DNI-E

2,474
-1

Published on

Presentación DNI Electrónico, NoConName 2006

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,474
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
70
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

DNI-E

  1. 1. Alejandro Digitally signed by Alejandro Ramos DN: cn=Alejandro Ramos, o=sia group, ou=sia spain, dc=com Ramos Reason: I am the author of this document Date: 2006.10.16 11:20:47 +02'00' Presente: DNI Electrónico. Alejandro Ramos, CISSP aramosf @ sia.es Mallorca, Septiembre 2006
  2. 2. Agenda 1. Introducción. 2. Componentes. 3. Expedición. 4. Infraestructura. 5. Conclusiones. Presente: DNI electrónico. Mallorca, Septiembre 2006
  3. 3. Introducción • Nace con el objetivo de garantizar la Autenticación, No repudio y Confidencialidad en las transacciones telemáticas. • Lo emite la Dirección General de Policía (DGP). • Tiene por Objetivo: – Firma digital con la misma validez que la manuscrita. – Identificación electrónica. – Identificación tradicional. Presente: DNI electrónico. Mallorca, Septiembre 2006
  4. 4. Introducción Actualmente se está expidiendo en: – Ávila – Burgos – Palencia – Salamanca – Santander – Segovia – Soria – Valladolid – Zamora Presente: DNI electrónico. Mallorca, Septiembre 2006
  5. 5. Ejemplos de Usos Algunos ejemplos de su uso son: – Presentar la Declaración de la Renta – Consultar la vida laboral – Subastas públicas – Identificación en sistemas Single-Sign- On. – Usos similares al certificado FNMT. Demo 1 Presente: DNI electrónico. Mallorca, Septiembre 2006
  6. 6. Seguridad en el DNIe Dos factores de seguridad: – Algo que se tiene (tarjeta de policarbonato) – Algo que se sabe (PIN de 8-16 caracteres alfanuméricos) Presente: DNI electrónico. Mallorca, Septiembre 2006
  7. 7. Componentes Por la parte principal: – Número personal de identificación y carácter de verificación. – Imagen cambiante grabada en láser. – Número de serie del soporte y fecha de validez. – Fotografía con holograma en la superficie – Firma manuscrita. – Kinegrama. – Datos personales. Presente: DNI electrónico. Mallorca, Septiembre 2006
  8. 8. Componentes Anverso: – Datos de filiación. – Equipo de expedición. – Caracteres OCR-B (normativa OACI de documentos de viaje). Presente: DNI electrónico. Mallorca, Septiembre 2006
  9. 9. Componentes (fuente DGP) Presente: DNI electrónico. Mallorca, Septiembre 2006
  10. 10. Contenido • El certificado público de la Autoridad Certificación emisora. • Los certificados electrónicos para autenticar la personalidad del ciudadano. • Los certificados electrónicos para firmar electrónicamente. • La plantilla biométrica de la impresión dactilar • La fotografía digitalizada. • La imagen de la firma manuscrita. • Los datos de filiación del propietario. Presente: DNI electrónico. Mallorca, Septiembre 2006
  11. 11. Contenido • Sistema Operativo DNIe v1.0. • Aplicación Match-On-Card. • Certificado de componente (CWA 14890), dedicado a cifrar la comunicación entre el driver y la smartcard. Presente: DNI electrónico. Mallorca, Septiembre 2006
  12. 12. Que no contiene • ADN. • Información de tráfico. • Grupo sanguíneo. • Cualquier otra información personal. Presente: DNI electrónico. Mallorca, Septiembre 2006
  13. 13. Componente electrónico El REAL DECRETO 1553/2005, de 23 de diciembre, que regula el DNI electrónico, en su artículo 9, apartado 2, establece que la activación de la utilidad informática (identificación electrónica de su titular y la capacidad de realizar la firma electrónica de documentos) tiene carácter voluntario Presente: DNI electrónico. Mallorca, Septiembre 2006
  14. 14. Componentes Chip ST19WL34A Presente: DNI electrónico. Mallorca, Septiembre 2006
  15. 15. Componentes periféricos Requerimientos: – Pentium III o superior – Windows, Linux, Mac – Internet Explorer, Firefox, Netscape. – Software DNIe. Demo 2 (fuente DGP) Presente: DNI electrónico. Mallorca, Septiembre 2006
  16. 16. Expedición • Presentación física en las oficinas de expedición • Abonar la cuota (variable) • Presentar la documentación adicional para primeros DNI • Se entrega en el acto. • El PIN se entrega en sobre cerrado • La contraseña se puede cambiar en los “Kioscos” Demo 3 Presente: DNI electrónico. Mallorca, Septiembre 2006
  17. 17. Infraestructura • Proyecto desarrollado por la UTE: – Telefónica, Indra y Software AG. – ~12 Millones de euros. – Tecnología MultiPKI: Entrust y Safelayer. – Modulo criptográfico RETEMSA. – Desarrollos de terceras compañias: Siemens y Sagem Défense Sécurité en biometría. – Kiosco ensamblado por Inves. Presente: DNI electrónico. Mallorca, Septiembre 2006
  18. 18. Firma digital Origen Mensaje Transmitido Destino Mensaje Mensaje Descifrar Hash Mensaje Firma Clave Pública Clave Cifrar Privada Hash Hash Firma Hash iguales = Integridad, No repudio Presente: DNI electrónico. Mallorca, Septiembre 2006
  19. 19. Que es un certificado • Documento que contiene diversos datos, entre ellos el nombre de un usuario y su clave pública, y que es firmado por una Autoridad de Certificación (AC). • Como emisor y receptor confiarán en esa AC, el usuario que tenga un certificado expedido por ella se autenticará ante el otro, en tanto que su clave pública está firmada por dicha autoridad. • Una de las certificaciones más usadas y un estándar en la actualidad en infraestructuras de clave pública PKIs es X509. Presente: DNI electrónico. Mallorca, Septiembre 2006
  20. 20. X509 v3 Número DNI DGP Apellidos, Nombre Clave publica Firmado por AC Presente: DNI electrónico. Mallorca, Septiembre 2006
  21. 21. Componentes Certificado DNI - Ciudadano Presente: DNI electrónico. Mallorca, Septiembre 2006
  22. 22. Infraestructura MultiPKI (fuente DGP) Presente: DNI electrónico. Mallorca, Septiembre 2006
  23. 23. Emisión de Certificados Autoridad Certificadora – Entidad encargada de firmar los certificados para que una tercera confíe en su validez. – La AC Raíz es el elemento con mayor nivel de confianza en una estructura de PKI. – Un sistema PKI es tan seguro como segura estén los certificados de la AC Raíz. – En el DNIe, la CA Raíz se guarda en un portátil offline, bajo una caja fuerte, dentro de una jaula metálica. – Otras medidas son el uso de módulos criptográficos (no manipulables) HSM. Presente: DNI electrónico. Mallorca, Septiembre 2006
  24. 24. Usos de la AC Raíz Uso de la AC Raíz – Generación de clave propia. – Generación de ARL/CRL para subordinadas. – Cambio en el procedimiento de certificación y por lo tanto cambio en la configuración de la AC. – Emisión de una nueva AC subordinada. Presente: DNI electrónico. Mallorca, Septiembre 2006
  25. 25. Emisión de Certificados Grupo de Certificación Subordinado – Encargado de emitir y revocar certificados – Escalabilidad de la CA Raíz. – Modelo Jerárquico. Presente: DNI electrónico. Mallorca, Septiembre 2006
  26. 26. Emisión de Certificados Autoridad de Registro – Entidad encargada de solicitar las altas y bajas de certificados. – Se comprueba la verdadera identidad del usuario (presencia física) – En el DNIe son las oficinas de la DGP. Presente: DNI electrónico. Mallorca, Septiembre 2006
  27. 27. Certificados del DNIe • Raíz: 30 Años. – Certificado Autofirmado con SHA1 y SHA256. – Claves RSA 4096. – Key Usage: Firma de certificados, Firma CRL sin conexión, Firma CRL • Subordinadas: 15 Años. – Certificados firmados con SHA1 y SHA256. – Claves RSA 2048 – Key Usage: Firma de certificados, Firma CRL sin conexión, Firma CRL • Ciudadano: 30 Meses. – Certificados firmados con SHA1. – Claves RSA 2048. – Utiliza para firmar SHA1. – Certificado de Autenticación: Key Usage = Digital Signature. – Certificado de Firma: Key Usage = ContentCommitment. Presente: DNI electrónico. Mallorca, Septiembre 2006
  28. 28. Qué hay en una CRL DN: cn=CRL, Nombre de la CRL o=ACME,c=ES AC DN: o=ACME,c=ES Nombre AC emisora Start: 1/3/06 1:02 End: 2/3/06 1:02 Periodo de Validez Revoked: Lista de revocados 19123 24/02/04 10:20 Número de Serie Fecha Revocación Cese de la Operación Motivo de Revocación 12383 25/03/04 16:20 Compromiso de clave Firmado por AC Presente: DNI electrónico. Mallorca, Septiembre 2006
  29. 29. OCSP (Online Certificate Status Protocol) • Protocolo que determina el estado de revocación de un certificado • Evita tener que descargar la CRL completa (puede existir una copia desactualizada) • Los mensajes OCSP habitualmente se transmiten sobre el protocolo HTTP • La prestación de los servicios de validación se realiza a través de OCSP • http://ocsp.dnie.es Presente: DNI electrónico. Mallorca, Septiembre 2006
  30. 30. Declaración de Prácticas de Certificación • Según ABA (American Bar Association Digital Signature Guidelines) un DPC “es una declaración de las prácticas, las cuáles una autoridad de certificación emplea en emitir certificados” • Describe las prácticas y los procedimientos de la Autoridad de Certificación (AC) y de la Autoridad de Registro (RA) • Recoge los términos y condiciones bajo los cuales prestarán sus servicios la AC y la RA. • Derechos y obligaciones tanto de la organización, como de las personas o Organizaciones que hagan uso de los certificados que sean emitidos Presente: DNI electrónico. Mallorca, Septiembre 2006
  31. 31. Ceremonia de generación de claves Procedimiento que describe como generar y custodiar los certificados de la AC Raíz. – Preceremonia: instalación y configuración de cada uno de los sistemas – Ceremonia: generación de claves (intervención VIP) – Posceremonia: custodia de los elementos criptográficos y certificados generados Presente: DNI electrónico. Mallorca, Septiembre 2006
  32. 32. Ceremonia de generación de claves Existen distintos roles en la ceremonia: • Maestro de ceremonias: supervisa el acto. • Operador de consola: ejecuta las tareas durante la ceremonia. • Testigos: dan fe de que el proceso se ha seguido tal y como indicaba el procedimiento.. • Administradores del HSM: subconjunto denominado K de N personas • Responsables de archivos: salvaguarda de archivos y material criptográfico. • Personal de sistemas: técnicos de sistemas. Demo 4 Presente: DNI electrónico. Mallorca, Septiembre 2006
  33. 33. Conclusiones • España es pionera en esta tecnología. • El sistema es robusto. • Los riesgos no son técnicos, intervención de la picaresca. • Gran potencial a medio plazo. • EL DNIe es un futuro hecho presente. Presente: DNI electrónico. Mallorca, Septiembre 2006
  34. 34. Muchas Gracias
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×