Download 3. Presentación de PowerPoint
Document related concepts
no text concepts found
Transcript
El DNI electrónico y su identidad biométrica Buenos Aires, Noviembre 2.006 Índice 01 Objetivos y aspectos del proyecto 02 Procedimiento de emisión 03 Jerarquía de certificación y validación 04 Contenido del chip 05 Identidad biométrica 06 Sistema de personalización 07 Despliegue actual 08 Certificaciones 09 2 OBJETIVOS Crear Crear un un documento documento con: con: ◘◘ Última Última tecnología tecnología seguridad seguridad ◘◘ Identidad Identidad digital digital Mejorar Mejorar el el servicio servicio al al ciudadano: ciudadano: ◘◘ Entrega Entrega inmediata inmediata ◘◘ Firma Firma electrónica electrónica avanzada avanzada ◘◘ Identidad Identidad biométrica biométrica 3 ASPECTOS DEL PROYECTO El DNI tradicional es la plataforma del DNI Electrónico Sistema de Infraestructura de Clave Pública e integración de aplicaciones Tarjeta soporte con última tecnología Equipamientos adaptados a medida de requerimientos Sistema de gestión 4 PROCEDIMIENTO DE EMISIÓN OFICINAS DE EXPEDICIÓN CENTRO PRODUCCIÓN Fabricación del soporte El ciudadano acude a la oficina de documentación Verificación Datos CA Emisión CA Fabricación Posteriormente se obtiene la fotografía, la firma y la impresión dactilar y se consolida en el sistema Inicialización del chip Personalización del soporte y del chip Documentos sin personalizar Entrega al ciudadano 5 ARQUITECTURA DE VALIDACIÓN 6 CONTENIDO DEL CHIP Zona pública: accesible sin restricciones • Certificado de la Aut. de Certificación de Producción Zona privada: accesible por palabra de paso / mediante datos biométricos. •Certificado de firma del ciudadano •Certificado de autenticación del ciudadano • Claves privadas del ciudadano •Claves Públicas del ciudadano Zona restringida: Procedimiento de acceso a disposición de la Autoridad competente. • Datos biométricos (formula de la huella dactilar) • Datos de filiación del ciudadano (los mismos que están impresos en la tarjeta) • Número de serie del soporte Toda la información está firmada por la CA del DNI para garantizar su Integridad y su Autenticidad. 7 IDENTIDAD BIOMÉTRICA 8 TRATAMIENTO DE LA FOTOGRAFÍA 9 TRATAMIENTO DE LA HUELLA Control Control de de calidad: calidad: ◘◘ Nitidez Nitidez ◘◘ Verticalidad Verticalidad ◘◘ Rodamiento Rodamiento ◘◘ Alineación Alineación 10 SISTEMA DE PERSONALIZACIÓN 11 DESPLIEGUE ACTUAL DEL PROYECTO 12 Papel de la FNMT: Definición del proyecto. Soporte físico del DNIe. Estudio de posibles materiales de soporte. Estudio de posibles medidas de seguridad físicas. Software de DNIe. Se formó un grupo de apoyo en s.w. de tarjetas para: Seleccionar un hardware (chip) adecuado. Evaluar implantación de s.w. de biometría rodado-posado en el chip. Definir la especificación funcional del Sistema Operativo de la Tarjeta. Definir un modelo de seguridad para la expedición descentralizada. 13 Papel de la FNMT: Desarrollo del proyecto. Implantación de proceso de fabricación del soporte físico, en policarbonato. Implantación de un complejo proceso de pre-personalización de chips en los talleres de la FNMT. Desarrollo de un S.O. específico, a partir de las especificaciones funcionales de la DGP. Desarrollo de s.w. específico para securizar la expedición descentralizada. Desarrollo de s.w. de usuario (drivers, etc). 14 Tarjeta DNIe ¿Por qué es especial? Vamos a explicar el DNI Electrónico Español en sus aspectos: • Físicos • Lógicos 15 Características lógicas del DNIe Uso de varios certificados: Autenticación. No repudio. De Componente. Capacidad biométrica. De tipo “Match On Card”. Certificación de la seguridad. Según el esquema Common Criteria y nivel EAL4+ Canal seguro. Según recomendación europea CWA 14890. 16 Uso de dos certificados El DNIe contiene dos certificados de ciudadano y otro de componente, con fines muy distintos. Certificado de Autenticación. Certificado de No Repudio. Certificado de Componente. Key Usage: digital signature No tiene implicaciones legales. Key Usage: non-repudiation Sí tiene validez legal. Permite autenticar el propio hardware. 17 Biometría dactilar en el DNIe El DNIe es capaz de realizar una identificación del ciudadano, mediante el uso de biometría dactilar. 18 Biometría “Match On Card” vs “Match Off Card” Dos tendencias en esta tecnología: Match Off Card Match On Card (Previsto en ICAO) La comparación se hace fuera de la tarjeta. Es necesario portar el algoritmo por separado. Los datos de referencia salen de la tarjeta en cada comparación. Es muy sencillo de implementar. No se puede utilizar como condición de acceso en la tarjeta. (Usado en DNIe) El sistema es auto-contenido: La comparación se hace dentro de la tarjeta y el patrón de referencia nunca sale de ella. Privacidad absoluta de los datos de referencia y del propio algoritmo. Se puede incluir en la política de seguridad de la Tarjeta. 19 Normativa y comandos para MoC Normativa utilizada: ISO 19.785, ISO 19.794-2 Formatos de cabecera y datos de referencia. ISO 7816-4, ISO 7816-11 Para la definición de los comandos de la tarjeta. 20 Presentación de huellas para MoC en los PAD Ronda de presentación de huellas (Un intento de presentación) • Tres presentaciones de un dedo. Si las tres han fallado: • Tres presentaciones de otro dedo. Si también han fallado: • Se descuenta un intento de presentación de huella. Comienza una nueva ronda 21 Aplicaciones de la biometría en el DNIe La biometría participa en los procesos administrativos para: Desbloqueo del PIN. Sólo en el entorno autorizado de la DGP. Renovación de certificados. Sólo en PADs de la DGP, junto con otras condiciones de acceso. Verificación de identidad. Sólo en el entorno autorizado de la DGP. Primer proyecto con varios proveedores de biometría ISO 100% compatibles. 22 Certificación seguridad C. C. EAL4+ Pretendemos demostrar que la tarjeta DNIe cumple los requisitos de seguridad y funcionales que le permiten ser un: “Dispositivo seguro de creación de Firma” (Conforme a la ley 59/2003, de 19 de Diciembre, cuyo Artículo 27 detalla la certificación de dispositivos seguros de creación de firma electrónica). 23 Certificación seguridad C. C. EAL4+ Para lograr este objetivo, un laboratorio independiente (INTA) realiza un examen detallado e imparcial de los aspectos de seguridad del producto y las pruebas necesarias para asegurar que funciona correctamente, es eficaz y no muestra ninguna vulnerabilidad explotable. Con este informe, el Organismo de Certificación (CCN) emite, si procede, un certificado de seguridad. 24 Aportaciones de la certificación C. C. La seguridad se contempla en todo el ciclo de vida del producto: Análisis, diseño, pruebas, etc. La certificación realiza un estudio exhaustivo de cada etapa: Diseño: Desarrollo: Correcta especificación funcional, incluyendo los requisitos de seguridad. Traslación de los requisitos a un diseño en subsistemas y componentes. Incorporación de las mejores prácticas de programación (control de versiones, de configuración, de roles, etc.) 25 Aportaciones de la certificación C. C. Pruebas: Diseñadas para dar cobertura a la especificación funcional y verificar la correcta respuesta a casos de uso no previstos. Despliegue y operación (explotación): Mantenimiento de la certificación: De forma que se mantengan los requisitos funcionales y de seguridad. Finalmente, se realizarán revisiones periódicas, conforme al “estado del arte” para el mantenimiento de la seguridad. 26 Canal Autenticado y Cifrado Se utiliza para cifrar la comunicación del DNIe con entidades remotas, autenticando previamente los extremos. Existen dos tipos de canal, cada uno con diferentes privilegios: Canal de administrador. Canal de usuario. 27 S.W. externo para DNIe (I) La FNMT-RCM también ha desarrollado: Drivers P11 y CSP de usuario. Windows XP, 2000, etc. Linux (Debian, Red Hat, Ubuntu) MaC (sobre plataforma Intel y PowerPC) Driver P11 extendido, para expedición y PAD. Usado en carga de datos, minucias, generación de claves RSA, desbloqueo de PIN con biometría, etc. ActiveX para expedición y PAD. Específicas para facilitar la expedición de los DNIe de forma distribuida y segura. 28 Otras tarjetas del proyecto DNIe Se han desarrollado personalizaciones software especiales para las demás las tarjetas que participan en el proyecto: TIF: Tarjeta de identificación del funcionario. TIP: Tarjeta de identificación de puesto. Así como la adaptación de sus respectivos drivers al entorno de expedición. 29 S.W. externo para DNIe (II) La FNMT-RCM también ha desarrollado diversos productos s.w. complementarios, que añaden funcionalidad al DNIe. Software del Puesto de Atención Desatendida PAD. Renovar certificados. Desbloquear el PIN. Cambiar el PIN. Visualizar los datos de filiación. Etc. Puesto Virtual. Servicio de Validación de Certificados. Permite cambiar el PIN mediante el acceso a una Web. Permite comprobar la vigencia de los certificados. 30 CERTIFICACIONES UNE-EN ISO 9001:2000 Certificaciones en el ámbito de Defensa PECAL 2110 / PECAL 160 Certificaciones en el sector aeroespacial UNE-EN 9100 UNE-EN ISO 14001 Reglamento Europeo 761/2001(EMAS) 31