DNI electrónico / FNMT Máster en Economı́a Digital e Industrias Creativas Miguel Vidal Israel Herraiz ETSIT, URJC ETSICCP, UPM Twitter: @mvidallopez Twitter: @herraiz 7 de octubre de 2011 Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 1 / 39 c 2011 Miguel Vidal, Israel Herraiz Esta obra se distribuye bajo licencia “Reconocimiento 3.0 España” de Creative Commons. http://creativecommons.org/licenses/by/3.0/es Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 2 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 3 / 39 Certificados digitales • Certificado digital, certificado de clave pública o certificado de identidad. • Una Autoridad de Certificación (CA) garantiza la vinculación entre la identidad de un sujeto o entidad y una clave pública. • Se usa para comprobar que una clave pública pertenece a un individuo o entidad. • El certificado necesita del uso de la clave privada (que sólo el titular conoce). • El certificado y la clave pública es información no sensible que puede distribuirse a terceros. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 4 / 39 Certificados digitales El certificado debe contener al menos: • La identidad del propietario del certificado (identidad a certificar). • La clave pública asociada a esa identidad. • La identidad de la entidad que expide y firma el certificado. • El algoritmo criptográfico usado para firmar el certificado. Esta información se firma de forma digital por la autoridad emisora del certificado. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 5 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 6 / 39 Marco legal • La Directiva europea 1999/93/CE del PE y del CE establece un marco regulatorio para la firma electrónica. • Certificado reconocido (qualified certificate): el certificado que cumple los requisitos establecidos en la Directiva. • Ley 59/2003, de 19 diciembre, de Firma Electrónica. • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal. • REAL DECRETO 1553/2005, de 23 de diciembre, por el que se regula la expedición del documento nacional de identidad y sus certificados de firma electrónica • REAL DECRETO 1586/2009, de 16 de octubre, por el que se modifica el R.D- 1553/2005. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 7 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 8 / 39 Qué es el DNI electrónico (DNIe) • Documento que acredita fı́sica y digitalmente la identidad personal de su titular y permite la firma electrónica de documentos. • Emitido por la Dirección General de la Policı́a (Ministerio del Interior) desde 2006. • Cambia su soporte tradicional (cartulina plastificada) por una tarjeta de material plástico, dotada de nuevas y mayores medidas de seguridad. • Su principal novedad es un pequeño circuito integrado (chip). Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 9 / 39 El chip del DNIe • El chip contiene la misma información impresa, más los certificados digitales (con su par de claves cada uno). • Las claves privadas van protegidas por un PIN generado aleatoriamente. • La DGP ejerce de CA (Autoridad Certificadora). • La FNMT es la Autoridad de Validación (informa de la vigencia de los certificados electrónicos reconocidos por una CA). Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 10 / 39 Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 11 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 12 / 39 ¿Para qué sirve el DNIe? • Acreditar electrónicamente y de forma indubitada la identidad de la persona para realizar cualquier tipo de trámite. • Firmar digitalmente documentos electrónicos, otorgándoles una validez jurı́dica equivalente a la firma manuscrita. • Comprobar la identidad y la integridad de un documento firmado. • Se garantiza el compromiso del titular con la firma realizada (garantı́a de “no repudio”). • No se contempla el uso de cifrado. Solo firma y autenticación Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 13 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 14 / 39 Conceptos a diferenciar • Claves públicas y privadas • Certificados • PIN Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 15 / 39 Claves públicas y privadas del DNIe • La clave privada se genera dentro del chip por un procesador que incorpora la tarjeta y nunca abandona el chip. • La clave pública se da a conocer al interlocutor en la transacción telemática. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 16 / 39 Certificados del DNIe Con el DNI electrónico se obtienen dos certificados: • El Certificado de autenticación (Digital Signature): para acreditar la identidad. Este certificado lleva una clave privada asociada. • utilizado para generar mensajes de autenticación (confirmación de la identidad) • acceso seguro a sistemas informáticos • El Certificado de firma: permiten firmar trámites y documentos mediante generación de ”firma electrónica reconocida”. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 17 / 39 Detalles de los certificados del DNIe • Los certificados del DNIe caducan (30 meses) y pueden ser revocados en cualquier momento. • La activación de estos certificados tiene carácter voluntario (RD 1553/2005, de 23 de diciembre). • Certificado X509v3 estándar, con el bit de ContentCommitment (No Repudio) activo. • Utiliza para firmar SHA1. • Usa claves RSA de 2048 bits. • Un fichero CDF (Certificate Directory File) contiene los datos públicos de la tarjeta, accesibles vı́a comandos APDU (ISO/IEC 7816). Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 18 / 39 El PIN del DNIe • EL PIN es la contraseña que protege la información contenida en la tarjeta (los certificados y las claves privadas y públicas) • El PIN es generado aleatoriamente (“sobre ciego”) y puede ser cambiado por el usuario. • Permite también autorizar la función de firma. • No debe confundirse el PIN con las claves (privadas o públicas) del DNIe. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 19 / 39 Parte hardware El DNI electrónico requiere el siguiente equipamiento fı́sico: • Un ordenador personal • Un lector de tarjetas inteligentes que cumpla el estándar ISO-7816. Distintas implementaciones fı́sicas de la tarjeta: • integradas en el teclado • externas (vı́a USB) • interfaz PCMCIA Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 20 / 39 Parte software • Distintos sistemas operativos (Unix, Linux, MacOS, Windows) • Navegadores (Firefox, Explorer) • Controladores / Módulos criptográficos (CSP –Windows– o PKCS#11 –Unix/Linux/Mac–) Software para Linux/Unix: http://www.dnielectronico.es/descargas/PKCS11_para_Sistemas_Unix/ Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 21 / 39 ¿Es seguro el DNIe? • Hay debate al respecto. • Los datos (nombre, apellidos, unidad de expedicion, nacionalidad y DNI) se pueden sacar del Certificate Directory File mediante comandos APDU. • Si se tiene el DNIe en el lector de tarjetas, cualquier applet puede acceder a esos datos (los datos de la parte “pública” de la tarjeta). • Infraestructura PKI: nunca se puede acceder a la clave privada. • Internet es un medio inherentemente inseguro: podrı́a estar expuesto a vulnerabilidades SSL (robo de sesión), pero como cualquier otro certificado o sesión SSL. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 22 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 23 / 39 OpenDNIe • Proyecto para desarrollar un módulo pkcs#11 bajo licencia LGPL. • Liderado por CENATIC (Ministerio de Industria). • Colaboran desarrolladores particulares y tiene el apoyo de la DGP y de la Guardia Civil. http://forja.cenatic.es/projects/opendnie Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 24 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 25 / 39 Casa de la Moneda • FNMT-RCM: Fábrica Nacional de Moneda y Timbre - Real Casa de la Moneda. • Entidad pública, adscrita al Ministerio de Economı́a y Hacienda. • Nace en 1893, al fusionarse la Casa de la Moneda y la Fábrica del Sello. • Dedicada a la fabricación de monedas, billetes, papel moneda, timbres, documentos oficiales y prestador de servicios de certificación. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 26 / 39 FNMT-RCM • La FNMT-RCM, a través de su departamento CERES (CERtificación ESpañola) ofrece certificados electrónicos para su uso (no exclusivo) ante las AA.PP. • El certificado FNMT es de Clase 2CA. • La obtención del certificado electrónico de usuario es gratuita. • La entidad cuenta con unos 2.5M de certificados activos vigentes (oct. 2011). • Tiene una validez de 3 años (2 años si es una entidad jurı́dica). Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 27 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 28 / 39 Certificados de FNMT CERES emite los certificados de la FNMT-RCM en dos soportes: • FNMT Certificado de Usuario en software • Certificado de usuario en Tarjeta Criptográfica Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 29 / 39 Certificados FNMT - Software • Se usa directamente en cualquier navegador web. • No precisa ningún hardware extra. • Pueden hacerse backups. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 30 / 39 Certificados en Tarjeta Criptográfica • Los certificados de la FNMT se pueden almacenar y usar desde una tarjeta criptográfica. • Los certificados se generan en la tarjeta. • Más seguro que la solución software, pues no se pueden copiar y nunca salen de la tarjeta. • El chip dificulta técnicas de criptoanálisis, fuerza bruta o análisis diferencial. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 31 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 32 / 39 Cómo funciona un certificado FNMT por software 1. Al solicitar un certificado de usuario, el navegador genera un par de claves. 2. La clave privada se guarda en el navegador y la clave pública se envı́a a la FNMT-RCM. 3. La FNMT-RCM asigna un código de solicitud a esa clave que es remitido vı́a web. 4. Entonces hay que personarse en una oficina de acreditación con el DNI y dicho código. 5. Finalmente, tras la acreditación, se procede a la descarga del certificado vı́a web. Este quedará instalado en el navegador. Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 33 / 39 Obtención de un certificado FNMT-RCM 1. Descarga del Certificado Raı́z de la FNMT-RCM (en la web de la FNMT(*)) 2. (Opcional) En caso de disponer de lector de tarjetas: 2.1 Instalación de los drivers del lector. 2.2 Instalación del software incluido junto a la tarjeta criptográfica. 3. Solicitud de Certificado de Usuario (en la web de la FNMT) 4. Acreditación de la identidad (fı́sicamente en una oficina de registro como la SS o AEAT) 5. Descarga del Certificado (en la web de la FNMT) (*) http://www.cert.fnmt.es Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 34 / 39 Índice Conceptos generales Qué son los certificados digitales Marco legal DNI electrónico (DNIe) Qué es el DNI electrónico ¿Para qué sirve el DNIe? Claves y certificados OpenDNIe Certificados de la FNMT FNMT-RCM Certificados de FNMT Cómo funciona un certificado FNMT Ejemplo de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 35 / 39 Firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 36 / 39 Verificación de firma digital Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 37 / 39 Referencias • Web de la FNMT (Proyecto CERES): http://www.cert.fnmt.es • Portal oficial del DNI electrónico (DGP): http://www.dnielectronico.es Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 38 / 39 DNI electrónico / FNMT Máster en Economı́a Digital e Industrias Creativas Miguel Vidal Israel Herraiz ETSIT, URJC ETSICCP, UPM Twitter: @mvidallopez Twitter: @herraiz 7 de octubre de 2011 Miguel Vidal / Israel Herraiz DNI electrónico / FNMT 01/10/2011 39 / 39