Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Alejandro
                                             Digitally signed by Alejandro
                                     ...
Agenda

            1. Introducción.

            2. Componentes.

            3. Expedición.

            4. Infraestruct...
Introducción


     • Nace con el objetivo de garantizar la
       Autenticación, No repudio y
       Confidencialidad en ...
Introducción

            Actualmente se está expidiendo en:
                 –    Ávila
                 –    Burgos
    ...
Ejemplos de Usos


       Algunos ejemplos de su uso son:

            – Presentar la Declaración de la Renta
            ...
Seguridad en el DNIe



       Dos factores de seguridad:

            – Algo que se tiene (tarjeta de
              polic...
Componentes



     Por la parte principal:
          – Número personal de identificación y carácter de
            verifi...
Componentes




     Anverso:
          – Datos de filiación.
          – Equipo de expedición.
          – Caracteres OCR...
Componentes




                              (fuente DGP)
Presente: DNI electrónico.
Mallorca, Septiembre 2006
Contenido

         •     El certificado público de la Autoridad
               Certificación emisora.
         •     Los ...
Contenido




          • Sistema Operativo DNIe v1.0.
          • Aplicación Match-On-Card.
          • Certificado de co...
Que no contiene




          •     ADN.
          •     Información de tráfico.
          •     Grupo sanguíneo.
        ...
Componente electrónico



    El REAL DECRETO 1553/2005, de 23 de
       diciembre, que regula el DNI electrónico,
       ...
Componentes

        Chip ST19WL34A




Presente: DNI electrónico.
Mallorca, Septiembre 2006
Componentes periféricos



     Requerimientos:
          –    Pentium III o superior
          –    Windows, Linux, Mac
 ...
Expedición


      • Presentación física en las oficinas de
        expedición
      • Abonar la cuota (variable)
      • ...
Infraestructura


    • Proyecto desarrollado por la UTE:
         – Telefónica, Indra y Software AG.
         – ~12 Millo...
Firma digital


               Origen          Mensaje Transmitido        Destino

                  Mensaje              ...
Que es un certificado


      •     Documento que contiene diversos datos,
            entre ellos el nombre de un usuario...
X509




                                v3
                             Número DNI
                               DGP


 ...
Componentes

       Certificado DNI - Ciudadano




Presente: DNI electrónico.
Mallorca, Septiembre 2006
Infraestructura
       MultiPKI
       (fuente DGP)




Presente: DNI electrónico.
Mallorca, Septiembre 2006
Emisión de Certificados

     Autoridad Certificadora
           – Entidad encargada de firmar los
             certificad...
Usos de la AC Raíz




          Uso de la AC Raíz
               – Generación de clave propia.
               – Generació...
Emisión de Certificados




     Grupo de Certificación Subordinado
           – Encargado de emitir y revocar certificado...
Emisión de Certificados




     Autoridad de Registro
           – Entidad encargada de solicitar las altas y bajas
     ...
Certificados del DNIe

     •      Raíz: 30 Años.
           –    Certificado Autofirmado con SHA1 y SHA256.
           – ...
Qué hay en una CRL




                  DN: cn=CRL,
                                                 Nombre de la CRL
   ...
OCSP (Online Certificate Status Protocol)




     • Protocolo que determina el estado de
       revocación de un certific...
Declaración de Prácticas de Certificación
  • Según ABA (American Bar Association Digital
    Signature Guidelines) un DPC...
Ceremonia de generación de claves


      Procedimiento que describe como generar y
        custodiar los certificados de ...
Ceremonia de generación de claves

      Existen distintos roles en la ceremonia:
      • Maestro de ceremonias: supervisa...
Conclusiones




      • España es pionera en esta tecnología.
      • El sistema es robusto.
      • Los riesgos no son t...
Muchas Gracias
Upcoming SlideShare
Loading in …5
×

DNI-E

3,269 views

Published on

Presentación DNI Electrónico, NoConName 2006

Published in: Technology, Business
  • Be the first to comment

DNI-E

  1. 1. Alejandro Digitally signed by Alejandro Ramos DN: cn=Alejandro Ramos, o=sia group, ou=sia spain, dc=com Ramos Reason: I am the author of this document Date: 2006.10.16 11:20:47 +02'00' Presente: DNI Electrónico. Alejandro Ramos, CISSP aramosf @ sia.es Mallorca, Septiembre 2006
  2. 2. Agenda 1. Introducción. 2. Componentes. 3. Expedición. 4. Infraestructura. 5. Conclusiones. Presente: DNI electrónico. Mallorca, Septiembre 2006
  3. 3. Introducción • Nace con el objetivo de garantizar la Autenticación, No repudio y Confidencialidad en las transacciones telemáticas. • Lo emite la Dirección General de Policía (DGP). • Tiene por Objetivo: – Firma digital con la misma validez que la manuscrita. – Identificación electrónica. – Identificación tradicional. Presente: DNI electrónico. Mallorca, Septiembre 2006
  4. 4. Introducción Actualmente se está expidiendo en: – Ávila – Burgos – Palencia – Salamanca – Santander – Segovia – Soria – Valladolid – Zamora Presente: DNI electrónico. Mallorca, Septiembre 2006
  5. 5. Ejemplos de Usos Algunos ejemplos de su uso son: – Presentar la Declaración de la Renta – Consultar la vida laboral – Subastas públicas – Identificación en sistemas Single-Sign- On. – Usos similares al certificado FNMT. Demo 1 Presente: DNI electrónico. Mallorca, Septiembre 2006
  6. 6. Seguridad en el DNIe Dos factores de seguridad: – Algo que se tiene (tarjeta de policarbonato) – Algo que se sabe (PIN de 8-16 caracteres alfanuméricos) Presente: DNI electrónico. Mallorca, Septiembre 2006
  7. 7. Componentes Por la parte principal: – Número personal de identificación y carácter de verificación. – Imagen cambiante grabada en láser. – Número de serie del soporte y fecha de validez. – Fotografía con holograma en la superficie – Firma manuscrita. – Kinegrama. – Datos personales. Presente: DNI electrónico. Mallorca, Septiembre 2006
  8. 8. Componentes Anverso: – Datos de filiación. – Equipo de expedición. – Caracteres OCR-B (normativa OACI de documentos de viaje). Presente: DNI electrónico. Mallorca, Septiembre 2006
  9. 9. Componentes (fuente DGP) Presente: DNI electrónico. Mallorca, Septiembre 2006
  10. 10. Contenido • El certificado público de la Autoridad Certificación emisora. • Los certificados electrónicos para autenticar la personalidad del ciudadano. • Los certificados electrónicos para firmar electrónicamente. • La plantilla biométrica de la impresión dactilar • La fotografía digitalizada. • La imagen de la firma manuscrita. • Los datos de filiación del propietario. Presente: DNI electrónico. Mallorca, Septiembre 2006
  11. 11. Contenido • Sistema Operativo DNIe v1.0. • Aplicación Match-On-Card. • Certificado de componente (CWA 14890), dedicado a cifrar la comunicación entre el driver y la smartcard. Presente: DNI electrónico. Mallorca, Septiembre 2006
  12. 12. Que no contiene • ADN. • Información de tráfico. • Grupo sanguíneo. • Cualquier otra información personal. Presente: DNI electrónico. Mallorca, Septiembre 2006
  13. 13. Componente electrónico El REAL DECRETO 1553/2005, de 23 de diciembre, que regula el DNI electrónico, en su artículo 9, apartado 2, establece que la activación de la utilidad informática (identificación electrónica de su titular y la capacidad de realizar la firma electrónica de documentos) tiene carácter voluntario Presente: DNI electrónico. Mallorca, Septiembre 2006
  14. 14. Componentes Chip ST19WL34A Presente: DNI electrónico. Mallorca, Septiembre 2006
  15. 15. Componentes periféricos Requerimientos: – Pentium III o superior – Windows, Linux, Mac – Internet Explorer, Firefox, Netscape. – Software DNIe. Demo 2 (fuente DGP) Presente: DNI electrónico. Mallorca, Septiembre 2006
  16. 16. Expedición • Presentación física en las oficinas de expedición • Abonar la cuota (variable) • Presentar la documentación adicional para primeros DNI • Se entrega en el acto. • El PIN se entrega en sobre cerrado • La contraseña se puede cambiar en los “Kioscos” Demo 3 Presente: DNI electrónico. Mallorca, Septiembre 2006
  17. 17. Infraestructura • Proyecto desarrollado por la UTE: – Telefónica, Indra y Software AG. – ~12 Millones de euros. – Tecnología MultiPKI: Entrust y Safelayer. – Modulo criptográfico RETEMSA. – Desarrollos de terceras compañias: Siemens y Sagem Défense Sécurité en biometría. – Kiosco ensamblado por Inves. Presente: DNI electrónico. Mallorca, Septiembre 2006
  18. 18. Firma digital Origen Mensaje Transmitido Destino Mensaje Mensaje Descifrar Hash Mensaje Firma Clave Pública Clave Cifrar Privada Hash Hash Firma Hash iguales = Integridad, No repudio Presente: DNI electrónico. Mallorca, Septiembre 2006
  19. 19. Que es un certificado • Documento que contiene diversos datos, entre ellos el nombre de un usuario y su clave pública, y que es firmado por una Autoridad de Certificación (AC). • Como emisor y receptor confiarán en esa AC, el usuario que tenga un certificado expedido por ella se autenticará ante el otro, en tanto que su clave pública está firmada por dicha autoridad. • Una de las certificaciones más usadas y un estándar en la actualidad en infraestructuras de clave pública PKIs es X509. Presente: DNI electrónico. Mallorca, Septiembre 2006
  20. 20. X509 v3 Número DNI DGP Apellidos, Nombre Clave publica Firmado por AC Presente: DNI electrónico. Mallorca, Septiembre 2006
  21. 21. Componentes Certificado DNI - Ciudadano Presente: DNI electrónico. Mallorca, Septiembre 2006
  22. 22. Infraestructura MultiPKI (fuente DGP) Presente: DNI electrónico. Mallorca, Septiembre 2006
  23. 23. Emisión de Certificados Autoridad Certificadora – Entidad encargada de firmar los certificados para que una tercera confíe en su validez. – La AC Raíz es el elemento con mayor nivel de confianza en una estructura de PKI. – Un sistema PKI es tan seguro como segura estén los certificados de la AC Raíz. – En el DNIe, la CA Raíz se guarda en un portátil offline, bajo una caja fuerte, dentro de una jaula metálica. – Otras medidas son el uso de módulos criptográficos (no manipulables) HSM. Presente: DNI electrónico. Mallorca, Septiembre 2006
  24. 24. Usos de la AC Raíz Uso de la AC Raíz – Generación de clave propia. – Generación de ARL/CRL para subordinadas. – Cambio en el procedimiento de certificación y por lo tanto cambio en la configuración de la AC. – Emisión de una nueva AC subordinada. Presente: DNI electrónico. Mallorca, Septiembre 2006
  25. 25. Emisión de Certificados Grupo de Certificación Subordinado – Encargado de emitir y revocar certificados – Escalabilidad de la CA Raíz. – Modelo Jerárquico. Presente: DNI electrónico. Mallorca, Septiembre 2006
  26. 26. Emisión de Certificados Autoridad de Registro – Entidad encargada de solicitar las altas y bajas de certificados. – Se comprueba la verdadera identidad del usuario (presencia física) – En el DNIe son las oficinas de la DGP. Presente: DNI electrónico. Mallorca, Septiembre 2006
  27. 27. Certificados del DNIe • Raíz: 30 Años. – Certificado Autofirmado con SHA1 y SHA256. – Claves RSA 4096. – Key Usage: Firma de certificados, Firma CRL sin conexión, Firma CRL • Subordinadas: 15 Años. – Certificados firmados con SHA1 y SHA256. – Claves RSA 2048 – Key Usage: Firma de certificados, Firma CRL sin conexión, Firma CRL • Ciudadano: 30 Meses. – Certificados firmados con SHA1. – Claves RSA 2048. – Utiliza para firmar SHA1. – Certificado de Autenticación: Key Usage = Digital Signature. – Certificado de Firma: Key Usage = ContentCommitment. Presente: DNI electrónico. Mallorca, Septiembre 2006
  28. 28. Qué hay en una CRL DN: cn=CRL, Nombre de la CRL o=ACME,c=ES AC DN: o=ACME,c=ES Nombre AC emisora Start: 1/3/06 1:02 End: 2/3/06 1:02 Periodo de Validez Revoked: Lista de revocados 19123 24/02/04 10:20 Número de Serie Fecha Revocación Cese de la Operación Motivo de Revocación 12383 25/03/04 16:20 Compromiso de clave Firmado por AC Presente: DNI electrónico. Mallorca, Septiembre 2006
  29. 29. OCSP (Online Certificate Status Protocol) • Protocolo que determina el estado de revocación de un certificado • Evita tener que descargar la CRL completa (puede existir una copia desactualizada) • Los mensajes OCSP habitualmente se transmiten sobre el protocolo HTTP • La prestación de los servicios de validación se realiza a través de OCSP • http://ocsp.dnie.es Presente: DNI electrónico. Mallorca, Septiembre 2006
  30. 30. Declaración de Prácticas de Certificación • Según ABA (American Bar Association Digital Signature Guidelines) un DPC “es una declaración de las prácticas, las cuáles una autoridad de certificación emplea en emitir certificados” • Describe las prácticas y los procedimientos de la Autoridad de Certificación (AC) y de la Autoridad de Registro (RA) • Recoge los términos y condiciones bajo los cuales prestarán sus servicios la AC y la RA. • Derechos y obligaciones tanto de la organización, como de las personas o Organizaciones que hagan uso de los certificados que sean emitidos Presente: DNI electrónico. Mallorca, Septiembre 2006
  31. 31. Ceremonia de generación de claves Procedimiento que describe como generar y custodiar los certificados de la AC Raíz. – Preceremonia: instalación y configuración de cada uno de los sistemas – Ceremonia: generación de claves (intervención VIP) – Posceremonia: custodia de los elementos criptográficos y certificados generados Presente: DNI electrónico. Mallorca, Septiembre 2006
  32. 32. Ceremonia de generación de claves Existen distintos roles en la ceremonia: • Maestro de ceremonias: supervisa el acto. • Operador de consola: ejecuta las tareas durante la ceremonia. • Testigos: dan fe de que el proceso se ha seguido tal y como indicaba el procedimiento.. • Administradores del HSM: subconjunto denominado K de N personas • Responsables de archivos: salvaguarda de archivos y material criptográfico. • Personal de sistemas: técnicos de sistemas. Demo 4 Presente: DNI electrónico. Mallorca, Septiembre 2006
  33. 33. Conclusiones • España es pionera en esta tecnología. • El sistema es robusto. • Los riesgos no son técnicos, intervención de la picaresca. • Gran potencial a medio plazo. • EL DNIe es un futuro hecho presente. Presente: DNI electrónico. Mallorca, Septiembre 2006
  34. 34. Muchas Gracias

×