DNIe.ppt [Modo de compatibilidad] - ITEFI.csic.es · Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información TIC-ITEFI-CSIC 2 Criptografía y usos 3 • El

Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información

TIC-ITEFI-CSIC 1

Luis Hernández EncinasDpto. Tratamiento de la Información y Criptografía (TIC)

Instituto de Tecnologías Físicas y de la Información (ITEFI)

Consejo Superior de Investigaciones Científicas (CSIC)

C/ Serrano 144, 28006, Madrid

[email protected]

http://www.itefi.csic.es/es/personal/hernandez-encinas-luis

El DNIe

1

• Criptografía y usos• De clave secreta y de clave pública• Autoridad de certificación y certificado digital

• DNI y DNIe• Identificación de ciudadanos españoles• DNI• DNIe• Soporte físico• Soporte lógico• Aplicaciones del DNIe: firma electrónica

• Lectura automática del DNIe

Contenidos

2


TIC-ITEFI-CSIC 2

Criptografíay usos

3

• El objetivo de la Criptografía es permitir que dos personas se puedan intercambiar información de forma confidencial y segura sin que sus adversarios puedan llegar a conocer tal información.

• La Criptografía de Clave Secreta o criptografía simétrica se caracteriza por utilizar la misma clave para cifrar y para descifrar la información.

• La clave secreta es compartida únicamente por las dos personas que se desean intercambiar mensajes cifrados.

• Existe el problema de acordar una clave para compartir si ambas personas no pueden verse en persona.

• Las claves secretas tiene poca duración (días o semanas) por motivos de seguridad y son cortas: entre 128 y 256 bis.

• DES, TripleDES, AES, etc.

Criptografía de clave secreta

4


TIC-ITEFI-CSIC 3

• La Criptografía de Clave Pública (PKC) o criptografía asimétrica se caracteriza por utilizar dos claves diferentes.

• Una de ellas, la clave pública, es conocida públicamente, de modo que cualquier persona puede utilizarla para cifrar un mensaje destinado al propietario de la clave.

• La segunda clave, la clave privada, es mantenida en secreto por el receptor y es la que le permite descifrar los mensajes que recibe.

• Las claves pública y privada están relacionadas entre sí, pero de tal modo que obtener la clave privada a partir de la clave pública supone resolver un problema matemático difícil(computacionalmente).

• No hay problemas para compartir claves, tienen larga duración (2-3 años) y son grandes (1024-2048 bits).

• RSA, ECC, etc.

Criptografía de clave pública

5

• Con clave secreta (K):

Cifrado del mensaje M con la clave K:C K (M) = C

Descifrado del criptograma C con la clave K:DK (C) = M

• Con clave pública k (y su correspondiente clave privada K):

Cifrado del mensaje M con la clave pública k:C k (M) = C

Descifrado del criptograma C con la clave privada K:D K (C) = M

Cifrado y descifrado de datos

6


TIC-ITEFI-CSIC 4

• Elaboración de la firma electrónica para un mensaje M:• El firmante calcula el resumen (hash) del mensaje M:

H (M) = m

• Calcula su firma cifrando el resumen del mensaje con su clave privada K:C K (m) = s

• Hace público el mensaje y su firma:

(M, s)

• Verificación de la firma, s, de un mensaje M:• El verificador calcula el resumen del mensaje M:

H (M) = m

• Obtiene la clave pública del firmante, k, y descifra su firma:D k (s) = m

• Comprueba si el descifrado anterior coincide con el resumen del mensaje.

Firma digital o electrónica

7

• RSA 2048: 2519590847 5657893494 0271832400 4839857142 9282126204 0320277771 3783604366 2020707595 5562640185 2588078440 6918290641 2495150821 8929855914 9176184502 8084891200 7284499268 7392807287 7767359714 1834727026 1896375014 9718246911 6507761337 9859095700 0973304597 4880842840 1797429100 6424586918 1719511874 6121515172 6546322822 1686998754 9182422433 6372590851 4186546204 3576798423 3871847744 4792073993 4236584823 8242811981 6381501067 4810451660 3773060562 0161967625 6133844143 6038339044 1495263443 2190114657 5444541784 2402092461 6515723350 7787077498 1712577246 7962926386 3563732899 1215483143 8167899885 0404453640 2352738195 1378636564 3912120103 9712282212 0720357 = p · q

Ejemplo de clave pública

8


TIC-ITEFI-CSIC 5

• Una Autoridad de Certificación es una entidad de

confianza (de ámbito internacional, nacional o

privado) que posee una pareja de claves:

• Una clave pública que cifra datos (conocida

públicamente).

• Una clave privada que descifra datos -invierte el proceso

de cifrado- (mantenida en secreto)

y a la que se recurre para validar determinada

información, en general un certificado electrónico.

Autoridad de Certificación (AC)

9

• El certificado digital X.509 está basado en:• Criptografía de clave pública (criptosistema RSA)

• Firma digital (RSA con función resumen MD5 o SHA-1/-2)

Certificado digital: norma X.509

Versión del certificado (v3)

Número de serie

Algoritmo (parámetros)

Emisor

Válido desde

Válido hasta

Usuario (Asunto)

Clave pública (RSA)

Resumen (hash)

La AC firma (cifra)el resumen con su clave privadaFirma (huella) digital de la AC

10


TIC-ITEFI-CSIC 6

• Calcular el resumen de los datos (función resumen)

• Verificar (descifrar) la huella digital de la AC

• Comprobar si ambos valores coinciden

Certificado digital X.509: verificación

Versión del certificado X.509

Número de serie

Algoritmo (parámetros)

Emisor

Válido desde

Válido hasta

Usuario (Asunto)

Clave pública (RSA)

Firma (huella) digital de la AC

Resumen

El usuario verifica (descifra) la huella digital con la clave pública de la AC

Resumen

¿ = ?

Si

No

11

Solicitud de certificado digital a la FNMT

IRP

F DNINúmero FNMT

Firma solicitud

Solicitud

clave pública

clave privada

IRP

F

FNMTCertificado

NombreClave

Validez

Ver

ifica

ción

12


TIC-ITEFI-CSIC 7

• 4201332 certificados emitidos por la FNMT

• Campos, Propiedades y Extensiones

Certificado digital X.509: contenido

13

DNI y DNIe

14


TIC-ITEFI-CSIC 8

Cédulas de identificación: 1931-1935

15

Modelos de DNI: 1951-1990

Tarjeta 1965-1980

Tarjeta Saharaui (2)

Tarjeta 1951-1961 Tarjeta 1962-1965 Tarjeta 1981-1985

Tarjeta 1985-1991 Tarjeta Saharaui (1)

16


TIC-ITEFI-CSIC 9

Modelos de DNI: 1990-2000

Tarjeta Informatizada 1990



17

CuriosidadesLa numeración se asigna por provincias y equipos

• DNI 1: Francisco Franco Bahamonde

• DNI 2: Carmen Polo y Martínez Valdés

• DNI 3: Carmen Franco Polo

• DNI 4-9: sin usar

• DNI 10-99: Familia Real

• DNI 10: El Rey Don Juan Carlos I

• DNI 11: La Reina Doña Sofía

• DNI 12: La Infanta Elena

• DNI 14: La Infanta Cristina

• DNI 15: El Rey Don Felipe VI

Leyenda urbana:

El número del reverso es el de personas con el mismo nombre18


TIC-ITEFI-CSIC 10

Modelos de DNIe

19

DNIe: objetivos

•Identificación de ciudadanos

•Firma digital de documentos

20


TIC-ITEFI-CSIC 11

DNIe: descripción

21

DNIe: soporte físico (1)

• Tarjeta de policarbonato (similar a las tarjetas de crédito) con un chip criptográfico (nivel de seguridad: CC EAL4+, Common Criteria; Evaluation Assurance Level).

• Chip con capacidad criptográfica y computacional• Datos que contiene el chip:

• Filiación del ciudadano• Imagen digitalizada de la fotografía y de la firma

manuscrita• Plantilla de la impresión dactilar• Datos criptográficos• Aplicación Match on Card• Certificado de autenticación del ciudadano X509v3• Certificado de firma (no repudio) X509v3• Certificado de la autoridad de certificación emisora

22


TIC-ITEFI-CSIC 12


• Tres niveles de seguridad en la parte física de la tarjeta:

• Nivel 1 de seguridad (perceptibles a simple vista)

• Hologramas y kinegramas, tintas ópticamente variables, imagen láser cambiante, estructuras superficiales en relieve

• Nivel 2 de seguridad (equipos mecánicos y electrónicos)

• Fondo de seguridad (guilloches), tintas ultravioleta, infrarroja y fluorescente, fotografía grabada con láser

• Nivel 3 de seguridad (perceptibles en laboratorio)

• Medidas criptográficas y biométricas23

Hologramas y Kinegramas

Tintas ópticamente variables (TOV)

Imagen láser cambiante

Letras detectables al tacto

Estructuras superficiales en relieve

Guilloches

Tintas UV, IR y fluorescente

Fotografía y firma grabadas con láser

Medidas criptográficas

Medidas biométricas


24


TIC-ITEFI-CSIC 13

DNIe: soporte lógico (1)

PRE-personalización de la tarjeta: FNMT y DGP

25


26

• Renovación del DNIe en una comisaría de policía o equipo:

• Identificación del ciudadano

• Actualización de sus datos personales

• Captura de foto y firma manuscrita

• Impresión de los datos en la tarjeta

• Verificación de la autenticidad mutua de tarjeta y equipo

• Generación de las claves y certificados

• Almacenamiento de las mismas en el DNIe

• Entrega del DNIe y de la contraseña en sobre opaco


TIC-ITEFI-CSIC 14


27

• Cambio de clave (PIN)

• Renovación de certificados

• Revocación de certificados (lista de certificados revocados)

• DNIe para menores

• DNIe 3.0:

• Emitido desde enero de 2015

• Dotado con tecnología NFC o de comunicación en campo cercano (Near Field Communication)

Cambio de PIN

Para cualquier aplicación se debe tener instalado el Certificado de la DGP y el módulo de seguridad PKCS#11.

Cambio de PINMediante el PUK (Personal Unblocking Code) en los puestos

de expedición: la huella dactilar

Accediendo por Internet mediante la aplicación adecuada:

http://www.dnielectronico.es/descargas/index.html28


TIC-ITEFI-CSIC 15

Cambio de PIN por internet

29

Usos del DNIe

30


TIC-ITEFI-CSIC 16

Firmas con el DNIe

• VALIDe (VALIdación de firma y certificados online y Demostrador de servicios de @firma.)

• https://valide.redsara.es/valide/• Cliente de firma

• Ecofirma

• Adobe Acrobat/Reader

31

Lectura automática

del DNIe

32


TIC-ITEFI-CSIC 17

Información del reverso del DNIe

Los datos del reverso permiten la lectura por escáner (OCR-B) de algunas características del DNI-e y verificar de forma rápida la corrección de los datos leídos (uso de dígitos de control)

IDESP12345678?D0<<<<<<<<<<<<<<<

IDESPAAA987654D112345678?<<<<<<

301020D2M070809D3ESP<<<<<<<<<<D

DETAL<YCUAL<<FULANITO<<<<<<<<<

33

Reverso del DNIe: la letra

IDESPAAA987654D112345678?<<<<<<

• Tipo de documento: ID País: ESP• Identificación del soporte (IDESP): AAA987654• Número del DNI: 12345678• Determinación de la letra (?) del DNI para obtener el NIF.

Resto de la división del DNI entre 23 según la tabla siguiente:0:T 1:R 2:W 3:A 4:G 5:M 6:Y 7:F8:P 9:D 10:X 11:B 12:N 13:J 14:Z 15:S

16:Q 17:V 18:H 19:L 20:C 21:K 22:E

DNI: 12345678 = 23·536768 + 14 Letra: 14 Z NIF: 12345678Z

34


TIC-ITEFI-CSIC 18

DNIe: dígito de control 1

IDESPAAA987654D112345678Z<<<<<<301020D2M070809D3ESP<<<<<<<<<<DDETAL<YCUAL<<FULANITO<<<<<<<<<

• Identificación de la Tarjeta: AAA987654 = a1 a2 … a9

D1 = ∑i=0…2 (7·a3i+1 + 3·a3i+2 + 1·a3i+3) (mod 10) = 7·0 + 3·0+ 1·0 + 7·9 + 3·8 + 1·7 + 7·6 + 3·5 + 1·4

= 148 (mod 10) = 10·14 + 8 8

IDESPAAA987654812345678Z<<<<<<301020D2M070809D3ESP<<<<<<<<<<DDETAL<YCUAL<<FULANITO<<<<<<<<<

35

DNIe: dígitos de control 2 y 3

301020D2M070809D3ESP<<<<<<<<<<D

• Fecha de nacimiento (aammdd): 301020 = b1 b2 ... b6

• Dígito de control nacimiento: D2

D2 = ∑i=0,1 (7·b3i+1 + 3·b3i+2 + 1·b3i+3) (mod 10)

= 7·3 + 3·0 + 1·1 + 7·0 + 3·2 + 1·0 =28(mod 10)=10·2 + 8 8• Sexo (M/F): M

• Fecha de caducidad (aammdd): 070809 = c1 c2 ... c6

• Dígito de control fecha de caducidad: D3

D3 = ∑i=0,1 (7·c3i+1 + 3·c3i+2 + 1·c3i+3) (mod 10)

= 7·0 + 3·7 + 1·0 + 7·8 + 3·0 + 1·9 =86 (mod 10)=10·8 + 6 63010208M0708096ESP<<<<<<<<<<<D

36


TIC-ITEFI-CSIC 19

Empleo del DNIe: dígito de control

IDESPAAA987654812345678Z<<<<<<3010208M0708096ESP<<<<<<<<<<<D

• Dígito de control del carnet: D0009876548123456782530102080708096 = e1 … e33

D = ∑i=0…10 (7·e3i+1 + 3·e3i+2 + 1·e3i+3) (mod 10)= D0 + 7·8+3·1+1·2+7·3+3·4+1·5+7·6+3·7+1·8+7·25+3·3+1·0

+7·1+3·0+1·2+7·0+3·8+1·0+7·7+3·0+1·8+7·0+3·9+1·6 = 485 (mod 10) = 10·48 + 5 5

IDESPAAA987654812345678Z<<<<<<3010208M0708096ESP<<<<<<<<<<<5DETAL<YCUAL<<FULANITO<<<<<<<<<

37

Empleo del DNIe

• Software• Descargar software e instalar

(http://www.dnielectronico.es/descargas/index.html)

• Certificado de la Autoridad de Certificación de la DGP

• Importar (y exportar) el certificado

• Hardware: lector de tarjetas (ISO 7816)

• Servicios disponibles http://www.dnielectronico.es/servicios_disponibles/serv_disp_age.html

• Futuro• Certificaciones

• Factura electrónica

• Firma de contratos

• Etc.38


TIC-ITEFI-CSIC 20

Bibliografía•J. Crespo Sánchez, J. Espinosa García, L. Hernández Encinas, H. Rifá Pous, M. Torres Hernández, Hacia una nueva identificación electrónica del ciudadano: el DNI-e, Actas de la IX Reunión Española de Criptología y Seguridad de la Información (IX RECSI), 548-561, Barcelona, 2006.

•W. Feghhi, J. Feghhi and P. Williams, Digital certificates. Applied Internet Security, Addison-Wesley, Reading, MS, 1999.

•V. Gayoso Martínez, L. Hernández Encinas y A. Martín Muñoz, La tarjeta de identidad española como método de autenticación en redes sociales, VII Congreso Iberoamericano de Seguridad Informática (CIBSI 2013), Actas 16-26, ISBN: 978-9962-676-43-0, Ciudad de Panamá (Panamá), Octubre, 2013.

•V. Gayoso Martínez, L. Hernández Encinas, A. Martín Muñoz, and J.I. Sánchez García, Identification by means of a national ID card for wireless services, Global Wireless Summit 2013, Proc. 5 pp., ISBN: 978-87-92982-52-0, Atlantic City (USA), June 24–27, 2013.

•W. Stallings, Cryptography and network security, 2nd. ed., Prentice Hall, 1999.

39

Muchas gracias

¿Preguntas?

40

Documents

DNIe.ppt [Modo de compatibilidad] - ITEFI.csic.es · Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información TIC-ITEFI-CSIC 2 Criptografía y usos 3 • El