Juan CrespoInspector Jefe del Cuerpo Nacional de Policía.Área de Informática.

Las Cédulas Personales fueron el origen de los documentos de identidad en España.

Estas cédulas eran expedidas por la Diputaciones Provinciales

Las Cédulas Personales fueron el origen de los documentos de identidad en España.

Estas cédulas eran expedidas por la Diputaciones Provinciales

19311931

1937193719411941

Origen y Evolución del Documento deIdentidad Español

1985198519441944

anverso

reverso

19901990

Origen y Evolución del Documento deIdentidad Español

Cada año se expiden + 6 millones de DNI

Acredita física y electrónicamente la identidad y permite la firma electrónica de documentos.

Origen y Evolución del Documento deIdentidad Español

• Seguridad del CHIP.

• Seguridad de la Tarjeta Soporte

• Seguridad en las Comunicaciones.

• Seguridad de la Infraestructura de Clave Pública.

• Seguridad en el Registro y Expedición.

La seguridad en el DNIe

CC EAL 5+. El componente ha sido Certificado por el esquema francés de evaluación y certificación de las Tecnologías de la Información.

CC EAL 4+ SOFT HIGH. – La mascara ha sido Certificada como CommonCommon Criteria EAL 4+ SOFT HIGH Criteria EAL 4+ SOFT HIGH según el Perfil de Protección europeo para tarjetas inteligentes. Por el esquema de Certificacion Nacional. (CCN/CNI)

CWA 14169 –3. SSCD. Dispositivo Seguro de Creación de Firma.

CWA 14.890. - Autenticación Mutua de Dispositivo.

Sistema de Expedición. Acreditación por el Organismo Nacional de Certificación.

Seguridad del CHIPSeguridad del CHIP

•• Fuente del componenteFuente del componente– Proveniente de dos suministradores (doble fuente)

•• Estructura en tres zonasEstructura en tres zonas– Zona pública

• ¿?

– Zona privada• Acceso mediante palabra de paso (autenticación y firma)

– Zona restringida• Acceso mediante verificación biométrica (renovación)

Componente electrónico

Contenido del chipContenido del chip

Contenido:• Certificado de autenticación y Claves asociadas• Certificado de firma y Claves asociadas.• Certificado de la autoridad de certificación emisora.• Datos de filiación del ciudadano.• Imagen de la fotografía.• Imagen de la firma manuscrita.• Plantilla de la impresión dactilar.• Aplicación de Match On Card.

Toda la información está firmada por la Arquitectura de certificación del DNI para garantizar su Integridad y su Autenticidad.

Primer NivelPrimer NivelPerceptibles a simple vista

Hologramas / KinegramasTinta OVIImagen láser cambiante (CLI)Letras táctilesEstructuras superficiales en relieve

Segundo NivelSegundo NivelPerceptibles mediante equipos mecánicos y electrónicos

Tintas reactivas UV MicrotextoFondo de Seguridad (Guilloches)Imágenes codificadas

Tercer NivelTercer NivelPerceptibles en laboratorio

Medidas criptográficas y biométricas integradas en el chip.

Seguridad de la Tarjeta SoporteSeguridad de la Tarjeta Soporte

Chip criptográfico• Para autenticación mediante

comparación biométrica almacenada en el chip

• Datos criptografiados

Chip criptogrChip criptográáficofico• Para autenticación mediante

comparación biométrica almacenada en el chip

• Datos criptografiados

Imagen láser cambiante (CLI)• Elementos de información diferentes y específicos

combinados en una estructura grabada a láser.• Fotografía MLI

Imagen lImagen lááser cambiante (CLI)ser cambiante (CLI)• Elementos de información diferentes y específicos

combinados en una estructura grabada a láser.• Fotografía MLI

Fotografía• Grabada con tecnología láser en

el interior de la Tarjeta• Protección contra falsificación• Integración de la imagen en el

fondo impreso de la tarjeta.• Borde del retrato superpuesto y

fondo de seguridad

FotografFotografííaa• Grabada con tecnología láser en

el interior de la Tarjeta• Protección contra falsificación• Integración de la imagen en el

fondo impreso de la tarjeta.• Borde del retrato superpuesto y

fondo de seguridad

Holograma /Kinegrama• Estructura holográfica diseñada artísticamente• Protegido por un overlay de 100 nm.

Holograma /Holograma /KinegramaKinegrama• Estructura holográfica diseñada artísticamente• Protegido por un overlay de 100 nm.

Tintas UV / IR• Sólo visibles con luz ultravioleta o infrarroja• Tintas Fluorescentes

Tintas UV / IRTintas UV / IR• Sólo visibles con luz ultravioleta o infrarroja• Tintas Fluorescentes

Estructura de superficie• Guilloches y microimpresión• Fácil verificación visual y táctil

Estructura de superficieEstructura de superficie• Guilloches y microimpresión• Fácil verificación visual y táctil

Tintas OVI• Impresión con cambio de colorTintas OVITintas OVI• Impresión con cambio de color

ELEMENTOS DE SEGURIDAD

Fondo de Seguridad• Formas de guilloches que pueden incorporar

logotipos• Impresión irisada

Fondo de SeguridadFondo de Seguridad• Formas de guilloches que pueden incorporar

logotipos• Impresión irisada

DNIe: MATERIALES

Policarbonato (I)

• Es especialmente adecuado para la personalización por láser.• Se compone de un núcleo que ha de ser protegido con un

laminado.• Es casi imposible la manipulación de los datos.• No es recomendable para personalización mediante

sublimación de color.• Adecuado para documentos de identidad que requieran larga

duración.

DNIe: MATERIALES

Policarbonato (II)

• Características:– Material compuesto de gran seguridad.– Altamente estable contra impactos.– Resiste muy bien el desgaste provocado por los lectores.– Ofrece un gran contraste para impresiones de seguridad– Muy resistente a la luz ultravioleta.

• Actualmente, ya se ha introducido en muchos países como material para grabado láser de documentos de alta seguridad.

1 OVERLAY POLICARBONATO 150 MICRAS Preparado para CLI y gofrado2 OVERLAY POLICARBONATO CON KINEGRAMA 100 MICRAS Kinegrama

3 NÚCLEO POLICARBONATO 500 MICRASImpresión en Iris, tintas UV y tinta OVI en anverso. Tintas UV (amarilla) e impresión en Iris en reverso

4 OVERLAY POLICARBONATO 50 MICRAS

DNIe: MATERIALES

Estructura de capas

•• Autoridad de CertificaciAutoridad de Certificacióón Ran Raíízz– Funcionamiento en off-line– Ubicación física en centro del C.N.P. con nivel de seguridad 7.

•• Autoridades de CertificaciAutoridades de Certificacióón Subordinadan Subordinada– Multitecnología y replicadas en un centro espejo

•• Autoridad de Registro asociadaAutoridad de Registro asociada– Autenticación de operadores de registro

•• HW criptogrHW criptográáfico de la CA Rafico de la CA Raíízz– Almacenamiento de las claves de la Autoridad Raíz.

•• HW criptogrHW criptográáfico servidor de clavesfico servidor de claves– Proporciona funciones seguras de firma, almacenamiento, generación,

clonación, migración, administración y custodia de claves.

•• Servicios de ValidaciServicios de Validacióónn– Validación de los Certificados vía OCSP.

COMPOSICIÓN

Infraestructura de Clave Pública

- ETSI TS 102 042. Policy requirements for certification authorities issuing public key certificates. En lo relativo a las prácticas de certificación.

- ETSI TS 101 456. Policy requirements for certification authorities issuing qualified certificates. En lo relativo a las prácticas de certificación.

- ETSI TS 101 862. Para la definición del Perfil como certificado Reconocido (Qualified Certificate profile).

- CWA 14167-1. En lo relativo a la seguridad del sistema de certificación.

- CWA 14172-1-2-3. EESSI Conformity Assessment Guidance. Para la verificación del cumplimiento de los requisitos de emisión de los certificado.

EstEstáándares Aplicablesndares Aplicables

- Servicio de Registro.- Servicio de Generación de Certificados.- Servicio de Provisión de Dispositivos.- Servicio de Diseminación.- Servicio de Gestión de Revocación.- Servicio de Consulta sobre el Estado de

Revocación. (Externalizado)- Servicio de Time Stamping.

Prestadores de Servicios de Certificación – CWA 14167

Infraestructura Infraestructura de PKIde PKI

Algoritmia y Claves.Algoritmia y Claves.••RaRaííz: 30 Az: 30 Añños.os.

Certificado Autofirmado con SHA1 y SHA256.Claves RSA 4096.

••Subordinadas: 15 ASubordinadas: 15 AññososCertificados firmados con SHA1 y SHA256.Claves RSA 2048

••Ciudadano: 30 Meses.Ciudadano: 30 Meses.Certificados firmados con SHA1.Claves RSA 2048.Utiliza para firmar SHA1.Key Usage: Autenticación (Digital Signature)

Firma o Sin Repudio (ContentCommitment )

Servicio Generación Certificados: AC Raíz

Sistema de PKI

AutoridadC

ertificación

AutoridadValidación

AutoridadR

egistro

Grupo de Certif.Subordinado 1

Aplicación de Control

Sistema de Expedición

Capa de negocio

Capa de acceso

AR Sub. 1

Nodo1

NodoN

AC Sub. 1

Nodo1

NodoN

Grupo de Certif.Subordinado 6

AR Sub. 6

Nodo1

NodoN

AC Sub. 6

Nodo1

NodoN

ACRaízNodo

1

AV

Nodo1

NodoN

HSM

Resto de subsistemas (Aplicación Central de Expedición del DNI, Centros de Expedición…)

updater

A. CRLIndirecta

BDInformix (LDAP)

Directorio

HSMHSMHSM

ACRaíz

Nodo1

HSMBD

Informix

Funcionamiento en modo desconectado (off-line), sin ninguna conexión con otro subsistema, excepto con el HSM, para lo que se utilizará una conexión directa.

Servicio Generación Certificados: Grupos de Certificación Subordinados

Sistema de PKI

Autoridad

Certificación

AutoridadValidaciónA

utoridadR

egistroGrupo de Certif.Subordinado 1

Aplicació n de Control

Sistema de Expedición

Capa de negocio

Capa de acceso

AR Sub. 1

Nodo1

NodoN

AC Sub. 1

Nodo1

NodoN

Grupo de Certif.Subordinado 6

AR Sub. 6

Nodo1

NodoN

AC Sub. 6

Nodo1

NodoN

ACRaízNodo

1

AV

Nodo1

NodoN

HSM

Resto de subsistemas (Aplicació n Central de Expedició n del DNI, Centros de Expedición…)

updater

A. CRLIndirecta

BDInformix (LDAP)

Directorio

HSMHSMHSM

Grupo de Certif.Subordinado

AR Sub.

Nodo1

NodoN

AC Sub.

Nodo1

NodoN

HSM

A. CRLIndirecta

BDInformix (LDAP)

Directorio

HSM

HSM

Autoridad de Autoridad de PublicaciPublicacióón de n de

Certificados Certificados RevocadosRevocados

Sistema Prepersonalización

FNMT

Certificados X 509- No repudio

- Autenticación

Puesto de ExpediciónDNIe

Autoridad Certificación Raíz del DNIe

ACsProducción

DNIeAC Intermedia

Terminales (IFD)

Certificado CV(TIP)

Certificado CVAC Intermedia

Certificado X 509AC Subordinada

Certificado X509AC Subordinada

Certificado X 509ICC

Certificado X 509AC.Sub

Autoridad Certificación Raíz de Componentes

eDNI

ACs Sub. Componente (ICC) FNMT

Sistema PersonalizaciónTIP (CNP)

Certificados X 509AC Sub

TIP

Certifcado X509ICC

Certificados X 509- Autenticación- No repudio- Cifrado

Aplicación de Personal

Autoridad Certificación Raíz del C.N.P.

Certificado X 509AC Subordinada

ACs Producción Funcionarios

TIF

Jerarquía de Certificación DNIe

• El operador se autenticarautenticaráá con su certificadocon su certificado en el sistema.

•• AutenticaciAutenticacióón Mutuan Mutua (CWA 14890) de la tarjeta del DNIe (chip) con el equipo de registro.

•• GeneraciGeneracióón del par de clavesn del par de claves.•• PeticiPeticióón de certificadosn de certificados firmada por el operador.•• Carga de los certificadosCarga de los certificados en la tarjeta.•• Registro de las operacionesRegistro de las operaciones realizadas.

Registro y expedición

La Renovación de los Certificados y el desbloqueo del PIN se podrá realizar ante el operador o en los Puesto de Actualización del DNIe (PAD), equipos seguros en un entorno controlado

Mediante proceso de reconocimiento mutuo tarjeta-equipo, se podrán realizar las siguientes operaciones:

- Comprobación de fecha de caducidad del DNIe.- Comprobación fecha de caducidad de los certificados.- Expedición de nuevos certificados y generación de nuevas claves. (RENOVACIÓN)- Revocación de los certificados.- Cambio o desbloqueo de palabra de paso. (PIN)- Verificar y visualizar el contenido del chip.

Como medida de seguridad para la renovación se requerirá la comprobación biométrica de la identidad mediante la impresión dactilar.

Puesto de Actualización del DNIe

• Robo o Extravió:– Denuncia en Comisarías del Cuerpo Nacional de

Policía.– Personación en los equipos del DNI.– Denuncia ante resto de Fuerzas y Cuerpos de

Seguridad del Estado.• Voluntario:

– Personación en los Puestos de Expedición.– Puesto de Actualización del DNI.

Revocación

• Desbloqueo del PIN.• Renovación de certificados.• Verificación de identidad.• Primer proyecto con varios proveedores de biometría

ISO y 100% interoperables

• ISO 19.785, ISO 19.794-2 (Para formatos de cabecera y datos de referencia)

• ISO 7816-4, ISO 7816-11 (Para comandos en la tarjeta)

Usos de la biometría en el DNIe

• Match Off Card– Es mas sencillo de implementar.– No se debe utilizar como condición de acceso en la tarjeta.– Es necesario portar el algoritmo por separado.

• Match On Card– El sistema es auto-contenido.– Se puede incluir en la política de seguridad de la Tarjeta.– Garantiza la pivacidad de los datos de referencia.– Único sistema que puede ser usado para garantizar que en el

momento de la entrega de la tarjeta, no existe suplantación de identidad.

“Match On Card” vs “Match Off Card”

... ClientApplication

RTF,HTML,PDF

XML

Firma plugin / applet(PKCS#7 / XML)

E-Mail (S/MIME)Web (SSL)Logon

(Kerberos)

PC/SC DriversMicrosoft Resource Manager

DNIe PKCS#11

Netscape Internal PKCS#11

Netscape Internal Services

RSA BaseCSP

DNIeCSP

CryptoAPI

Authenticode

Entorno de Uso

Campos del Campos del Certificado del Certificado del

CiudadanoCiudadano

Algoritmo: RSA EncryptionLongitud: 2048 bits7. Subject Public Key Info

CN=APELLIDO1 APELLIDO2, NOMBRE (AUTENTICACIÓN)GN=NOMBRESN=APELLIDO1NÚMERO DE SERIE=DNI (con letra)C=ES

6. Subject

30 meses5. Validez

CN=AC DNIE XXXOU=DNIEO=DIRECCION GENERAL DE LA POLICIAC=ES

4. Issuer DistinguishedName

sha1withRsaEncryptionsha256withRsaEncryption3. Signature Algorithm

No secuencial2. Serial Number

V31. Versión

Campos de X509v1

CRÍTICACONTENIDO CAMPO

Campos del Campos del Certificado del Certificado del

CiudadanoCiudadano

No se utilizará5. privateKeyUsagePeriod

No se utilizará4.extKeyUsage

0CRL Signature

0Key Certificate Signature

0Key Agreement

0Data Encipherment

0Key Encipherment

0Non Repudiation

1Digital Signature

SI (RFCs3280 y 3739)

3. KeyUsage

NO (RFC 3280)

Función de hash SHA-1 sobre la clave pública de la AC emisora (AC subordinada). NO SE incluye la identificación del certificado de la AC emisora (en este caso, DN de la AC Raíz, número de serie de la AC Subordinada).

2. Authority Key Identifier

NO (RFC 3280)

Función hash SHA-1 sobre la clave pública del sujeto.

1. Subject Key Identifier

Extensiones de X509v3

No se utilizará2. subjectUniqueIdentifier

No se utilizará1. issuerUniqueIdentifier

Campos de X509v2

Campos del Campos del Certificado del Certificado del

CiudadanoCiudadano

NO (RFC 3280)

dateOfBirth10. Subject DirectoryAttributes

No se utilizará9. Issuer AlternateNames

No se utilizará8. Subject AlternateNames

NOid-etsi-qcs-QcComplianceid-etsi-qcs-QcSSCDqcStatements

7.Policy Mappings

No se utilizaráNotice Reference

http://www.dnie.es/dpcURL CPS

OID asociado a la DPC o PC de certificado de firma de ciudadano. A determinar, perteneciente a la estructura de OIDs de ISO/ITU-T España (2.16.724.1.2.2.2.4)

Policy IdentifierNO

6. Certificate Policies

Campos del Campos del Certificado del Certificado del

CiudadanoCiudadano

NOHash SHA256 de los datos biográficos (datos impresos en el DNI-e).

20. personalDataInfo(2.16.724.1.2.2.4.1)

NO (RFC 3739)

Hash SHA256 de los datos biométricos:•firma manuscrita•foto •huella de dos dedos

19. BiometricInfo

No procede18. netscapeComment

No procede17. netscapeCAPolicyURL

No procede16. netscapeRevocationURL

No se utilizará15.netscapeCertType

NO (RFC 3280)

OCSP: http://ocsp.dnie.es:puertoCA: http://www.dnie.es/certs/ACRaiz.crt

14. Auth. InformationAccess

No utilizado13. CRLDistributionPoints

No utilizado12. Policy Constraints

No utilizadoPath Length Constraint

Entidad FinalSubject Type SI

11. Basic Constraints

•• AutenticaciAutenticacióón.n.•• Firma.Firma.•• Cadena de Confianza.Cadena de Confianza.•• ValidaciValidacióón.n.

Usabilidad

Firma con el DNIeFirma con el DNIe

AutenticaciAutenticacióón con el DNIen con el DNIe

Cadena de ConfianzaCadena de Confianza

-- Certificados del Ciudadano.Certificados del Ciudadano.

-- Certificado de la Autoridad de CertificaciCertificado de la Autoridad de Certificacióón emisora.n emisora.

-- Certificado de la Autoridad de CertificaciCertificado de la Autoridad de Certificacióón Ran Raíízz

httphttp://://www.dnie.eswww.dnie.es//certscerts//ACRaiz.crtACRaiz.crt

ValidaciValidacióónn

-- La Ley 59/2003, de firma electrLa Ley 59/2003, de firma electróónica, nica, artartºº 18. d).18. d).

-- Prestadores de Servicios de ValidaciPrestadores de Servicios de Validacióón:n:

-- F. N. M. T. F. N. M. T. –– R. C. M.R. C. M. Prestador Universal.Prestador Universal.

-- M. A. P.M. A. P. Sector PSector Púúblico.blico.

-- M. I. T. y C.M. I. T. y C. EmpresasEmpresas

-- A. E. A. T.A. E. A. T. Auto ConsumidorAuto Consumidor

-- T. G. S. S.T. G. S. S. Auto ConsumidorAuto Consumidor

Verificación de certificados vía OCSP (On-line Certificate Status Protocol).

- Nº Serie del certificado- Id. de la CA.

Respuesta OCSP

{ BuenoRevocadoDesconocido

Cliente OCSP

Servidor OCSP

-Nº Serie del certificado- Id. de la CA.- Estado del certificado

Empresa / Organismo

Prestador de Servicios de Validación

ValidaciónFirmas App 1

CRLPROBLEMAS•Múltiples integraciones (por aplicación y por autoridad)•Incremento de tráfico•Dificultad de gestión•Incremento de Coste (tarifas por validación)

OCSPReq A

Req B

Req C

PORTAL

•Generalitat Valenciana (ACCV). •Fábrica Nacional de Moneda y Timbre (FNMT).•Agéncia Catalana de Certificació (CATCert). •ANF Autoridad de Certificación (ANF AC). •AC Camerfirma.•Ziurtapen eta serbitzu enpresa, IZENPE. •DNI electrónico (Dirección General de la Policía)

Plataforma Validación

App 1

CRLREQUISITOS•Conocimiento de donde validar en función del certificado•Soporte de múltiples métodos de validación (CRL, OCSP)•Soporte de múltiples estándares (ASN1, XML, PKCS…)•Caché de validaciones para reducir costes y tráfico•Parseo para devolver datos del certificado (p.e. DNI)

OCSPReq A

Req B

Req C

PORTAL

•Fábrica Nacional de Moneda y Timbre (FNMT). •Generalitat Valenciana (ACCV). •Agéncia Catalana de Certificació (CATCert). •ANF Autoridad de Certificación (ANF AC). •AC Camerfirma. •Ziurtapen eta serbitzu enpresa, IZENPE. •DNI electrónico (Dirección General de la Policía)

ProtecciónNegocio

Control AccesoHTTP Servers

APPServer

HSMTimeStamp

RecursosBackEnd

DB

DB

DB

SOAAPPS

eAS/TSPeAS/TSPPolíticasABAC

PolíticasABAC

A

HTTP Servers

A

ProtecciónPerímetro

Consumidores

Clientes

HTML

SOAAplicaciones

Clientes

XML

DB

DB

ARQUITECTURA

DE

SEGURIDAD

DNIe: Servicio de Atención a Usuarios

Servicio permanente: 24 horas al día, los 7 días de la semana.• Atiende cualquier tipo de incidencia relacionada con el DNI electrónico• Sirve para todos los Prestadores de validación: (MAP, RED.es, FNMT, AEAT, TGSS)

D6N I - I N D

sac@dnielectronico.es

9 0 0 4 6 343 6

Oficina técnica e-mail: oficinatecnica@dnielectronico.es

Universal y Gratuito

Usos del D. N. I.

Usos del D. N. I.

Futuro ??•• Interoperabilidad a nivel Europeo. (MAP Interoperabilidad a nivel Europeo. (MAP –– CNP).CNP).•• IncorporaciIncorporacióón del DNIe en todos los procesos de negocio.n del DNIe en todos los procesos de negocio.•• Convenios con Convenios con otros Organismosotros Organismos•• Perfiles de ProtecciPerfiles de Proteccióón de Aplicaciones que usan el DNIen de Aplicaciones que usan el DNIe•• UtilizaciUtilizacióón de aplicaciones Certificadas.n de aplicaciones Certificadas.•• Desarrollos para nuevos dispositivos.Desarrollos para nuevos dispositivos.•• ……

Gracias

oficinatecnica@dnielectronico.es

Juan.Crespo@policia.es