Guia de Referencia Basica v1 4

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

1

DNI electrnico Gua de Referencia Bsica

DelegadoLnea

DelegadoLnea

DelegadoLnea

DelegadoLnea

DelegadoLnea

DelegadoLnea


Autor DGPGC

Tipo de documento Gua

Departamento Unidad de Documentacin de Espaoles y Archivo

Versin 1.4

Fecha 04 de julio de 2014

Fichero fuente Gua de referencia bsica.doc

Control de cambios Fecha Versin Descripcin

26 de junio de 2006 1.1 Versin original. 31 de agosto de 2008 1.2 Modificaciones administrativas. 26 de octubre de 2010 1.3 Actualizacin Autoridad de Validacin.


04 de julio de 2014 1.4 Modificaciones administrativas.

DelegadoCuadro de texto2



3

El Documento Nacional de Identidad es un documento con una antigedad de ms de 50 aos, y est presente en la mayora de las relaciones comerciales y administrativas, y su nmero figura en un altsimo porcentaje de las bases de datos de entidades y organismos pblicos y privados.

El Documento Nacional de Identidad es el nico documento de uso generalizado en todos los mbitos a nivel nacional y referente obligado para la expedicin de otros documentos (pasaporte, permiso de conducir, seguridad social, NIF, etc.).

De esta forma se puede afirmar que el Documento Nacional de Identidad goza de una plena aceptacin en la sociedad espaola.

c. Antecedentes: DNI tradicional versus DNI electrnico

Como establece el artculo 1 del RD 1553/2005, de 23 de diciembre, por el que se regula la expedicin del documento nacional de identidad y sus certificados de firma electrnica, Dicho Documento tiene suficiente valor, por s solo, para acreditar la identidad y los datos personales de su titular que en l se consignen, as como la nacionalidad espaola del mismo.

De la lectura de este artculo se comprueba que esta caracterstica del DNI tradicional, se mantiene en toda su extensin en el DNI electrnico, incrementada en las nuevas funciones de firma electrnica de documentos, en los trminos previstos en la Ley 59/2003, de 19 de diciembre, de firma electrnica.

d. Concepto y funciones bsicas

La Ley 59/2003, de 19 de diciembre, de firma electrnica, ha venido a atribuir al Documento Nacional de Identidad nuevos efectos y utilidades:

Crear un documento que certifique la identidad del ciudadano no slo en el mundofsico, sino tambin ante transacciones telemticas, permitiendo firmar todo tipo dedocumentos electrnicos. Usando un dispositivo seguro de creacin de firma, la firmaelectrnica que se efecte mediante el DNI electrnico tendr efectos equivalentes a losde una firma manuscrita.

Expedir el DNI electrnico en un solo acto administrativo, reduciendo as el tiempoempleado para su obtencin.

Interoperabilidad con los proyectos europeos de identificacin digital. Fomentar la confianza en las transacciones electrnicas.



4

Aceptacin por parte de todas las Administraciones Pblicas y Entidades de DerechoPblico vinculadas o dependientes de las mismas del uso del DNI electrnico. (E.j. parahacer la declaracin de la renta, pedir un certificado de empadronamiento, dar de alta enel registro de nacimientos o reclamar el derecho a la pensin).

e. La firma electrnica: novedad. Conceptos bsicos

La Firma electrnica es un sistema de acreditacin que permite verificar la identidad de las personas con el mismo valor que la firma manuscrita, autentificando las comunicaciones generadas por el firmante.

Por otra parte la Ley 59/2003, de 19 de diciembre, de firma electrnica define la firma electrnica de la siguiente manera:

(Art. 3.1) La firma electrnica es el conjunto de datos en forma electrnica, consignadosjunto a otros o asociados con ellos, que pueden ser utilizados como medio deidentificacin del firmante.

Asimismo la Ley distingue entre firma electrnica avanzada y firma electrnica reconocida:

(Art. 3.2) La firma electrnica avanzada es la firma electrnica que permite identificar alfirmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada alfirmante de manera nica y a los datos a que se refiere y que ha sido creada por mediosque el firmante puede mantener bajo su exclusivo control.

(Art. 3.3) Se considera firma electrnica reconocida la firma electrnica avanzada basadaen un certificado reconocido y generada mediante un dispositivo seguro de creacin defirma.

(Art. 3.4)La firma electrnica reconocida tendr respecto de los datos consignados enforma electrnica el mismo valor que la firma manuscrita en relacin con losconsignados en papel. creacin de firma

El modo de funcionamiento de la firma electrnica basado en clave pblica es el siguiente:

Cada parte tiene un par de claves, una se usa para cifrar y la otra para descifrar. Cada parte mantiene en secreto una de las claves (clave privada) y pone a disposicin del

pblico la otra (clave pblica).



5

El emisor obtiene un resumen del mensaje a firmar con una funcin llamada hash(resumen). El resumen es una operacin que se realiza sobre un conjunto de datos, deforma que el resultado obtenido es otro conjunto de datos de tamao fijo,independientemente del tamao original, y que tiene la propiedad de estar asociadounvocamente a los datos iniciales, es decir, es imposible encontrar dos mensajesdistintos que generen el mismo resultado al aplicar la funcin hash.

El emisor cifra el resumen del mensaje con la clave privada. sta es la firma electrnicaque se aade al mensaje original.

El receptor, al recibir el mensaje, obtiene de nuevo su resumen mediante la funcinhash. Adems descifra la firma utilizando la clave pblica del emisor obteniendo elresumen que el emisor calcul. Si ambos coinciden la firma es vlida por lo que cumplelos criterios ya vistos de autenticidad e integridad adems del de no repudio ya que elemisor no puede negar haber enviado el mensaje que lleva su firma.

f. Qu tiene y que no tiene el DNI electrnico?

El DNI electrnico contiene la siguiente informacin:

o Certificados X509v3 de ciudadano (autenticacin y firma) y claves privadasasociadas, que se generarn e insertarn durante el proceso de expedicindel DNIe:

Cerificado de autenticacinEl Ciudadano podr, a travs de su Certificado de Autenticacin,certificar su identidad frente a terceros, demostrando la posesin yel acceso a la clave privada asociada a dicho certificado y queacredita su identidad.

Certificado de firma electrnica reconocidaPermitir realizar y firmar acciones y asumir compromisos deforma electrnica, pudindose comprobar la integridad de losdocumentos firmados por el ciudadano haciendo uso de losinstrumentos de firma incluidos en l.

En el anverso de la tarjeta se encuentran los siguientes elementos:

o En el cuerpo central de la tarjeta:

Primer apellido Segundo apellido Nombre Sexo



6

Nacionalidad Fecha de nacimiento Nmero de serie del soporte fsico de la tarjeta (IDESP) Fecha de validez del documento

En la esquina inferior izquierda:

Nmero del Documento Nacional de Identidad del CiudadanoEn el espacio destinado a la impresin de imagen lser cambiante (CLI) situada debajo del chip:

La fecha de expedicin en formato DDMMAA La primera consonante del primer apellido + primera consonante del

segundo apellido + primera consonante del nombre (del primernombre en caso de ser compuesto)

El reverso de la tarjeta contiene los siguientes elementos:



7

o En la parte superior:

Lugar de nacimiento Provincia-Pas Nombre de los padres Domicilio Lugar de domicilio Provincia-pas del domicilio Cdigo del equipo de expedicin del DNIe

o Informacin impresa OCR-B para lectura mecanizada sobre la identidaddel ciudadano segn normativa OACI para documentos de viaje.

El DNI electrnico no contiene ninguna otra informacin relativa a datos personales ni de cualquier otro tipo (sanitarios, fiscales, trfico, etc.)

2. Descripcin funcional del DNI electrnico

a. Nuevas capacidades. Identificacin.

El DNI electrnico, adems de la capacidad de identificacin fsica de su titular, posee la capacidad de identificacin en medios telemticos y de firmar electrnicamente como si de una firma manuscrita se tratase. De esta forma garantiza que la personalidad del firmante no es suplantada.

Asimismo la firma electrnica permite proteger la informacin enviada a travs de un medio telemtico.



8

b. Firma electrnica.

La firma electrnica es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante.

La firma electrnica permite que tanto el receptor como el emisor de un contenido puedan identificarse mutuamente con la certeza de que son ellos los que estn interactuando, evita que terceras personas intercepten esos contenidos y que los mismos puedan ser alterados, as como que alguna de las partes pueda "repudiar" la informacin que recibi de la otra y que inicialmente fue aceptada.

La firma electrnica avanzada es la firma electrnica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

A su vez, se considera firma electrnica reconocida la firma electrnica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. La firma electrnica reconocida tendr respecto de los datos consignados en forma electrnica el mismo valor que la firma manuscrita en relacin con los consignados en papel.

c. Certificados electrnicos. Una breve descripcin.

Son los documentos expedidos por los prestadores de servicios de certificacin que relacionan las herramientas de firma electrnica que tiene cada usuario con su identidad, dndole a conocer como firmante en el mbito telemtico

d. Vida til

Al hablar de vida til se deben contemplar dos aspectos.

En primer lugar, con carcter general el documento nacional de identidad tendr un perodo de validez, a contar desde la fecha de la expedicin o de cada una de sus renovaciones (Artculo 6. Validez, RD 1553/2005, de 23 de diciembre, modificado por el RD 869/2013, de 8 de noviembre ), de:

b) Cinco aos, cuando el titular haya cumplido los cinco aos de edady no haya alcanzado los treinta al momento de la expedicin orenovacin.

c) Diez aos, cuando el titular haya cumplido los treinta y no hayaalcanzado los setenta.

a) Dos aos cuando el solicitante no haya cumplido los cinco aos deedad.



9

De forma excepcional se podr otorgar validez permanente a los mayores de 30 aos que acrediten la condicin de gran invlido, o de un ao en determinadas circunstancias.

En segundo lugar est la validez de los certificados contenidos en el chip de la tarjeta del DNI electrnico que tendrn un perodo de vigencia de treinta meses. (Artculo 12. Validez de los certificados electrnicos, RD 1553/2005, de 23 de diciembre)

e. Marco legal bsico

El marco legal bsico del DNI electrnico es el siguiente:

Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 dediciembre, por la que se establece un marco comunitario para la firmaelectrnica.

Ley 59/2003, de 19 de diciembre, de Firma Electrnica. Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de los Datos.

Real Decreto 1553/2005, de 23 de diciembre, por el que se regula documentonacional de identidad y sus certificados de firma electrnica.

Real Decreto 1586/2009, de 16 de octubre, por el que se modifica el RealDecreto 1553/2005.

3. Qu ventajas nos ofrece el DNI electrnico?

En las relaciones entre ciudadanoso La firma electrnica del DNI electrnico permite garantizar la identidad de

la persona que realiza una gestin, as como la integridad del contenidode los mensajes que enva. Por tanto los ciudadanos podrn consultardatos de carcter personal, realizar trmites u otras gestiones o acceder adiferentes servicios pblicos y privados.

o Proporciona el mximo grado de confidencialidad y seguridad en Internet.

o Identifica a las partes que se conectan telemticamente.

o Da acceso a una inmejorable oferta de servicios en el mbito de la gestinde los derechos de autor.

En las relaciones con las Administraciones Pblicas.

d) Permanente cuando el titular haya cumplido los setenta aos.

Real Decreto 869/2013, de 8 de noviembre, por el que se modifica el Real Decreto 1553/2005, de 23 de diciembre



10

o El Art. 16.2 de la Ley 59/2003 de Firma Electrnica indica que: LaAdministracin General del Estado emplear, en la medida de lo posible,sistemas que garanticen la compatibilidad de los instrumentos de firmaelectrnica incluidos en el documento nacional de identidad electrnicocon los distintos dispositivos y productos de firma electrnicageneralmente aceptados

o La Administracin General del Estado ser uno de los principalesproveedores de servicios que se podrn utilizar con el DNI electrnico, deesta forma su utilizacin supone una ventaja en los trmites con laAdministracin Pblica, en la que ya no sera necesario la presencia fsicapara garantizar la identidad.

En las relaciones con las empresaso Las empresas debern desarrollar diferentes servicios basados en la

identificacin y firma electrnica, de forma que dinamicen la relacincomercial con sus clientes. Estos servicios podrn ser ofrecidos con lamxima seguridad.

o Desde el punto de vista empresarial y comercial el DNI electrnico seconvierte en una herramienta fundamental en las relaciones en el sectorprivado.

4. Descripcin fsica

El propsito de la tarjeta soporte del DNIe es contener los datos de filiacin del ciudadano, los datos biomtricos (modelo dactilar, foto y firma manuscrita) y los dos pares de claves RSA con sus respectivos certificados (autenticacin y firma). Esta tarjeta est compuesta de 2 partes:

1. Tarjeta fsica del DNI electrnico.

o La tarjeta fsica del DNI electrnico sigue el estndar ISO-7816-1

o Est fabricada en policarbonato, que es un material que permite su usocontinuado y frecuente sin sufrir deterioro, durante el tiempo de vigenciadel DNI, es decir, 10 aos.

o La personalizacin de la tarjeta se realiza mediante la grabacin en elcuerpo de la tarjeta con lser de los datos de filiacin, fotografa y firmamanuscrita. Este sistema de personalizacin garantiza la imposibilidad demanipulacin de estos datos.



11

o Cuenta con las ms modernas medidas de seguridad ante la manipulaciny falsificacin del documento, muchas de ellas fcilmente identificablespor cualquier persona sin ningn procedimiento especial. El conjunto detodas las medidas hace del DNI electrnico un documento altamenteseguro, tanto desde el punto de vista fsico, como electrnico.

2. El chip del DNI electrnico, cuyas caractersticas son

o Chip ST19WL34

o Sistema operativo DNIe v1.1

o Capacidad de 32K.

o Contenido del chip:

La informacin en el chip est distribuida en tres zonas con diferentes niveles y condiciones de acceso:

Zona pblica: Accesible en lectura sin restricciones, contenido:

Certificado CA intermedia emisora.

Claves Diffie-Hellman.

Certificado x509 de componente

Zona privada: Accesible en lectura por el ciudadano, mediante lautilizacin de la Clave Personal de Acceso o PIN, contenido:

Certificado de Firma (No Repudio).

Certificado de Autenticacin (Digital Signature).

-Zona de seguridad: Accesible en lectura por el ciudadano, en los Puntos de Actualizacin del DNIe.

Datos de filiacin del ciudadano (los mismos que estnimpresos en el soporte fsico del DNI), contenidos en elsoporte fsico del DNI.

Imagen de la fotografa.

Imagen de la firma manuscrita.

DATOS CRIPTOGRFICOS: Claves de ciudadano

Clave RSA pblica de autenticacin (Digital Signature).

Clave RSA pblica de no repudio(ContentCommitment).



12

Clave RSA privada de autenticacin (Digital Signature).

Clave RSA privada de firma (ContentCommitment).

Patrn de impresin dactilar.

Clave Pblica de root CA para certificados card-verificables.

Claves Diffie-Hellman.

DATOS de GESTIN:

Traza de fabricacin.

Nmero de serie del soporte.

El chip de la tarjeta almacena los siguientes certificados electrnicos:

Certificado de Componente. Su propsito es la autenticacin de la tarjeta del DNI electrnico mediante el protocolo de autenticacin mutua definido en CWA 14890.

o Permite el establecimiento de un canal cifrado y autenticado entre la tarjeta y los Drivers.

o Este certificado no estar accesible directamente por los interfaces estndar (PKCS11 o CSP).

Certificado de Autenticacin. Tiene como finalidad garantizar electrnicamente la identidad del ciudadano al realizar una transaccin telemtica. El Certificado de Autenticacin (Digital Signature) asegura que la comunicacin electrnica se realiza con la persona que dice que es. El titular podr a travs de su certificado acreditar su identidad frente a cualquiera ya que se encuentra en posesin del certificado de identidad y de la clave privada asociada al mismo.

El uso de este certificado no est habilitado en operaciones que requieran no repudio de origen, por tanto los terceros aceptantes y los prestadores de servicios no tendrn garanta del compromiso del titular del DNI con el contenido firmado. Su uso principal ser para generar mensajes de autenticacin (confirmacin de la identidad) y de acceso seguro a sistemas informticos (mediante establecimiento de canales privados y confidenciales con los prestadores de servicio).



13

Este certificado puede ser utilizado tambin como medio de identificacin para la realizacin de un registro que permita la expedicin de certificados reconocidos por parte de entidades privadas, sin verse estas obligadas a realizar una fuerte inversin en el despliegue y mantenimiento de una infraestructura de registro.

Certificado de firma. Este certificado es el que utilizaremos para la firma de documentos garantizando la integridad del Documento y el No repudio de origen.

Es un certificado X509v3 estndar, que tiene activo en el Key Usage el bit de ContentCommitment (No Repudio) y que esta asociado a un par de claves pblica y privada, generadas en el interior del CHIP del DNI.

Es este Certificado expedido como certificado reconocido y creado en un Dispositivo Seguro de Creacin de Firma, el que convierte la firma electrnica avanzada en firma electrnica reconocida, permitiendo su equiparacin legal con la Firma Manuscrita (Ley 59/2003 y Directiva 1999/93/CE).

5. Proceso de expedicin

Proceso de expedicin

Dnde y cmo se expide. Proceso en un solo paso

o El DNI electrnico se expide en los centros en los que actualmente se est realizando (equipos de expedicin y equipos mviles)

o El DNI electrnico se expide en un solo acto administrativo, es decir en una sola visita al centro de expedicin.

Qu hace falta llevar.

Para solicitar la primera expedicin del Documento Nacional de Identidad ser imprescindible la presencia fsica de la persona a quien se haya de expedir, el abono de la tasa legalmente establecida en cada momento y la presentacin de los siguientes documentos:

o Certificacin literal de nacimiento expedida por el Registro Civil correspondiente o, en su caso, Certificado de inscripcin de la nacionalidad espaola. A estos efectos nicamente sern admitidas las certificaciones expedidas con una antelacin mxima de seis meses a la fecha de



14

presentacin de la solicitud de expedicin del Documento Nacional de Identidad y que contengan la anotacin de que se ha emitido a los solos efectos de la obtencin de este documento.

o Una fotografa reciente, en color, del rostro del solicitante, tamao 32 por 26 milmetros con fondo uniforme, blanco y liso, tomadas de frente con la cabeza totalmente descubierta y sin gafas de cristales oscuros o cualquier otra prenda que pueda impedir o dificultar la identificacin de la persona.

o Certificado o volante de empadronamiento del Ayuntamiento donde el solicitante tenga su domicilio, expedido con una antelacin mxima de tres meses a la fecha de la solicitud del Documento Nacional de Identidad.

o Los espaoles residentes en el extranjero acreditarn el domicilio mediante la presentacin de un certificado de acreditacin de residencia que a estos efectos se expiden por la Representacin Diplomtica o Consular donde se hallen inscritos como residentes.

La renovacin se llevar a cabo mediante la presencia fsica del titular del Documento, que deber abonar la tasa correspondiente y aportar los siguientes documentos:

o Una fotografa reciente, en color, del rostro del solicitante, tamao 32 por 26 milmetros con fondo uniforme, blanco y liso, tomadas de frente con la cabeza totalmente descubierta y sin gafas de cristales oscuros o cualquier otra prenda que pueda impedir o dificultar la identificacin de la persona.

o El DNI anterior.

o En caso de cambio de domicilio, respecto del que figure en el Documento anterior, certificado o volante de empadronamiento del Ayuntamiento donde el solicitante tenga su domicilio (la validez de este documento es de 3 meses a partir de la fecha de su expedicin). La presentacin de este documento no ser necesaria si el interesado autoriza, en el momento de la tramitacin del DNI, a que por el equipo de expedicin se acceda al Sistema de Verificacin de Datos de Residencia, a efectos de consultar los datos de su domicilio.

o En caso de variacin de datos de filiacin, partida literal de nacimiento del Registro Civil, expedido con una antelacin mxima de seis meses a la fecha de solicitud del DNI.

o El extravo, sustraccin, destruccin o deterioro del Documento Nacional de Identidad, conllevar la obligacin de su titular de proveerse inmediatamente de un duplicado, que ser expedido en la forma y con los requisitos indicados para la renovacin. En estos casos, el nuevo DNI tendr la misma validez que



15

el documento al que sustituye, salvo que ste se hallase en los ltimos 90 das de su vigencia y si el DNI extraviado o sustrado era del modelo anterior se ha de aportar una fotografa ms y confeccionar un impreso que se entrega en la propia oficina de expedicin.

o o Los espaoles residentes en el extranjero, adems de los documentos

indicados, debern aportar el certificado de acreditacin de residencia a que se hace referencia para la primera inscripcin.

6. Tipos de dispositivos, sistemas operativos y estndares.

Para la utilizacin del DNI electrnico es necesario contar con determinados elementos hardware y software que nos van a permitir el acceso al chip de la tarjeta y, por tanto, la utilizacin de los certificados contenidos en l.

a) Elementos hardware

El DNI electrnico requiere el siguiente equipamiento fsico:

Un Ordenador personal (Intel -a partir de Pentium III- o tecnologa similar).

Un lector de tarjetas inteligentes que cumpla el estndar ISO-7816. Existen distintas implementaciones, bien integrados en el teclado, bien externos (conectados va USB) o bien a travs de una interfaz PCMCIA.

Para elegir un lector que sean compatible con el DNI electrnico, verifique que, al menos:



16

Cumpla el estndar ISO 7816 (1, 2 y 3) Soporta tarjetas asncronas basadas en protocolos T=0 (y T=1) Soporta velocidades de comunicacin mnimas de 9.600 bps. Soporta los estndares:

API PC/SC (Personal Computer/Smart Card)

CSP (Cryptographic Service Provider, Microsoft)

- API PKCS#11

b) Elementos software

Sistemas operativos El DNI electrnico puede operar en diversos entornos:

o Microsoft Windows (Windows XP, Windows 2000)

o Linux

o Unix

o Mac

Navegadores El DNI electrnico es compatible con todos los navegadores:

o Microsoft Internet Explorer (versin 6.0 o superior)

o Mozilla Firefox (versin 1.5)

o Netscape (versin 4.78 o superior)

Controladores / Mdulos criptogrficos Para poder interaccionar adecuadamente con las tarjetas criptogrficas en general y con el DNI electrnico en particular, el equipo ha de tener instalados unas "piezas" de software denominadas mdulos criptogrficos.

o En un entorno Microsoft Windows, el equipo debe tener instalado un servicio que se denomina "Cryptographic Service Provider" (CSP).

o En los entornos UNIX / Linux o MAC podemos utilizar el DNI electrnico a travs de un mdulo criptogrfico denominado PKCS#11



17

Tanto el CSP como el PKS#11 especfico para el DNI electrnico podrn obtenerse en la direccin www.dnielectronico.es/descargas/

Adicionalmente, para operar con un lector de tarjetas inteligentes, ser necesario instalar un driver que, normalmente, se distribuye con el propio lector.

7. Uso del DNI electrnico

Uso del DNI electrnico

Tal y como recoge la Declaracin de Prcticas de Certificacin del DNI electrnico, los certificados electrnicos podrn utilizarse:

Como medio de Autenticacin de la Identidad.

El Certificado de Autenticacin (Digital Signature) asegura que la comunicacin electrnica se realiza con la persona que dice que es. El titular podr, a travs de su certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en posesin del certificado de identidad y de la clave privada asociada al mismo.

Como medio de firma electrnica de documentos.

Mediante la utilizacin del Certificado de Firma (nonRepudition), el receptor de un mensaje firmado electrnicamente puede verificar la autenticidad de esa firma, pudiendo de esta forma demostrar la identidad del firmante sin que ste pueda repudiarlo.

Como medio de certificacin de Integridad de un documento.

Permite comprobar que el documento no ha sido modificado por ningn agente externo a la comunicacin. La garanta de la integridad del documento se lleva a cabo mediante la utilizacin de funciones resumen (hash), utilizadas en combinacin con la firma electrnica. Este esquema permite comprobar si un mensaje firmado ha sido alterado posteriormente a su envo.

Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del documento, de forma tal que cualquier alteracin posterior del documento dar lugar a una alteracin del resumen.

El Certificado de Identidad Pblica espaol (DNI electrnico) contribuir, necesariamente a la existencia de empresas prestadoras de servicios de valor aadido ya que el DNI electrnico no facilitar en ningn caso los denominados "sobres" (sistemas de cifrado, sellos de tiempo, etc.)



18

De la misma forma favorecer la aparicin de iniciativas privadas que presten servicios de certificacin a los ciudadanos. Esto se conseguir en base a reconocer al DNI electrnico como medio suficiente para acreditar, la identidad y los dems datos personales de los interesados, pudiendo ser utilizado como medio de identificacin para la realizacin de un registro fuerte que permita la expedicin de certificados reconocidos por parte de entidades privadas, sin verse estas obligadas a realizar una fuerte inversin en el despliegue y mantenimiento de una infraestructura de registro.

Escenario

Imaginemos la siguiente situacin: un ciudadano establece una comunicacin a travs de Internet con un organismo de la Administracin Pblica (o una Entidad Privada) que ofrece un servicio telemtico para que el ciudadano cumplimente un trmite administrativo que requiere su consentimiento explicito para la realizacin.

Este escenario plantea el uso de los dos tipos de certificados electrnicos por parte del ciudadano:

Certificado de Autenticacin (Digital Signature), cuyo propsito exclusivo es el de identificar al ciudadano. Este certificado no vincula al ciudadano en ninguna forma y es exclusivamente utilizado para el establecimiento de canales privados y confidenciales con los prestadores de servicio. Permite cerrar el tnel SSL con el certificado del ciudadano y el del prestador de servicios, as como facilitar su identidad a ste ltimo.

Certificado de Firma (nonRepudiation), cuyo fin es permitir al ciudadano firmar trmites o documentos. Este certificado (certificado cualificado segn ETSI y las RFC3039, RFC3739) permite sustituir la firma manuscrita por la electrnica en las relaciones del ciudadano con terceros (Ley 59/2003, de firma electrnica, artculos 3.4 y 15.2).

Descripcin de Uso

Asumiendo que:

El ciudadano dispone de un DNI con capacidades electrnicas (criptogrficas)

Est conectado al servicio telemtico de forma remota a travs de Internet

Dispone de una instalacin local con un lector de tarjetas inteligentes compatible (PC/SC)

Cuenta con el CSP o el PKCS#11 del DNI electrnico.



19

a) Establecimiento de conexin privada con Organismo Pblico o Entidad Privada.

El siguiente esquema de comunicaciones establece el protocolo a seguir para el establecimiento de un canal privado y autenticado entre el ciudadano y el Organismo Pblico o Entidad Privada. El canal establecido queda autenticado en ambos extremos por el uso de certificados que garantizan la identidad de las partes:

1. El Ciudadano hace una peticin de conexin segura autenticada

2. El Organismo Pblico (o Entidad Privada) crea un mensaje autenticado y lo enva al ciudadano

3. El Ciudadano verifica la validez del certificado de servidor ofrecido

4. Se genera la clave de sesin y cifrado de la misma con la clave pblica del Organismo Pblico (o Entidad Privada).

5. Se construye el mensaje de intercambio de claves.

6. El Ciudadano introduce el DNI electrnico en el lector y, con el certificado electrnico de autenticacin, valida el mensaje de intercambio de claves.

7. Se establece el canal privado.

8. El Organismo Pblico (o Entidad Privada) verifica el mensaje de establecimiento de sesin.

9. El Organismo Pblico (o Entidad Privada) comprueba en la Autoridad de Validacin el estado validez del Certificado de Autenticacin del Ciudadano.

10. Se establece un canal seguro, se cierra el tnel SSL.

Tal y como queda reflejado en el esquema anterior, el proceso de autenticacin entre ambas partes para el establecimiento de un canal seguro requiere del uso de:

Certificado de Organismo Pblico (o Entidad Privada): Este certificado asociado al servidor del Organismo o Entidad garantiza que el ciudadano se esta conectando a dicho organismo y no a otro. El certificado utilizado por el Organismo o Entidad no es en ningn caso emitido por la DGP o el Ministerio del Interior, la veracidad de este certificado deber ser garantizada por una Autoridad de Certificacin diferente de la DGP y sujeta a la Ley de Firma Electrnica 59/2003 en el marco de obligaciones aplicables a los prestadores de servicios de certificacin.



20

Certificado de autenticacin del ciudadano. El ciudadano para autenticarse frente al Organismo (o Entidad Privada) dispone de un certificado con capacidad de autenticacin. De esta forma el Organismo (o Entidad Privada) podr determinar la identidad del ciudadano para ofrecerle un servicio personalizado. La veracidad de este certificado vendr determinada por la Direccin General de la Polica.

Las partes implicadas para el establecimiento del canal privado son:

DNI electrnico: Dispositivo de firma y autenticacin segura en posesin del ciudadano emitido por la Institucin del DNI, que contendr:

o Conjunto de claves privadas al ciudadano.

o Conjunto de certificados del ciudadano.

o Elementos de seguridad para garantizar la integridad del documento frente a posibles alteraciones.

Ciudadano: Persona fsica titular del DNI electrnico.

Organismo Pblico (o Entidad Privada): Proveedor de servicios.

Autoridad de Validacin: Servicio informativo del estado de validez de los certificados del ciudadano.

Usabilidad

El protocolo descrito en el esquema corresponde al establecimiento de una sesin SSL (Secure Socket Layer). La eleccin de este mecanismo viene determinada por que prcticamente el 100% de los servidores y clientes utilizados disponen de esta capacidad.

Este protocolo permite el establecimiento de canales privados con los proveedores de servicios, organismos pblicos u otros. Si bien, existen dos tipos de canales:

1. Autenticacin Servidor: En esta modalidad, slo el servidor requiere tener un certificado por lo que la identidad del cliente, el ciudadano en nuestro caso, ser annima.

2. Autenticacin Servidor-Cliente: Requiere que tanto el proveedor de servicios se autentique frente al cliente (ciudadano), como que el cliente se autentique frente al servidor. (Este es el ideal recomendado)



21

La diferencia real en cuanto a usabilidad estriba principalmente en que si el proveedor de servicios, puede determinar con garanta la identidad del ciudadano estar en disposicin de ofrecerle informacin personalizada.

La utilizacin del certificado de Autenticacin del DNI electrnico garantiza la identidad del ciudadano, y podr ser utilizado por los proveedores de servicios para establecer reglas de acceso a la informacin en base a la identidad del mismo.

b) Firma de Trmites Administrativos con DNI electrnico.

El siguiente esquema establece el protocolo a seguir para la firma de formularios electrnicos, mediante el uso del DNI electrnico, cumpliendo con la normativa sujeta al uso de certificados cualificados:

1. El Organismo Pblico (o Entidad Privada) enva el formulario para el trmite administrativo

2. El Ciudadano cumplimenta el formulario y lo enva

3. El Organismo Pblico (o Entidad Privada) reconstruye el formulario en formato texto y lo reenva nuevamente al ciudadano

4. El Ciudadano verifica que el trmite administrativo se corresponde exactamente con el cumplimentado

5. Se solicita al ciudadano la firma electrnica del formulario

6. El Ciudadano introduce su clave de acceso personal (PIN) para el acceso al certificado de Firma (nonRepudiation).

7. El DNI electrnico firma electrnicamente el formulario.

8. El Ciudadano enva formulario firmado al Organismo Pblico (o Entidad Privada)

9. El Organismo Pblico (o Entidad Privada) verifica validez de la firma, para comprobar la integridad del formulario

10. El Organismo Pblico (o Entidad Privada) comprueba en la Autoridad de Validacin el estado de validez del certificado de Firma (nonRepudiation) del ciudadano

11. Si es correcto, continuar el procedimiento

Conviene recordar que para llevar a cabo un proceso de firma electrnica debemos disponer de una aplicacin informtica que nos permita realizar esta funcionalidad.



22

Hay dos alternativas tecnolgicas para disponer de la funcionalidad de firma electrnica:

La funcionalidad de firma electrnica se logra a travs de una aplicacin informtica previamente instalada en nuestro equipo.

La funcionalidad de firma electrnica est incluida en el proceso general del prestador de servicios telemticos, por lo que no es necesario descargar e instalar ninguna aplicacin de firma electrnica.

Confirmacin por parte del organismo de la correcta recepcin del trmite.

El trmite administrativo se completa con la entrega por parte del Organismo receptor del formulario firmado con acuse de recibo. Aunque este trmite es ajeno al DNI electrnico, parece necesario que el prestador del servicio ofrezca garanta al ciudadano de la correcta realizacin del trmite efectuado. Dentro de unas buenas prcticas el prestador de servicios deber proporcionar al ciudadano un recibo indicando que su trmite ha sido aceptado.

El siguiente esquema muestra el protocolo a seguir entre las diferentes partes:

1. El Organismo Pblico (o Entidad Privada) confecciona el recibo para el trmite cumplimentado por el ciudadano

2. El Organismo Pblico (o Entidad Privada) firma el recibo

3. El recibo es firmado y sellado por una Tercera parte de confianza, denominada Autoridad de Sellos de Tiempo (que garantiza el instante exacto en el que un trmite fue aceptado por el prestador de servicios, y debe ser evidentemente una entidad externa a dicho prestador y reconocida en el mbito de la legislacin espaola)

4. Se enva al Ciudadano el recibo firmado y sellado

8. Verificacin

La Autoridad de Validacin es el componente que tiene como tarea suministrar informacin sobre la vigencia de los certificados electrnicos que, a su vez, hayan sido registrados por una Autoridad de Registro y certificados por la Autoridad de Certificacin.

La informacin sobre los certificados electrnicos revocados (no vigentes) se almacena en las denominadas listas de revocacin de certificados (CRL).

En la Infraestructura de Clave Pblica adoptada para el DNI electrnico, se ha optado por asignar las funciones de Autoridad de Validacin a entidades diferentes de la Autoridad de



23

Certificacin, a fin de aislar la comprobacin de la vigencia de un certificado electrnico de los datos de identidad de su titular.

As, la Autoridad de Certificacin (Ministerio del Interior Direccin General de la Polica) no tiene en modo alguno acceso a los datos de las transacciones que se realicen con los certificados que ella emite y las Autoridades de Validacin no tiene acceso a la identidad de los titulares de los certificados electrnicos que maneja, reforzando an ms si cabe- la transparencia del sistema.

Para la validacin del DNI electrnico se dispone de dos prestadores de Servicios de Validacin:

o Fbrica Nacional de Moneda y Timbre Real Casa de la Moneda, que prestar sus servicios de validacin con carcter universal: ciudadanos, empresas y Administraciones Pblicas.

o Ministerio de la Presidencia, que prestar los servicios de validacinal conjunto de las Administraciones Pblicas.

Adicionalmente, la Entidad Pblica Empresarial Red.es podra completar los servicios de validacin en un futuro prximo.

La prestacin de estos servicios de validacin se realiza en base a Online Certificate Status Protocol (OCSP), lo que, en esencia, supone que un cliente OCSP enva una peticin sobre el estado del certificado a la Autoridad de Validacin, la cual, tras consultar su base de datos, ofrece - va http - una respuesta sobre el estado del certificado.

El servicio de validacin est disponible de forma ininterrumpida todos los das del ao.

9. Seguridad

- Funciones de seguridad accesibles

Para hacer uso del DNI electrnico en los trminos expuestos anteriormente, ste provee las siguientes funciones de seguridad:

1. Autenticacin

La tarjeta DNIe dispone de distintos mtodos de autenticacin, mediante los que una entidad externa demuestra su identidad, o el conocimiento de algn dato secreto almacenado en la tarjeta. La correcta realizacin de cada uno de estos mtodos, permite obtener unas



24

condiciones de seguridad, que podrn ser requeridas para el acceso a los distintos recursos de la tarjeta.

Autenticacin de usuario (PIN)

La tarjeta DNIe soporta verificacin de usuario (CHV- Card Holder verification). Esta operacin es realizada comprobando el cdigo facilitado por la entidad externa a travs del correspondiente comando.

Cada cdigo CHV tiene su propio contador de intentos. Tras una presentacin vlida de PIN, el contador de reintentos correspondiente es automticamente puesto a su valor inicial (tpicamente = 3). El contador de intentos es decrementado cada vez que se realiza una presentacin errnea, pudiendo llegar a bloquearlo si el contador llega a cero. Es posible desbloquear un cdigo tras una correcta presentacin de la huella dactilar del usuario, que en este caso acta de cdigo de desbloqueo. A su vez estas presentaciones de huellas tienen su propio contador de intentos. Si el nmero de intentos de presentacin de huella dactilar se agota, no ser posible realizar la operacin de desbloqueo. Es posible cambiar el cdigo de CHV a un nuevo valor presentando el valor actual o presentando la huella dactilar.

El cdigo PIN es personal e intransferible, por tanto, nicamente debe ser conocido por el titular de la tarjeta en cuestin.

Autenticacin de usuarios mediante datos biomtricos

La tarjeta DNIe permite realizar una identificacin biomtrica del titular de sta, si bien esta funcin slo estar disponible en puntos de acceso controlados.

La aplicacin que accede al DNIe, una vez conocida la informacin sobre las huellas contenidas en la tarjeta, decide sobre que huella va a proceder a verificar, solicitando al portador que coloque el dedo adecuado. Tras obtener los datos biomtricos desde el dispositivo lector de huellas, presenta la informacin biomtrica a la tarjeta a travs del correspondiente comando. Tras las comprobaciones iniciales de condiciones de uso y seguridad, la tarjeta procede, mediante su algoritmo Match on Card, a evaluar la correspondencia entre la huella presentada y la referencia.

Si la evaluacin supera el umbral, la verificacin es correcta. En caso contrario, la tarjeta anota una presentacin errnea sobre esa huella devolviendo el nmero de intentos restantes.

Autenticacin de aplicacin



25

El propsito de este mtodo de autenticacin es que la entidad externa demuestre tener conocimiento del nombre y valor de un cdigo secreto. Para realizar esta autenticacin de aplicacin, se utiliza un protocolo de desafo-respuesta, con los siguientes pasos:

o La aplicacin pide un desafo a la tarjeta o La aplicacin debe aplicar un algoritmo a este desafo junto con el

correspondiente cdigo secreto y nombre de la clave o La tarjeta realiza la misma operacin y compara el resultado con los datos

transmitidos por la aplicacin. En caso de coincidir, considera correcta la presentacin para posteriores operaciones

Autenticacin mutua

Este procedimiento permite que cada una de las partes (tarjeta y aplicacin externa) confe en la otra, mediante la presentacin mutua de certificados, y su verificacin.

En el proceso, tambin se incluye el intercambio seguro de unas claves de sesin, que debern ser utilizadas para securizar (cifrar) todos los mensajes intercambiados posteriormente. Este servicio permite el uso de diferentes alternativas, que podrn seleccionarse implcitamente en funcin de la secuencia de comandos, o explcitamente, indicando su identificador de algoritmo en un comando de gestin de entorno de seguridad anterior (MSE).

Las dos opciones disponibles estn basadas en la especificacin CWA 14890-1 Application Interface for smart cards used as Secured Signature Creation Devices Part 1, y son las siguientes:

o Autenticacin con intercambio de claves (descrita en el captulo 8.4 de CWA 14890-1)

o Autenticacin de dispositivos con proteccin de la privacidad, (descrita en el captulo 8.5 de CWA 14890-1)

2. Securizacin de mensajes

La tarjeta DNIe permite la posibilidad de establecer un canal seguro entre el terminal y la tarjeta que securice los mensajes transmitidos. Para el establecimiento es necesaria la autenticacin previa del terminal y la tarjeta, mediante el uso de certificados. Durante la presencia del canal seguro los mensajes se cifran y autentican, de tal forma que se asegura una comunicacin una a uno entre los dos puntos originarios del canal.

El canal seguro puede ser requerido por la aplicacin o puede ser una restriccin de acceso impuesta a algn recurso de la tarjeta



26

Para el establecimiento del canal seguro, en primer lugar, se realiza un intercambio de las claves pblicas de la tarjeta y el terminal mediante certificados que sern verificados por ambas partes. A continuacin se realiza un protocolo de autenticacin mutua, con intercambio de semillas para la derivacin de una semilla comn que d lugar a las claves de sesin de cifrado y autenticado

Una vez concluido el protocolo para el establecimiento de la semilla comn todos los mensajes deben transmitirse securizados.

3. Desbloqueo y cambio de PIN

Se permite el cambio de PIN, mediante la presentacin del valor antiguo. Es posible tambin el cambio de PIN bajo determinadas condiciones tras la realizacin de una verificacin biomtrica.

Debido a la criticidad de esta operacin, el cambio de PIN se ha de realizar siempre en condiciones de mxima confidencialidad y en terminales especficamente habilitados a tal efecto o con las debidas condiciones de seguridad, exigindose por tanto, el establecimiento de un canal seguro.

El cambio de PIN, haciendo uso de la huella dactilar (desbloqueo), nicamente est permitido en dispositivos autorizados por la Direccin General de la Polica (DGP) y no se puede realizar, bajo ningn concepto, en otros terminales.

4. Funcionalidad criptogrfica

Claves RSA

La tarjeta DNIe es capaz de generar y gestionar claves RSA. La generacin de la pareja de claves RSA sigue el estndar PKCS#1 v1.5. Se usa el algoritmo Miller-Rabin como test de primalidad.

Hash

La tarjeta DNIe es capaz de realizar hash de datos con el algoritmo SHA1. Es posible realizar todo el proceso en la tarjeta o finalizar un hash calculado externamente. Despus de finalizar cualquier operacin de hash, el cdigo resultante es almacenado en la memoria de la tarjeta para ser usado posteriormente por un comando. El hash slo permanece en memoria hasta la siguiente operacin.

Firmas electrnicas



27

La tarjeta DNIe tiene capacidad para la realizacin de firmas electrnicas de dos modos diferentes:

o Modo rawo Modo relleno PKCS#1

5. Intercambio de claves

La operacin de intercambio de claves es usada para compartir claves simtricas o de sesin entre dos entidades. Es posible cifrar una clave Ks con la clave pblica de un destinatario, la cual puede ser cargada en la memoria de la tarjeta protegida mediante una clave RSA. El destinatario puede descifrar la clave Ks usando la clave privada RSA correspondiente.

6. Cifrado

La tarjeta puede realizar operaciones 3 DES CBC con claves de 16 bytes (k1, k2, k1). Para realizar operaciones 3DES en la tarjeta, la clave de 16 bytes de longitud debe ser cargada en memoria. El proceso de carga est protegido por algoritmo RSA. La clave permanece en memoria hasta que se finaliza la sesin con la tarjeta o se carga una nueva.

Aplicaciones de firma

Uno de los principales usos del DNI electrnico es la realizacin de firma electrnica. Para utilizar esta funcionalidad de firma, numerosas aplicaciones pueden ser empleadas, ya que stas acceden a las capas o mdulos intermedios de CSP y PKCS#11, que proporcionan un interfaz estndar de acceso a la tarjeta.

Es recomendable seguir los consejos y buenas prcticas que se describen en la direccin http://www.dnielectronico.es/Asi_es_el_dni_electronico/consejos.html

Requisitos de seguridad del entorno

Para el correcto y seguro funcionamiento de la tarjeta DNIe se han de utilizar los mdulos criptogrficos CSP y PKCS#11 que se encuentran en la direccin http://www.dnielectronico.es/descargas/index.html

Estos mdulos contienen lo necesario para establecer un entorno seguro en la operacin con el DNI electrnico y satisfacer los requisitos de seguridad aplicables al entorno de las tecnologas de la informacin descritos en el perfil de proteccin CWA 14169.



28

El DNI electrnico dispone de un Servicio de Atencin al Ciudadano, prestado por la Fbrica Nacional de Moneda y Timbre - Real Casa de la Moneda, de mbito universal (para todo tipo de usuarios) y para cualquier tipo de incidencia relativa al DNI electrnico.

GLOSARIO DE TRMINOS. DEFINICIONES

Activacin: es el procedimiento por el cual se desbloquean las condiciones de acceso a una clave y se permite su uso. En el caso de la tarjeta del DNIe el dato de activacin es la clave personal de acceso (PIN) y/o los patrones de las impresiones dactilares (biometra) Autenticacin: procedimiento de comprobacin de la identidad de un solicitante o titular de certificados de DNIe. Certificado electrnico: un documento firmado electrnicamente por un prestador de servicios de certificacin que vincula unos datos de verificacin de firma a un firmante y confirma su identidad. Esta es la definicin de la Ley 59/2003 que en este documento se extiende a los casos en que la vinculacin de los datos de verificacin de firma se hace a un componente informtico. Certificado reconocido: Certificado expedido por un Prestador de Servicios de Certificacin que cumple los requisitos establecidos en la Ley en cuanto a la comprobacin de la identidad y dems circunstancias de los solicitantes y a la fiabilidad y las garantas de los servicios de certificacin que presten, de conformidad con lo que dispone el captulo II del Ttulo II de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica. Certificados de Identidad Pblica: Emitidos como Certificados Reconocidos, vinculan una serie de datos personales del ciudadano a unas determinadas claves,

Al Servicio de Atencin al Ciudadano se puede acceder:

Por correo electrnico: [email protected] de carcter gratuito y prestado de forma permanente (24 horas al da, 7 das a la semana).

Por telfono: 902.364.444, con la tarificacin que tenga establecida cada operador de telefona y en horario de lunes a viernes de 8,00 a 19,00 horas, excepto de 2 de Mayo a 30 de Junio de 9:00h a 21:00h de L a V y de 9:00h a 14:00h los sbados y del 28 de Julio a 29 de Agosto que el horario es de 9:00h a 15:00h de L a V.

7. Servicio de Atencin al Ciudadano



29

para garantizar la autenticidad, integridad y no repudio. Esta informacin est firmada electrnicamente por la Autoridad de Certificacin creada al efecto. Ciudadano: toda persona fsica con nacionalidad espaola que solicita la expedicin o renovacin de un Documento Nacional de Identidad ante un funcionario de la Direccin General de la Polica Clave Pblica y Clave Privada: la criptografa asimtrica en la que se basa la PKI emplea un par de claves en la que lo que se cifra con una de ellas slo se puede descifrar con la otra y viceversa. A una de esas claves se la denomina pblica y se la incluye en el certificado electrnico, mientras que a la otra se la denomina privada y nicamente es conocida por el titular del certificado. Clave de Sesin: clave que establece para cifrar una comunicacin entre dos entidades. La clave se establece de forma especfica para cada comunicacin, sesin, terminando su utilidad una vez finalizada sta. Clave Personal de Acceso (PIN): Secuencia de caracteres que permiten el acceso a los certificados Datos de creacin de Firma (Clave Privada): son datos nicos, como cdigos o claves criptogrficas privadas, que el suscriptor utiliza para crear la Firma electrnica. Datos de verificacin de Firma (Clave Pblica): son los datos, como cdigos o claves criptogrficas pblicas, que se utilizan para verificar la Firma electrnica. Directorio: Repositorio de informacin que sigue el estndar X.500 de ITU-T. Dispositivo seguro de creacin de Firma: instrumento que sirve para aplicar los datos de creacin de firma cumpliendo con los requisitos que establece el artculo 24.3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica. Documento electrnico: conjunto de registros lgicos almacenado en soporte susceptible de ser ledo por equipos electrnicos de procesamiento de datos, que contiene informacin. Documento de seguridad: documento exigido por la Ley Orgnica 15/99 de Proteccin de Datos de Carcter Personal cuyo objetivo es establecer las medidas de seguridad implantadas, a los efectos de este documento, por la DGP como Prestador de Servicios de Certificacin, para la proteccin de los datos de carcter personal contenidos en los Ficheros de la actividad de certificacin que contienen datos personales (en adelante los Ficheros). Encargado del Tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que trate datos personales por cuenta del responsabledel tratamiento de los ficheros. Firma electrnica: es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin personal



30

Firma electrnica avanzada: es aquella firma electrnica que permite establecer la identidad personal del suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. Firma electrnica reconocida: es aquella firma electrnica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. Funcin hash: es una operacin que se realiza sobre un conjunto de datos de cualquier tamao, de forma que el resultado obtenido es otro conjunto de datos de tamao fijo, independientemente del tamao original, y que tiene la propiedad de estar asociado unvocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Funcin hash. Hash o Huella digital: resultado de tamao fijo que se obtiene tras aplicar una funcin hash a un mensaje y que cumple la propiedad de estar asociado unvocamente a los datos iniciales. Identificacin: procedimiento de reconocimiento de la identidad de un solicitante o titular de certificados de DNIe.Identificador de usuario: conjunto de caracteres que se utilizan para la identificacin unvoca de un usuario en un sistema. Jerarqua de confianza: Conjunto de autoridades de certificacin que mantienen relaciones de confianza por las cuales una AC de nivel superior garantiza la confiabilidad de una o varias de nivel inferior. En el caso de DNIe, la jerarqua tiene dos niveles, la AC Raz en el nivel superior garantiza la confianza de sus AC subordinadas. Listas de Revocacin de Certificados o Listas de Certificados Revocados: lista donde figuran exclusivamente las relaciones de certificados revocados o suspendidos (no los caducados). Mdulo Criptogrfico Hardware de Seguridad: mdulo hardware utilizado para realizar funciones criptogrficas y almacenar claves en modo seguro. Prestador de Servicios de Certificacin: persona fsica o jurdica que expide certificados electrnicos o presta otros servicios en relacin con la firma electrnica. Punto de Actualizacin del DNIe: Terminal ubicado en las Oficinas de Expedicin que permite al ciudadano de forma guiada, sin la intervencin de un funcionario, la realizacin de ciertas operaciones con el DNIe (comprobacin de datos almacenados en la tarjeta, renovacin de los certificados de Identidad Pblica, cambio de clave personal de acceso PIN - , etc.) Solicitante: persona que solicita un certificado para s mismo



31

Tercero Aceptante: persona o entidad diferente del titular que decide aceptar y confiar en un certificado emitido por DNIe. Titular: ciudadano para el que se expide un certificado de identidad pblica.

-o0o-

Documents

Guia de Referencia Basica v1 4