Upload
others
View
8
Download
0
Embed Size (px)
Citation preview
Las Cédulas Personales fueron el origen de los documentos de identidad en España.
Estas cédulas eran expedidas por la Diputaciones Provinciales
Las Cédulas Personales fueron el origen de los documentos de identidad en España.
Estas cédulas eran expedidas por la Diputaciones Provinciales
19311931
1937193719411941
Origen y Evolución del Documento deIdentidad Español
Cada año se expiden + 6 millones de DNI
Acredita física y electrónicamente la identidad y permite la firma electrónica de documentos.
Origen y Evolución del Documento deIdentidad Español
• Seguridad del CHIP.
• Seguridad de la Tarjeta Soporte
• Seguridad en las Comunicaciones.
• Seguridad de la Infraestructura de Clave Pública.
• Seguridad en el Registro y Expedición.
La seguridad en el DNIe
CC EAL 5+. El componente ha sido Certificado por el esquema francés de evaluación y certificación de las Tecnologías de la Información.
CC EAL 4+ SOFT HIGH. – La mascara ha sido Certificada como CommonCommon Criteria EAL 4+ SOFT HIGH Criteria EAL 4+ SOFT HIGH según el Perfil de Protección europeo para tarjetas inteligentes. Por el esquema de Certificacion Nacional. (CCN/CNI)
CWA 14169 –3. SSCD. Dispositivo Seguro de Creación de Firma.
CWA 14.890. - Autenticación Mutua de Dispositivo.
Sistema de Expedición. Acreditación por el Organismo Nacional de Certificación.
Seguridad del CHIPSeguridad del CHIP
•• Fuente del componenteFuente del componente– Proveniente de dos suministradores (doble fuente)
•• Estructura en tres zonasEstructura en tres zonas– Zona pública
• ¿?
– Zona privada• Acceso mediante palabra de paso (autenticación y firma)
– Zona restringida• Acceso mediante verificación biométrica (renovación)
Componente electrónico
Contenido del chipContenido del chip
Contenido:• Certificado de autenticación y Claves asociadas• Certificado de firma y Claves asociadas.• Certificado de la autoridad de certificación emisora.• Datos de filiación del ciudadano.• Imagen de la fotografía.• Imagen de la firma manuscrita.• Plantilla de la impresión dactilar.• Aplicación de Match On Card.
Toda la información está firmada por la Arquitectura de certificación del DNI para garantizar su Integridad y su Autenticidad.
Primer NivelPrimer NivelPerceptibles a simple vista
Hologramas / KinegramasTinta OVIImagen láser cambiante (CLI)Letras táctilesEstructuras superficiales en relieve
Segundo NivelSegundo NivelPerceptibles mediante equipos mecánicos y electrónicos
Tintas reactivas UV MicrotextoFondo de Seguridad (Guilloches)Imágenes codificadas
Tercer NivelTercer NivelPerceptibles en laboratorio
Medidas criptográficas y biométricas integradas en el chip.
Seguridad de la Tarjeta SoporteSeguridad de la Tarjeta Soporte
Chip criptográfico• Para autenticación mediante
comparación biométrica almacenada en el chip
• Datos criptografiados
Chip criptogrChip criptográáficofico• Para autenticación mediante
comparación biométrica almacenada en el chip
• Datos criptografiados
Imagen láser cambiante (CLI)• Elementos de información diferentes y específicos
combinados en una estructura grabada a láser.• Fotografía MLI
Imagen lImagen lááser cambiante (CLI)ser cambiante (CLI)• Elementos de información diferentes y específicos
combinados en una estructura grabada a láser.• Fotografía MLI
Fotografía• Grabada con tecnología láser en
el interior de la Tarjeta• Protección contra falsificación• Integración de la imagen en el
fondo impreso de la tarjeta.• Borde del retrato superpuesto y
fondo de seguridad
FotografFotografííaa• Grabada con tecnología láser en
el interior de la Tarjeta• Protección contra falsificación• Integración de la imagen en el
fondo impreso de la tarjeta.• Borde del retrato superpuesto y
fondo de seguridad
Holograma /Kinegrama• Estructura holográfica diseñada artísticamente• Protegido por un overlay de 100 nm.
Holograma /Holograma /KinegramaKinegrama• Estructura holográfica diseñada artísticamente• Protegido por un overlay de 100 nm.
Tintas UV / IR• Sólo visibles con luz ultravioleta o infrarroja• Tintas Fluorescentes
Tintas UV / IRTintas UV / IR• Sólo visibles con luz ultravioleta o infrarroja• Tintas Fluorescentes
Estructura de superficie• Guilloches y microimpresión• Fácil verificación visual y táctil
Estructura de superficieEstructura de superficie• Guilloches y microimpresión• Fácil verificación visual y táctil
Tintas OVI• Impresión con cambio de colorTintas OVITintas OVI• Impresión con cambio de color
ELEMENTOS DE SEGURIDAD
Fondo de Seguridad• Formas de guilloches que pueden incorporar
logotipos• Impresión irisada
Fondo de SeguridadFondo de Seguridad• Formas de guilloches que pueden incorporar
logotipos• Impresión irisada
DNIe: MATERIALES
Policarbonato (I)
• Es especialmente adecuado para la personalización por láser.• Se compone de un núcleo que ha de ser protegido con un
laminado.• Es casi imposible la manipulación de los datos.• No es recomendable para personalización mediante
sublimación de color.• Adecuado para documentos de identidad que requieran larga
duración.
DNIe: MATERIALES
Policarbonato (II)
• Características:– Material compuesto de gran seguridad.– Altamente estable contra impactos.– Resiste muy bien el desgaste provocado por los lectores.– Ofrece un gran contraste para impresiones de seguridad– Muy resistente a la luz ultravioleta.
• Actualmente, ya se ha introducido en muchos países como material para grabado láser de documentos de alta seguridad.
1 OVERLAY POLICARBONATO 150 MICRAS Preparado para CLI y gofrado2 OVERLAY POLICARBONATO CON KINEGRAMA 100 MICRAS Kinegrama
3 NÚCLEO POLICARBONATO 500 MICRASImpresión en Iris, tintas UV y tinta OVI en anverso. Tintas UV (amarilla) e impresión en Iris en reverso
4 OVERLAY POLICARBONATO 50 MICRAS
DNIe: MATERIALES
Estructura de capas
•• Autoridad de CertificaciAutoridad de Certificacióón Ran Raíízz– Funcionamiento en off-line– Ubicación física en centro del C.N.P. con nivel de seguridad 7.
•• Autoridades de CertificaciAutoridades de Certificacióón Subordinadan Subordinada– Multitecnología y replicadas en un centro espejo
•• Autoridad de Registro asociadaAutoridad de Registro asociada– Autenticación de operadores de registro
•• HW criptogrHW criptográáfico de la CA Rafico de la CA Raíízz– Almacenamiento de las claves de la Autoridad Raíz.
•• HW criptogrHW criptográáfico servidor de clavesfico servidor de claves– Proporciona funciones seguras de firma, almacenamiento, generación,
clonación, migración, administración y custodia de claves.
•• Servicios de ValidaciServicios de Validacióónn– Validación de los Certificados vía OCSP.
COMPOSICIÓN
Infraestructura de Clave Pública
- ETSI TS 102 042. Policy requirements for certification authorities issuing public key certificates. En lo relativo a las prácticas de certificación.
- ETSI TS 101 456. Policy requirements for certification authorities issuing qualified certificates. En lo relativo a las prácticas de certificación.
- ETSI TS 101 862. Para la definición del Perfil como certificado Reconocido (Qualified Certificate profile).
- CWA 14167-1. En lo relativo a la seguridad del sistema de certificación.
- CWA 14172-1-2-3. EESSI Conformity Assessment Guidance. Para la verificación del cumplimiento de los requisitos de emisión de los certificado.
EstEstáándares Aplicablesndares Aplicables
- Servicio de Registro.- Servicio de Generación de Certificados.- Servicio de Provisión de Dispositivos.- Servicio de Diseminación.- Servicio de Gestión de Revocación.- Servicio de Consulta sobre el Estado de
Revocación. (Externalizado)- Servicio de Time Stamping.
Prestadores de Servicios de Certificación – CWA 14167
Algoritmia y Claves.Algoritmia y Claves.••RaRaííz: 30 Az: 30 Añños.os.
Certificado Autofirmado con SHA1 y SHA256.Claves RSA 4096.
••Subordinadas: 15 ASubordinadas: 15 AññososCertificados firmados con SHA1 y SHA256.Claves RSA 2048
••Ciudadano: 30 Meses.Ciudadano: 30 Meses.Certificados firmados con SHA1.Claves RSA 2048.Utiliza para firmar SHA1.Key Usage: Autenticación (Digital Signature)
Firma o Sin Repudio (ContentCommitment )
Servicio Generación Certificados: AC Raíz
Sistema de PKI
AutoridadC
ertificación
AutoridadValidación
AutoridadR
egistro
Grupo de Certif.Subordinado 1
Aplicación de Control
Sistema de Expedición
Capa de negocio
Capa de acceso
AR Sub. 1
Nodo1
NodoN
AC Sub. 1
Nodo1
NodoN
Grupo de Certif.Subordinado 6
AR Sub. 6
Nodo1
NodoN
AC Sub. 6
Nodo1
NodoN
ACRaízNodo
1
AV
Nodo1
NodoN
HSM
Resto de subsistemas (Aplicación Central de Expedición del DNI, Centros de Expedición…)
updater
A. CRLIndirecta
BDInformix (LDAP)
Directorio
HSMHSMHSM
ACRaíz
Nodo1
HSMBD
Informix
Funcionamiento en modo desconectado (off-line), sin ninguna conexión con otro subsistema, excepto con el HSM, para lo que se utilizará una conexión directa.
Servicio Generación Certificados: Grupos de Certificación Subordinados
Sistema de PKI
Autoridad
Certificación
AutoridadValidaciónA
utoridadR
egistroGrupo de Certif.Subordinado 1
Aplicació n de Control
Sistema de Expedición
Capa de negocio
Capa de acceso
AR Sub. 1
Nodo1
NodoN
AC Sub. 1
Nodo1
NodoN
Grupo de Certif.Subordinado 6
AR Sub. 6
Nodo1
NodoN
AC Sub. 6
Nodo1
NodoN
ACRaízNodo
1
AV
Nodo1
NodoN
HSM
Resto de subsistemas (Aplicació n Central de Expedició n del DNI, Centros de Expedición…)
updater
A. CRLIndirecta
BDInformix (LDAP)
Directorio
HSMHSMHSM
Grupo de Certif.Subordinado
AR Sub.
Nodo1
NodoN
AC Sub.
Nodo1
NodoN
HSM
A. CRLIndirecta
BDInformix (LDAP)
Directorio
HSM
HSM
Autoridad de Autoridad de PublicaciPublicacióón de n de
Certificados Certificados RevocadosRevocados
Sistema Prepersonalización
FNMT
Certificados X 509- No repudio
- Autenticación
Puesto de ExpediciónDNIe
Autoridad Certificación Raíz del DNIe
ACsProducción
DNIeAC Intermedia
Terminales (IFD)
Certificado CV(TIP)
Certificado CVAC Intermedia
Certificado X 509AC Subordinada
Certificado X509AC Subordinada
Certificado X 509ICC
Certificado X 509AC.Sub
Autoridad Certificación Raíz de Componentes
eDNI
ACs Sub. Componente (ICC) FNMT
Sistema PersonalizaciónTIP (CNP)
Certificados X 509AC Sub
TIP
Certifcado X509ICC
Certificados X 509- Autenticación- No repudio- Cifrado
Aplicación de Personal
Autoridad Certificación Raíz del C.N.P.
Certificado X 509AC Subordinada
ACs Producción Funcionarios
TIF
Jerarquía de Certificación DNIe
• El operador se autenticarautenticaráá con su certificadocon su certificado en el sistema.
•• AutenticaciAutenticacióón Mutuan Mutua (CWA 14890) de la tarjeta del DNIe (chip) con el equipo de registro.
•• GeneraciGeneracióón del par de clavesn del par de claves.•• PeticiPeticióón de certificadosn de certificados firmada por el operador.•• Carga de los certificadosCarga de los certificados en la tarjeta.•• Registro de las operacionesRegistro de las operaciones realizadas.
Registro y expedición
La Renovación de los Certificados y el desbloqueo del PIN se podrá realizar ante el operador o en los Puesto de Actualización del DNIe (PAD), equipos seguros en un entorno controlado
Mediante proceso de reconocimiento mutuo tarjeta-equipo, se podrán realizar las siguientes operaciones:
- Comprobación de fecha de caducidad del DNIe.- Comprobación fecha de caducidad de los certificados.- Expedición de nuevos certificados y generación de nuevas claves. (RENOVACIÓN)- Revocación de los certificados.- Cambio o desbloqueo de palabra de paso. (PIN)- Verificar y visualizar el contenido del chip.
Como medida de seguridad para la renovación se requerirá la comprobación biométrica de la identidad mediante la impresión dactilar.
Puesto de Actualización del DNIe
• Robo o Extravió:– Denuncia en Comisarías del Cuerpo Nacional de
Policía.– Personación en los equipos del DNI.– Denuncia ante resto de Fuerzas y Cuerpos de
Seguridad del Estado.• Voluntario:
– Personación en los Puestos de Expedición.– Puesto de Actualización del DNI.
Revocación
• Desbloqueo del PIN.• Renovación de certificados.• Verificación de identidad.• Primer proyecto con varios proveedores de biometría
ISO y 100% interoperables
• ISO 19.785, ISO 19.794-2 (Para formatos de cabecera y datos de referencia)
• ISO 7816-4, ISO 7816-11 (Para comandos en la tarjeta)
Usos de la biometría en el DNIe
• Match Off Card– Es mas sencillo de implementar.– No se debe utilizar como condición de acceso en la tarjeta.– Es necesario portar el algoritmo por separado.
• Match On Card– El sistema es auto-contenido.– Se puede incluir en la política de seguridad de la Tarjeta.– Garantiza la pivacidad de los datos de referencia.– Único sistema que puede ser usado para garantizar que en el
momento de la entrega de la tarjeta, no existe suplantación de identidad.
“Match On Card” vs “Match Off Card”
... ClientApplication
RTF,HTML,PDF
XML
Firma plugin / applet(PKCS#7 / XML)
E-Mail (S/MIME)Web (SSL)Logon
(Kerberos)
PC/SC DriversMicrosoft Resource Manager
DNIe PKCS#11
Netscape Internal PKCS#11
Netscape Internal Services
RSA BaseCSP
DNIeCSP
CryptoAPI
Authenticode
Entorno de Uso
Campos del Campos del Certificado del Certificado del
CiudadanoCiudadano
Algoritmo: RSA EncryptionLongitud: 2048 bits7. Subject Public Key Info
CN=APELLIDO1 APELLIDO2, NOMBRE (AUTENTICACIÓN)GN=NOMBRESN=APELLIDO1NÚMERO DE SERIE=DNI (con letra)C=ES
6. Subject
30 meses5. Validez
CN=AC DNIE XXXOU=DNIEO=DIRECCION GENERAL DE LA POLICIAC=ES
4. Issuer DistinguishedName
sha1withRsaEncryptionsha256withRsaEncryption3. Signature Algorithm
No secuencial2. Serial Number
V31. Versión
Campos de X509v1
CRÍTICACONTENIDO CAMPO
Campos del Campos del Certificado del Certificado del
CiudadanoCiudadano
No se utilizará5. privateKeyUsagePeriod
No se utilizará4.extKeyUsage
0CRL Signature
0Key Certificate Signature
0Key Agreement
0Data Encipherment
0Key Encipherment
0Non Repudiation
1Digital Signature
SI (RFCs3280 y 3739)
3. KeyUsage
NO (RFC 3280)
Función de hash SHA-1 sobre la clave pública de la AC emisora (AC subordinada). NO SE incluye la identificación del certificado de la AC emisora (en este caso, DN de la AC Raíz, número de serie de la AC Subordinada).
2. Authority Key Identifier
NO (RFC 3280)
Función hash SHA-1 sobre la clave pública del sujeto.
1. Subject Key Identifier
Extensiones de X509v3
No se utilizará2. subjectUniqueIdentifier
No se utilizará1. issuerUniqueIdentifier
Campos de X509v2
Campos del Campos del Certificado del Certificado del
CiudadanoCiudadano
NO (RFC 3280)
dateOfBirth10. Subject DirectoryAttributes
No se utilizará9. Issuer AlternateNames
No se utilizará8. Subject AlternateNames
NOid-etsi-qcs-QcComplianceid-etsi-qcs-QcSSCDqcStatements
7.Policy Mappings
No se utilizaráNotice Reference
http://www.dnie.es/dpcURL CPS
OID asociado a la DPC o PC de certificado de firma de ciudadano. A determinar, perteneciente a la estructura de OIDs de ISO/ITU-T España (2.16.724.1.2.2.2.4)
Policy IdentifierNO
6. Certificate Policies
Campos del Campos del Certificado del Certificado del
CiudadanoCiudadano
NOHash SHA256 de los datos biográficos (datos impresos en el DNI-e).
20. personalDataInfo(2.16.724.1.2.2.4.1)
NO (RFC 3739)
Hash SHA256 de los datos biométricos:•firma manuscrita•foto •huella de dos dedos
19. BiometricInfo
No procede18. netscapeComment
No procede17. netscapeCAPolicyURL
No procede16. netscapeRevocationURL
No se utilizará15.netscapeCertType
NO (RFC 3280)
OCSP: http://ocsp.dnie.es:puertoCA: http://www.dnie.es/certs/ACRaiz.crt
14. Auth. InformationAccess
No utilizado13. CRLDistributionPoints
No utilizado12. Policy Constraints
No utilizadoPath Length Constraint
Entidad FinalSubject Type SI
11. Basic Constraints
•• AutenticaciAutenticacióón.n.•• Firma.Firma.•• Cadena de Confianza.Cadena de Confianza.•• ValidaciValidacióón.n.
Usabilidad
Cadena de ConfianzaCadena de Confianza
-- Certificados del Ciudadano.Certificados del Ciudadano.
-- Certificado de la Autoridad de CertificaciCertificado de la Autoridad de Certificacióón emisora.n emisora.
-- Certificado de la Autoridad de CertificaciCertificado de la Autoridad de Certificacióón Ran Raíízz
httphttp://://www.dnie.eswww.dnie.es//certscerts//ACRaiz.crtACRaiz.crt
ValidaciValidacióónn
-- La Ley 59/2003, de firma electrLa Ley 59/2003, de firma electróónica, nica, artartºº 18. d).18. d).
-- Prestadores de Servicios de ValidaciPrestadores de Servicios de Validacióón:n:
-- F. N. M. T. F. N. M. T. –– R. C. M.R. C. M. Prestador Universal.Prestador Universal.
-- M. A. P.M. A. P. Sector PSector Púúblico.blico.
-- M. I. T. y C.M. I. T. y C. EmpresasEmpresas
-- A. E. A. T.A. E. A. T. Auto ConsumidorAuto Consumidor
-- T. G. S. S.T. G. S. S. Auto ConsumidorAuto Consumidor
Verificación de certificados vía OCSP (On-line Certificate Status Protocol).
- Nº Serie del certificado- Id. de la CA.
Respuesta OCSP
{ BuenoRevocadoDesconocido
Cliente OCSP
Servidor OCSP
-Nº Serie del certificado- Id. de la CA.- Estado del certificado
Empresa / Organismo
Prestador de Servicios de Validación
ValidaciónFirmas App 1
CRLPROBLEMAS•Múltiples integraciones (por aplicación y por autoridad)•Incremento de tráfico•Dificultad de gestión•Incremento de Coste (tarifas por validación)
OCSPReq A
Req B
Req C
PORTAL
•Generalitat Valenciana (ACCV). •Fábrica Nacional de Moneda y Timbre (FNMT).•Agéncia Catalana de Certificació (CATCert). •ANF Autoridad de Certificación (ANF AC). •AC Camerfirma.•Ziurtapen eta serbitzu enpresa, IZENPE. •DNI electrónico (Dirección General de la Policía)
Plataforma Validación
App 1
CRLREQUISITOS•Conocimiento de donde validar en función del certificado•Soporte de múltiples métodos de validación (CRL, OCSP)•Soporte de múltiples estándares (ASN1, XML, PKCS…)•Caché de validaciones para reducir costes y tráfico•Parseo para devolver datos del certificado (p.e. DNI)
OCSPReq A
Req B
Req C
PORTAL
•Fábrica Nacional de Moneda y Timbre (FNMT). •Generalitat Valenciana (ACCV). •Agéncia Catalana de Certificació (CATCert). •ANF Autoridad de Certificación (ANF AC). •AC Camerfirma. •Ziurtapen eta serbitzu enpresa, IZENPE. •DNI electrónico (Dirección General de la Policía)
ProtecciónNegocio
Control AccesoHTTP Servers
APPServer
HSMTimeStamp
RecursosBackEnd
DB
DB
DB
SOAAPPS
eAS/TSPeAS/TSPPolíticasABAC
PolíticasABAC
A
HTTP Servers
A
ProtecciónPerímetro
Consumidores
Clientes
HTML
SOAAplicaciones
Clientes
XML
DB
DB
ARQUITECTURA
DE
SEGURIDAD
DNIe: Servicio de Atención a Usuarios
Servicio permanente: 24 horas al día, los 7 días de la semana.• Atiende cualquier tipo de incidencia relacionada con el DNI electrónico• Sirve para todos los Prestadores de validación: (MAP, RED.es, FNMT, AEAT, TGSS)
D6N I - I N D
9 0 0 4 6 343 6
Oficina técnica e-mail: [email protected]
Universal y Gratuito
Futuro ??•• Interoperabilidad a nivel Europeo. (MAP Interoperabilidad a nivel Europeo. (MAP –– CNP).CNP).•• IncorporaciIncorporacióón del DNIe en todos los procesos de negocio.n del DNIe en todos los procesos de negocio.•• Convenios con Convenios con otros Organismosotros Organismos•• Perfiles de ProtecciPerfiles de Proteccióón de Aplicaciones que usan el DNIen de Aplicaciones que usan el DNIe•• UtilizaciUtilizacióón de aplicaciones Certificadas.n de aplicaciones Certificadas.•• Desarrollos para nuevos dispositivos.Desarrollos para nuevos dispositivos.•• ……