Download El DNIe - itefi
Document related concepts
no text concepts found
Transcript
Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información El DNIe Luis Hernández Encinas Dpto. Tratamiento de la Información y Criptografía (TIC) Instituto de Tecnologías Físicas y de la Información (ITEFI) Consejo Superior de Investigaciones Científicas (CSIC) C/ Serrano 144, 28006, Madrid [email protected] http://www.itefi.csic.es/es/personal/hernandez-encinas-luis 1 Contenidos • Criptografía y usos • De clave secreta y de clave pública • Autoridad de certificación y certificado digital • DNI y DNIe • Identificación de ciudadanos españoles • DNI • DNIe • Soporte físico • Soporte lógico • Aplicaciones del DNIe: firma electrónica • Lectura automática del DNIe 2 TIC-ITEFI-CSIC 1 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Criptografía y usos 3 Criptografía de clave secreta • El objetivo de la Criptografía es permitir que dos personas se puedan intercambiar información de forma confidencial y segura sin que sus adversarios puedan llegar a conocer tal información. • La Criptografía de Clave Secreta o criptografía simétrica se caracteriza por utilizar la misma clave para cifrar y para descifrar la información. • La clave secreta es compartida únicamente por las dos personas que se desean intercambiar mensajes cifrados. • Existe el problema de acordar una clave para compartir si ambas personas no pueden verse en persona. • Las claves secretas tiene poca duración (días o semanas) por motivos de seguridad y son cortas: entre 128 y 256 bis. • DES, TripleDES, AES, etc. 4 TIC-ITEFI-CSIC 2 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Criptografía de clave pública • La Criptografía de Clave Pública (PKC) o criptografía asimétrica se caracteriza por utilizar dos claves diferentes. • Una de ellas, la clave pública, es conocida públicamente, de modo que cualquier persona puede utilizarla para cifrar un mensaje destinado al propietario de la clave. • La segunda clave, la clave privada, es mantenida en secreto por el receptor y es la que le permite descifrar los mensajes que recibe. • Las claves pública y privada están relacionadas entre sí, pero de tal modo que obtener la clave privada a partir de la clave pública supone resolver un problema matemático difícil (computacionalmente). • No hay problemas para compartir claves, tienen larga duración (2-3 años) y son grandes (1024-2048 bits). 5 • RSA, ECC, etc. Cifrado y descifrado de datos • Con clave secreta (K): Cifrado del mensaje M con la clave K: C K (M) = C Descifrado del criptograma C con la clave K: D K (C) = M • Con clave pública k (y su correspondiente clave privada K): Cifrado del mensaje M con la clave pública k: C k (M) = C Descifrado del criptograma C con la clave privada K: D K (C) = M 6 TIC-ITEFI-CSIC 3 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Firma digital o electrónica • Elaboración de la firma electrónica para un mensaje M: • El firmante calcula el resumen (hash) del mensaje M: H (M) = m • Calcula su firma cifrando el resumen del mensaje con su clave privada K: C K (m) = s • Hace público el mensaje y su firma: (M, s) • Verificación de la firma, s, de un mensaje M: • El verificador calcula el resumen del mensaje M: H (M) = m • Obtiene la clave pública del firmante, k, y descifra su firma: D k (s) = m • Comprueba si el descifrado anterior coincide con el resumen del mensaje. 7 Ejemplo de clave pública • RSA 2048: 2519590847 5657893494 0271832400 4839857142 9282126204 0320277771 3783604366 2020707595 5562640185 2588078440 6918290641 2495150821 8929855914 9176184502 8084891200 7284499268 7392807287 7767359714 1834727026 1896375014 9718246911 6507761337 9859095700 0973304597 4880842840 1797429100 6424586918 1719511874 6121515172 6546322822 1686998754 9182422433 6372590851 4186546204 3576798423 3871847744 4792073993 4236584823 8242811981 6381501067 4810451660 3773060562 0161967625 6133844143 6038339044 1495263443 2190114657 5444541784 2402092461 6515723350 7787077498 1712577246 7962926386 3563732899 1215483143 8167899885 0404453640 2352738195 1378636564 3912120103 9712282212 0720357 = p · q TIC-ITEFI-CSIC 8 4 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Autoridad de Certificación (AC) • Una Autoridad de Certificación es una entidad de confianza (de ámbito internacional, nacional o privado) que posee una pareja de claves: • Una clave pública que cifra datos (conocida públicamente). • Una clave privada que descifra datos -invierte el proceso de cifrado- (mantenida en secreto) y a la que se recurre para validar determinada información, en general un certificado electrónico. 9 Certificado digital: norma X.509 • El certificado digital X.509 está basado en: • Criptografía de clave pública (criptosistema RSA) • Firma digital (RSA con función resumen MD5 o SHA-1/-2) Versión del certificado (v3) Número de serie Algoritmo (parámetros) Emisor Válido desde Resumen (hash) Válido hasta Usuario (Asunto) Clave pública (RSA) Firma (huella) digital de la AC La AC firma (cifra) el resumen con su clave privada 10 TIC-ITEFI-CSIC 5 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Certificado digital X.509: verificación • Calcular el resumen de los datos (función resumen) • Verificar (descifrar) la huella digital de la AC • Comprobar si ambos valores coinciden Versión del certificado X.509 Número de serie Algoritmo (parámetros) Emisor Resumen Válido desde Si ¿=? Válido hasta Resumen Usuario (Asunto) No Clave pública (RSA) Firma (huella) digital de la AC El usuario verifica (descifra) la huella digital con la clave pública de la AC11 Solicitud de certificado digital a la FNMT IRPF IRPF DNI Número FNMT Firma solicitud clave pública clave privada TIC-ITEFI-CSIC FNMT Certificado Nombre Clave Validez Verificación Solicitud 12 6 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Certificado digital X.509: contenido • 4201332 certificados emitidos por la FNMT • Campos, Propiedades y Extensiones 13 DNI y DNIe 14 TIC-ITEFI-CSIC 7 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Cédulas de identificación: 1931-1935 15 Modelos de DNI: 1951-1990 Tarjeta 1951-1961 Tarjeta 1985-1991 Tarjeta 1962-1965 Tarjeta 1965-1980 Tarjeta Saharaui (1) Tarjeta 1981-1985 Tarjeta Saharaui (2) 16 TIC-ITEFI-CSIC 8 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Modelos de DNI: 1990-2000 Tarjeta Informatizada 1990 Tarjeta Informatizada 2000 Tarjeta Informatizada 1996 17 Curiosidades La numeración se asigna por provincias y equipos • DNI 1: Francisco Franco Bahamonde • DNI 2: Carmen Polo y Martínez Valdés • DNI 3: Carmen Franco Polo • DNI 4-9: sin usar • DNI 10-99: Familia Real • DNI 10: El Rey Don Juan Carlos I • DNI 11: La Reina Doña Sofía • DNI 12: La Infanta Elena • DNI 14: La Infanta Cristina • DNI 15: El Rey Don Felipe VI Leyenda urbana: El número del reverso es el de personas con el mismo nombre 18 TIC-ITEFI-CSIC 9 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Modelos de DNIe 19 DNIe: objetivos •Identificación de ciudadanos •Firma digital de documentos 20 TIC-ITEFI-CSIC 10 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información DNIe: descripción 21 DNIe: soporte físico (1) • Tarjeta de policarbonato (similar a las tarjetas de crédito) con un chip criptográfico (nivel de seguridad: CC EAL4+, Common Criteria; Evaluation Assurance Level). • Chip con capacidad criptográfica y computacional • Datos que contiene el chip: • Filiación del ciudadano • Imagen digitalizada de la fotografía y de la firma manuscrita • Plantilla de la impresión dactilar • Datos criptográficos • Aplicación Match on Card • Certificado de autenticación del ciudadano X509v3 • Certificado de firma (no repudio) X509v3 • Certificado de la autoridad de certificación emisora TIC-ITEFI-CSIC 22 11 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información DNIe: soporte físico (2) • Tres niveles de seguridad en la parte física de la tarjeta: • Nivel 1 de seguridad (perceptibles a simple vista) • Hologramas y kinegramas, tintas ópticamente variables, imagen láser cambiante, estructuras superficiales en relieve • Nivel 2 de seguridad (equipos mecánicos y electrónicos) • Fondo de seguridad (guilloches), tintas ultravioleta, infrarroja y fluorescente, fotografía grabada con láser • Nivel 3 de seguridad (perceptibles en laboratorio) • Medidas criptográficas y biométricas 23 DNIe: soporte físico (3) Hologramas y Kinegramas Tintas ópticamente variables (TOV) Estructuras superficiales en relieve Letras detectables al tacto Tintas UV, IR y fluorescente Guilloches Medidas criptográficas TIC-ITEFI-CSIC Imagen láser cambiante Fotografía y firma grabadas con láser Medidas biométricas 24 12 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información DNIe: soporte lógico (1) PRE-personalización de la tarjeta: FNMT y DGP 25 DNIe: soporte lógico (2) • Renovación del DNIe en una comisaría de policía o equipo: • Identificación del ciudadano • Actualización de sus datos personales • Captura de foto y firma manuscrita • Impresión de los datos en la tarjeta • Verificación de la autenticidad mutua de tarjeta y equipo • Generación de las claves y certificados • Almacenamiento de las mismas en el DNIe • Entrega del DNIe y de la contraseña en sobre opaco 26 TIC-ITEFI-CSIC 13 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información DNIe: soporte lógico (3) • Cambio de clave (PIN) • Renovación de certificados • Revocación de certificados (lista de certificados revocados) • DNIe para menores • DNIe 3.0: • Emitido desde enero de 2015 • Dotado con tecnología NFC o de comunicación en campo cercano (Near Field Communication) 27 Cambio de PIN Para cualquier aplicación se debe tener instalado el Certificado de la DGP y el módulo de seguridad PKCS#11. Cambio de PIN Mediante el PUK (Personal Unblocking Code) en los puestos de expedición: la huella dactilar Accediendo por Internet mediante la aplicación adecuada: http://www.dnielectronico.es/descargas/index.html TIC-ITEFI-CSIC 28 14 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Cambio de PIN por internet 29 Usos del DNIe 30 TIC-ITEFI-CSIC 15 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Firmas con el DNIe • VALIDe (VALIdación de firma y certificados online y Demostrador de servicios de @firma.) • https://valide.redsara.es/valide/ • Cliente de firma • Ecofirma • Adobe Acrobat/Reader 31 Lectura automática del DNIe 32 TIC-ITEFI-CSIC 16 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Información del reverso del DNIe Los datos del reverso permiten la lectura por escáner (OCR-B) de algunas características del DNI-e y verificar de forma rápida la corrección de los datos leídos (uso de dígitos de control) IDESP12345678?D0<<<<<<<<<<<<<<< IDESPAAA987654D112345678?<<<<<< 301020D2M070809D3ESP<<<<<<<<<<D DETAL<YCUAL<<FULANITO<<<<<<<<< 33 Reverso del DNIe: la letra IDESPAAA987654D112345678?<<<<<< • • • • Tipo de documento: ID País: ESP Identificación del soporte (IDESP): AAA987654 Número del DNI: 12345678 Determinación de la letra (?) del DNI para obtener el NIF. Resto de la división del DNI entre 23 según la tabla siguiente: 0:T 8:P 16:Q 1:R 9:D 17:V 2:W 10:X 18:H 3:A 11:B 19:L 4:G 12:N 20:C 5:M 13:J 21:K 6:Y 14:Z 22:E 7:F 15:S DNI: 12345678 = 23·536768 + 14 Letra: 14 Z NIF: 12345678Z 34 TIC-ITEFI-CSIC 17 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información DNIe: dígito de control 1 IDESPAAA987654D112345678Z<<<<<< 301020D2M070809D3ESP<<<<<<<<<<D DETAL<YCUAL<<FULANITO<<<<<<<<< • Identificación de la Tarjeta: AAA987654 = a1 a2 … a9 D1 = ∑i=0…2 (7·a3i+1 + 3·a3i+2 + 1·a3i+3) (mod 10) = 7·0 + 3·0+ 1·0 + 7·9 + 3·8 + 1·7 + 7·6 + 3·5 + 1·4 = 148 (mod 10) = 10·14 + 8 8 IDESPAAA987654812345678Z<<<<<< 301020D2M070809D3ESP<<<<<<<<<<D DETAL<YCUAL<<FULANITO<<<<<<<<< 35 DNIe: dígitos de control 2 y 3 • 301020D2M070809D3ESP<<<<<<<<<<D Fecha de nacimiento (aammdd): 301020 = b1 b2 ... b6 • Dígito de control nacimiento: D2 D2 = ∑i=0,1 (7·b3i+1 + 3·b3i+2 + 1·b3i+3) (mod 10) = 7·3 + 3·0 + 1·1 + 7·0 + 3·2 + 1·0 =28(mod 10)=10·2 + 8 8 • Sexo (M/F): M • Fecha de caducidad (aammdd): 070809 = c1 c2 ... c6 • Dígito de control fecha de caducidad: D3 D3 = ∑i=0,1 (7·c3i+1 + 3·c3i+2 + 1·c3i+3) (mod 10) = 7·0 + 3·7 + 1·0 + 7·8 + 3·0 + 1·9 =86 (mod 10)=10·8 + 6 6 3010208M0708096ESP<<<<<<<<<<<D 36 TIC-ITEFI-CSIC 18 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Empleo del DNIe: dígito de control IDESPAAA987654812345678Z<<<<<< 3010208M0708096ESP<<<<<<<<<<<D • Dígito de control del carnet: D 0009876548123456782530102080708096 = e1 … e33 D = ∑i=0…10 (7·e3i+1 + 3·e3i+2 + 1·e3i+3) (mod 10) = D0 + 7·8+3·1+1·2+7·3+3·4+1·5+7·6+3·7+1·8+7·25+3·3+1·0 +7·1+3·0+1·2+7·0+3·8+1·0+7·7+3·0+1·8+7·0+3·9+1·6 = 485 (mod 10) = 10·48 + 5 5 IDESPAAA987654812345678Z<<<<<< 3010208M0708096ESP<<<<<<<<<<<5 DETAL<YCUAL<<FULANITO<<<<<<<<< 37 Empleo del DNIe • Software • Descargar software e instalar (http://www.dnielectronico.es/descargas/index.html) • Certificado de la Autoridad de Certificación de la DGP • Importar (y exportar) el certificado • Hardware: lector de tarjetas (ISO 7816) • Servicios disponibles http://www.dnielectronico.es/servicios_disponibles/serv_disp_age.html • Futuro • • • • Certificaciones Factura electrónica Firma de contratos Etc. 38 TIC-ITEFI-CSIC 19 Luis Hernández Encinas Instituto de Tecnologías Físicas y de la Información Bibliografía •J. Crespo Sánchez, J. Espinosa García, L. Hernández Encinas, H. Rifá Pous, M. Torres Hernández, Hacia una nueva identificación electrónica del ciudadano: el DNI-e, Actas de la IX Reunión Española de Criptología y Seguridad de la Información (IX RECSI), 548-561, Barcelona, 2006. •W. Feghhi, J. Feghhi and P. Williams, Digital certificates. Applied Internet Security, Addison-Wesley, Reading, MS, 1999. •V. Gayoso Martínez, L. Hernández Encinas y A. Martín Muñoz, La tarjeta de identidad española como método de autenticación en redes sociales, VII Congreso Iberoamericano de Seguridad Informática (CIBSI 2013), Actas 16-26, ISBN: 978-9962-676-43-0, Ciudad de Panamá (Panamá), Octubre, 2013. •V. Gayoso Martínez, L. Hernández Encinas, A. Martín Muñoz, and J.I. Sánchez García, Identification by means of a national ID card for wireless services, Global Wireless Summit 2013, Proc. 5 pp., ISBN: 978-87-9298252-0, Atlantic City (USA), June 24–27, 2013. •W. Stallings, Cryptography and network security, 2nd. ed., Prentice Hall, 1999. 39 Muchas gracias ¿Preguntas? 40 TIC-ITEFI-CSIC 20