DNI electrónico / FNMT

Anuncio
DNI electrónico / FNMT
Máster en Economı́a Digital e Industrias Creativas
Miguel Vidal
Israel Herraiz
ETSIT, URJC
ETSICCP, UPM
Twitter: @mvidallopez
Twitter: @herraiz
7 de octubre de 2011
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
1 / 39
c 2011 Miguel Vidal, Israel Herraiz
Esta obra se distribuye bajo licencia
“Reconocimiento 3.0 España” de Creative Commons.
http://creativecommons.org/licenses/by/3.0/es
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
2 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
3 / 39
Certificados digitales
• Certificado digital, certificado de clave pública o certificado de
identidad.
• Una Autoridad de Certificación (CA) garantiza la vinculación entre la
identidad de un sujeto o entidad y una clave pública.
• Se usa para comprobar que una clave pública pertenece a un
individuo o entidad.
• El certificado necesita del uso de la clave privada (que sólo el titular
conoce).
• El certificado y la clave pública es información no sensible que puede
distribuirse a terceros.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
4 / 39
Certificados digitales
El certificado debe contener al menos:
• La identidad del propietario del certificado (identidad a certificar).
• La clave pública asociada a esa identidad.
• La identidad de la entidad que expide y firma el certificado.
• El algoritmo criptográfico usado para firmar el certificado.
Esta información se firma de forma digital por la autoridad emisora del
certificado.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
5 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
6 / 39
Marco legal
• La Directiva europea 1999/93/CE del PE y del CE establece un
marco regulatorio para la firma electrónica.
• Certificado reconocido (qualified certificate): el certificado que cumple
los requisitos establecidos en la Directiva.
• Ley 59/2003, de 19 diciembre, de Firma Electrónica.
• Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los
Datos de Carácter Personal.
• REAL DECRETO 1553/2005, de 23 de diciembre, por el que se
regula la expedición del documento nacional de identidad y sus
certificados de firma electrónica
• REAL DECRETO 1586/2009, de 16 de octubre, por el que se
modifica el R.D- 1553/2005.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
7 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
8 / 39
Qué es el DNI electrónico (DNIe)
• Documento que acredita fı́sica y digitalmente la identidad personal de
su titular y permite la firma electrónica de documentos.
• Emitido por la Dirección General de la Policı́a (Ministerio del Interior)
desde 2006.
• Cambia su soporte tradicional (cartulina plastificada) por una tarjeta
de material plástico, dotada de nuevas y mayores medidas de
seguridad.
• Su principal novedad es un pequeño circuito integrado (chip).
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
9 / 39
El chip del DNIe
• El chip contiene la misma información impresa, más los certificados
digitales (con su par de claves cada uno).
• Las claves privadas van protegidas por un PIN generado
aleatoriamente.
• La DGP ejerce de CA (Autoridad Certificadora).
• La FNMT es la Autoridad de Validación (informa de la vigencia de los
certificados electrónicos reconocidos por una CA).
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
10 / 39
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
11 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
12 / 39
¿Para qué sirve el DNIe?
• Acreditar electrónicamente y de forma indubitada la identidad de la
persona para realizar cualquier tipo de trámite.
• Firmar digitalmente documentos electrónicos, otorgándoles una
validez jurı́dica equivalente a la firma manuscrita.
• Comprobar la identidad y la integridad de un documento firmado.
• Se garantiza el compromiso del titular con la firma realizada (garantı́a
de “no repudio”).
• No se contempla el uso de cifrado. Solo firma y autenticación
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
13 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
14 / 39
Conceptos a diferenciar
• Claves públicas y privadas
• Certificados
• PIN
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
15 / 39
Claves públicas y privadas del DNIe
• La clave privada se genera dentro del chip por un procesador que
incorpora la tarjeta y nunca abandona el chip.
• La clave pública se da a conocer al interlocutor en la transacción
telemática.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
16 / 39
Certificados del DNIe
Con el DNI electrónico se obtienen dos certificados:
• El Certificado de autenticación (Digital Signature): para acreditar la
identidad. Este certificado lleva una clave privada asociada.
• utilizado para generar mensajes de autenticación (confirmación de la
identidad)
• acceso seguro a sistemas informáticos
• El Certificado de firma: permiten firmar trámites y documentos
mediante generación de ”firma electrónica reconocida”.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
17 / 39
Detalles de los certificados del DNIe
• Los certificados del DNIe caducan (30 meses) y pueden ser revocados
en cualquier momento.
• La activación de estos certificados tiene carácter voluntario (RD
1553/2005, de 23 de diciembre).
• Certificado X509v3 estándar, con el bit de ContentCommitment (No
Repudio) activo.
• Utiliza para firmar SHA1.
• Usa claves RSA de 2048 bits.
• Un fichero CDF (Certificate Directory File) contiene los datos públicos
de la tarjeta, accesibles vı́a comandos APDU (ISO/IEC 7816).
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
18 / 39
El PIN del DNIe
• EL PIN es la contraseña que protege la información contenida en la
tarjeta (los certificados y las claves privadas y públicas)
• El PIN es generado aleatoriamente (“sobre ciego”) y puede ser
cambiado por el usuario.
• Permite también autorizar la función de firma.
• No debe confundirse el PIN con las claves (privadas o públicas) del
DNIe.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
19 / 39
Parte hardware
El DNI electrónico requiere el siguiente equipamiento fı́sico:
• Un ordenador personal
• Un lector de tarjetas inteligentes que cumpla el estándar ISO-7816.
Distintas implementaciones
fı́sicas de la tarjeta:
• integradas en el teclado
• externas (vı́a USB)
• interfaz PCMCIA
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
20 / 39
Parte software
• Distintos sistemas operativos (Unix, Linux, MacOS, Windows)
• Navegadores (Firefox, Explorer)
• Controladores / Módulos criptográficos (CSP –Windows– o
PKCS#11 –Unix/Linux/Mac–)
Software para Linux/Unix:
http://www.dnielectronico.es/descargas/PKCS11_para_Sistemas_Unix/
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
21 / 39
¿Es seguro el DNIe?
• Hay debate al respecto.
• Los datos (nombre, apellidos, unidad de expedicion, nacionalidad y
DNI) se pueden sacar del Certificate Directory File mediante
comandos APDU.
• Si se tiene el DNIe en el lector de tarjetas, cualquier applet puede
acceder a esos datos (los datos de la parte “pública” de la tarjeta).
• Infraestructura PKI: nunca se puede acceder a la clave privada.
• Internet es un medio inherentemente inseguro: podrı́a estar expuesto
a vulnerabilidades SSL (robo de sesión), pero como cualquier otro
certificado o sesión SSL.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
22 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
23 / 39
OpenDNIe
• Proyecto para desarrollar un módulo pkcs#11 bajo licencia LGPL.
• Liderado por CENATIC (Ministerio de Industria).
• Colaboran desarrolladores particulares y tiene el apoyo de la DGP y de
la Guardia Civil.
http://forja.cenatic.es/projects/opendnie
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
24 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
25 / 39
Casa de la Moneda
• FNMT-RCM: Fábrica Nacional de Moneda y Timbre - Real Casa de
la Moneda.
• Entidad pública, adscrita al Ministerio de Economı́a y Hacienda.
• Nace en 1893, al fusionarse la Casa de la Moneda y la Fábrica del
Sello.
• Dedicada a la fabricación de monedas, billetes, papel moneda,
timbres, documentos oficiales y prestador de servicios de certificación.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
26 / 39
FNMT-RCM
• La FNMT-RCM, a través de su departamento CERES (CERtificación
ESpañola) ofrece certificados electrónicos para su uso (no exclusivo)
ante las AA.PP.
• El certificado FNMT es de Clase 2CA.
• La obtención del certificado electrónico de usuario es gratuita.
• La entidad cuenta con unos 2.5M de certificados activos vigentes
(oct. 2011).
• Tiene una validez de 3 años (2 años si es una entidad jurı́dica).
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
27 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
28 / 39
Certificados de FNMT
CERES emite los certificados de la FNMT-RCM en dos soportes:
• FNMT Certificado de Usuario en software
• Certificado de usuario en Tarjeta Criptográfica
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
29 / 39
Certificados FNMT - Software
• Se usa directamente en cualquier navegador web.
• No precisa ningún hardware extra.
• Pueden hacerse backups.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
30 / 39
Certificados en Tarjeta Criptográfica
• Los certificados de la FNMT se pueden almacenar
y usar desde una tarjeta criptográfica.
• Los certificados se generan en la tarjeta.
• Más seguro que la solución software, pues no se
pueden copiar y nunca salen de la tarjeta.
• El chip dificulta técnicas de criptoanálisis, fuerza
bruta o análisis diferencial.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
31 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
32 / 39
Cómo funciona un certificado FNMT por software
1. Al solicitar un certificado de usuario, el navegador genera un par de
claves.
2. La clave privada se guarda en el navegador y la clave pública se envı́a
a la FNMT-RCM.
3. La FNMT-RCM asigna un código de solicitud a esa clave que es
remitido vı́a web.
4. Entonces hay que personarse en una oficina de acreditación con el
DNI y dicho código.
5. Finalmente, tras la acreditación, se procede a la descarga del
certificado vı́a web. Este quedará instalado en el navegador.
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
33 / 39
Obtención de un certificado FNMT-RCM
1. Descarga del Certificado Raı́z de la FNMT-RCM (en la web de la
FNMT(*))
2. (Opcional) En caso de disponer de lector de tarjetas:
2.1 Instalación de los drivers del lector.
2.2 Instalación del software incluido junto a la tarjeta criptográfica.
3. Solicitud de Certificado de Usuario (en la web de la FNMT)
4. Acreditación de la identidad (fı́sicamente en una oficina de registro
como la SS o AEAT)
5. Descarga del Certificado (en la web de la FNMT)
(*) http://www.cert.fnmt.es
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
34 / 39
Índice
Conceptos generales
Qué son los certificados digitales
Marco legal
DNI electrónico (DNIe)
Qué es el DNI electrónico
¿Para qué sirve el DNIe?
Claves y certificados
OpenDNIe
Certificados de la FNMT
FNMT-RCM
Certificados de FNMT
Cómo funciona un certificado FNMT
Ejemplo de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
35 / 39
Firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
36 / 39
Verificación de firma digital
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
37 / 39
Referencias
• Web de la FNMT (Proyecto CERES): http://www.cert.fnmt.es
• Portal oficial del DNI electrónico (DGP):
http://www.dnielectronico.es
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
38 / 39
DNI electrónico / FNMT
Máster en Economı́a Digital e Industrias Creativas
Miguel Vidal
Israel Herraiz
ETSIT, URJC
ETSICCP, UPM
Twitter: @mvidallopez
Twitter: @herraiz
7 de octubre de 2011
Miguel Vidal / Israel Herraiz
DNI electrónico / FNMT
01/10/2011
39 / 39
Descargar