6 dígitos que aparece en el anverso del documento físico del DNIe

y se utiliza para establecer canal cifrado PACE entre el documento y el dispositivo.

● Para acceder a las operaciones de firma del DNIe es necesario que el ciudadano se autentique presentando el PIN (Personal Identification Number) de su documento.

NFC● Al aproximar el documento al dispositivo, se establecerá la comunicación

entre ambos permitiendo el paso de comandos y respuestas entre ambos. Por motivos de seguridad la distancia máxima soportada por NFC es, dependiendo del dispositivo, de alrededor de un centímetro.

NFC

DNI e en otros paises

Iniciativas europeaseIDM initiatives

● eID Roadmap● STORK Project● European Union Agency for Network

and Information Security– https://www.enisa.europa.eu/

Marco LegalDirectiva Europea

Directiva 1999/93/CE del parlamento europeo y del consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica

Legislación Española

LEY 59/2003, de 19 de diciembre, de firma electrónica (BOE nº 304, 20/12/2003)

Artículo 1. Objeto.

1. Esta ley regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación.

Artículo 4. Empleo de la firma electrónica en el ámbito de las Administraciones públicas.

1. Esta ley se aplicará al uso de la firma electrónica en el seno de las Administraciones públicas, sus organismos públicos y las entidades dependientes o vinculadas a las mismas y en las relaciones que mantengan aquéllas y éstos entre sí o con los particulares.(...)

4. La utilización de la firma electrónica en las comunicaciones que afecten a la información clasificada, a la seguridad pública o a la defensa nacional se regirá por su normativa específica.

Definiciones de la Ley 59/2003Firma electrónica:

Es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Firma electrónica avanzada:

Firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

Firma electrónica reconocida:

Firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

Prestador de servicios de certificación (PSC):

Persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.

Certificado electrónico:

Un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

Certificados reconocidos:

Certificados electrónicos expedidos por un PSC que cumpla los requisitos establecidos la Ley 59/2003 en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación.

Enlaces

● Animación con explicación del DNIe

– https://www.incibe.es/extfrontinteco/dnie/swf/dnie.html

• Curso sobre el DNIe, con videos

– http://www.formaciondnie.es/curso/index-1.html

• Sitios oficiales del DNIe

– http://www.dnielectronico.es/

– http://www.usatudni.es/dnie/

– http://www.formaciondnie.es/index.php

Enlaces• Guias para el uso seguro del dni e

– https://www.incibe.es/CERT/guias_estudios/guias//guia_DNIe

• Vídeo de como instalar y usar el DNI e

– http://www.youtube.com/watch?v=QYDgn5X09_0

● Como sacarle provecho al DNIe (universidad de Málaga)

– http://www.youtube.com/watch?v=NKbPDsrHQy4&feature=related