Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
COMUNICACIN Y DIVULGACIN
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
DNI electrnico
Gua de Referencia Bsica
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Autor
DGPGC
Tipo de documento
Gua
Departamento
Versin
1.5
Fecha
10 de junio de 2015
Fichero fuente
Fecha
26 de junio de 2006
31 de agosto de 2008
26 de octubre de 2010
04 de julio de 2014
10 de Junio de 2015
Control de cambios
Versin
1.1
1.2
1.3
1.4
1.5
Descripcin
Versin original.
Modificaciones administrativas.
Actualizacin Autoridad de Validacin.
Modificaciones administrativas.
Modificacin Administrativa
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
los mbitos a nivel nacional y referente obligado para la expedicin de otros documentos
De esta forma se puede afirmar que el Documento Nacional de Identidad goza de una plena
c.
De la lectura de este artculo se comprueba que esta caracterstica del DNI tradicional, se
d.
fsico, sino tambin ante transacciones telemticas, permitiendo firmar todo tipo de
electrnica que se efecte mediante el DNI electrnico tendr efectos equivalentes a los
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Pblico vinculadas o dependientes de las mismas del uso del DNI electrnico. (E.j. para
hacer la declaracin de la renta, pedir un certificado de empadronamiento, dar de alta en
e.
personas con el mismo valor que la firma manuscrita, autentificando las comunicaciones
Por otra parte la Ley 59/2003, de 19 de diciembre, de firma electrnica define la firma
electrnica de la siguiente manera:
reconocida:
(Art. 3.2) La firma electrnica avanzada es la firma electrnica que permite identificar al
firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al
firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios
(Art. 3.4)La firma electrnica reconocida tendr respecto de los datos consignados en
forma electrnica el mismo valor que la firma manuscrita en relacin con los
consignados en papel.
Cada parte tiene un par de claves, una se usa para cifrar y la otra para descifrar.
Cada parte mantiene en secreto una de las claves (clave privada) y pone a disposicin del
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
El emisor obtiene un resumen del mensaje a firmar con una funcin llamada hash
El emisor cifra el resumen del mensaje con la clave privada. sta es la firma electrnica
hash. Adems descifra la firma utilizando la clave pblica del emisor obteniendo el
resumen que el emisor calcul. Si ambos coinciden la firma es vlida por lo que cumple
los criterios ya vistos de autenticidad e integridad adems del de no repudio ya que el
f.
del DNIe:
Cerificado de autenticacin
El Ciudadano podr, a travs de su Certificado de Autenticacin,
acredita su identidad.
Primer apellido
Segundo apellido
Nombre
Sexo
5
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Nacionalidad
Fecha de nacimiento
En el espacio destinado a la impresin de imagen lser cambiante (CLI) situada debajo del
chip:
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
En la parte superior:
Lugar de nacimiento
Provincia-Pas
Domicilio
Lugar de domicilio
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
b.
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Firma electrnica.
La firma electrnica es el conjunto de datos en forma electrnica, consignados
junto a otros o asociados con ellos, que pueden ser utilizados como medio de
identificacin del firmante.
puedan identificarse mutuamente con la certeza de que son ellos los que estn
interactuando, evita que terceras personas intercepten esos contenidos y que los
mismos puedan ser alterados, as como que alguna de las partes pueda "repudiar"
firmante y detectar cualquier cambio ulterior de los datos firmados, que est
vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido
creada por medios que el firmante puede mantener bajo su exclusivo control.
c.
que relacionan las herramientas de firma electrnica que tiene cada usuario con su
Vida til
Al hablar de vida til se deben contemplar dos aspectos.
En primer lugar, con carcter general el documento nacional de identidad tendr
edad.
b) Cinco aos, cuando el titular haya cumplido los cinco aos de edad
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
un ao en determinadas circunstancias.
tarjeta del DNI electrnico que tendrn un perodo de vigencia de treinta meses.
e.
electrnica.
Decreto 1553/2005.
de los mensajes que enva. Por tanto los ciudadanos podrn consultar
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
con
los
distintos
dispositivos
generalmente aceptados
productos
de
firma
electrnica
comercial con sus clientes. Estos servicios podrn ser ofrecidos con la
mxima seguridad.
o
privado.
4. Descripcin fsica
El propsito de la tarjeta soporte del DNIe es contener los datos de filiacin del
ciudadano, los datos biomtricos (modelo dactilar, foto y firma manuscrita) y los
dos pares de claves RSA con sus respectivos certificados (autenticacin y firma).
Esta tarjeta est compuesta de 2 partes:
10
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Chip ST19WL34
Capacidad de 32K.
y condiciones de acceso:
Claves Diffie-Hellman.
Imagen de la fotografa.
11
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Certificado
de
Autenticacin.
Tiene
como
al
finalidad
realizar
una
garantizar
transaccin
comunicacin electrnica se realiza con la persona que dice que es. El titular
podr a travs de su certificado acreditar su identidad frente a cualquiera ya
servicios no tendrn garanta del compromiso del titular del DNI con el
contenido firmado. Su uso principal ser para generar mensajes de
12
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
infraestructura de registro.
de origen.
5. Proceso de expedicin
Proceso de expedicin
Para
la
primera
expedicin
del
Documento
Nacional
de
Identidad
ser
Certificacin
literal
de
nacimiento
expedida
por
el
Registro
Civil
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Una fotografa reciente, en color, del rostro del solicitante, tamao 32 por 26
La renovacin se llevar a cabo mediante la presencia fsica del titular del Documento, que
deber abonar la tasa correspondiente y aportar los siguientes documentos:
o
Una fotografa reciente, en color, del rostro del solicitante, tamao 32 por 26
milmetros con fondo uniforme, blanco y liso, tomadas de frente con
la
El DNI anterior.
Registro Civil, expedido con una antelacin mxima de seis meses a la fecha
de solicitud del DNI.
para la renovacin. En estos casos, el nuevo DNI tendr la misma validez que
14
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
a) Elementos hardware
El DNI electrnico requiere el siguiente equipamiento fsico:
similar).
o tecnologa
Para elegir un lector que sean compatible con el DNI electrnico, verifique que, al
menos:
15
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Sistemas operativos
El DNI electrnico puede operar en diversos entornos:
Linux
Unix
Mac
Navegadores
El DNI electrnico es compatible con todos los navegadores:
(CSP).
o
PKCS#11
16
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
lector.
forma demostrar la identidad del firmante sin que ste pueda repudiarlo.
Permite comprobar que el documento no ha sido modificado por ningn agente externo a la
Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del documento,
de forma tal que cualquier alteracin posterior del documento dar lugar a una alteracin del
resumen.
tiempo, etc.)
17
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
registro fuerte que permita la expedicin de certificados reconocidos por parte de entidades
privadas, sin verse estas obligadas a realizar una fuerte inversin en el despliegue y
mantenimiento de una infraestructura de registro.
Escenario
Imaginemos la siguiente situacin: un ciudadano establece una comunicacin a travs de
Internet con un organismo de la Administracin Pblica (o una Entidad Privada) que ofrece
un servicio telemtico para que el ciudadano cumplimente un trmite administrativo que
Este escenario plantea el uso de los dos tipos de certificados electrnicos por parte del
ciudadano:
exclusivamente
utilizado
para
el
establecimiento
de
canales
privados
confidenciales con los prestadores de servicio. Permite cerrar el tnel SSL con el
relaciones del ciudadano con terceros (Ley 59/2003, de firma electrnica, artculos
3.4 y 15.2).
Descripcin de Uso
Asumiendo que:
(PC/SC)
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
o Entidad Privada. El canal establecido queda autenticado en ambos extremos por el uso de
certificados que garantizan la identidad de las partes:
ciudadano
Tal y como queda reflejado en el esquema anterior, el proceso de autenticacin entre ambas
es en ningn caso emitido por la DGP o el Ministerio del Interior, la veracidad de este
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
posibles alteraciones.
del ciudadano.
Usabilidad
El protocolo descrito en el esquema corresponde al establecimiento de una sesin SSL
(Secure Socket Layer). La eleccin de este mecanismo viene determinada por que
prcticamente el 100% de los servidores y clientes utilizados disponen de esta capacidad.
frente al cliente (ciudadano), como que el cliente se autentique frente al servidor. (Este es el
ideal recomendado)
20
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
servicios, puede determinar con garanta la identidad del ciudadano estar en disposicin de
La utilizacin del certificado de Autenticacin del DNI electrnico garantiza la identidad del
ciudadano, y podr ser utilizado por los proveedores de servicios para establecer reglas de
acceso a la informacin en base a la identidad del mismo.
electrnicos, mediante el uso del DNI electrnico, cumpliendo con la normativa sujeta al uso
de certificados cualificados:
cumplimentado
Conviene recordar que para llevar a cabo un proceso de firma electrnica debemos disponer
de una aplicacin informtica que nos permita realizar esta funcionalidad.
21
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
formulario firmado con acuse de recibo. Aunque este trmite es ajeno al DNI electrnico,
parece necesario que el prestador del servicio ofrezca garanta al ciudadano de la correcta
realizacin del trmite efectuado. Dentro de unas buenas prcticas el prestador de servicios
deber proporcionar al ciudadano un recibo indicando que su trmite ha sido aceptado.
de Sellos de Tiempo (que garantiza el instante exacto en el que un trmite fue aceptado por
el prestador de servicios, y debe ser evidentemente una entidad externa a dicho prestador y
La informacin sobre los certificados electrnicos revocados (no vigentes) se almacena en las
denominadas listas de revocacin de certificados (CRL).
22
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
tiene en modo alguno acceso a los datos de las transacciones que se realicen con los
certificados que ella emite y las Autoridades de Validacin no tiene acceso a la identidad de
Validacin:
Administraciones Pblicas.
o
estado del certificado a la Autoridad de Validacin, la cual, tras consultar su base de datos,
ofrece - va http - una respuesta sobre el estado del certificado.
El servicio de validacin est disponible de forma ininterrumpida todos los das del ao.
9. Seguridad
- Funciones de seguridad accesibles
Para hacer uso del DNI electrnico en los trminos expuestos anteriormente, ste provee las
La tarjeta DNIe dispone de distintos mtodos de autenticacin, mediante los que una entidad
externa demuestra su identidad, o el conocimiento de algn dato secreto almacenado en la
tarjeta. La correcta realizacin de cada uno de estos mtodos, permite obtener unas
23
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
condiciones de seguridad, que podrn ser requeridas para el acceso a los distintos recursos
de la tarjeta.
La tarjeta DNIe soporta verificacin de usuario (CHV- Card Holder verification). Esta
operacin es realizada comprobando el cdigo facilitado por la entidad externa a travs del
correspondiente comando.
Cada cdigo CHV tiene su propio contador de intentos. Tras una presentacin vlida de PIN,
(tpicamente = 3). El contador de intentos es decrementado cada vez que se realiza una
desbloquear un cdigo tras una correcta presentacin de la huella dactilar del usuario, que
en este caso acta de cdigo de desbloqueo. A su vez estas presentaciones de huellas tienen
El cdigo PIN es personal e intransferible, por tanto, nicamente debe ser conocido por el
La tarjeta DNIe permite realizar una identificacin biomtrica del titular de sta, si bien esta
funcin slo estar disponible en puntos de acceso controlados.
La aplicacin que accede al DNIe, una vez conocida la informacin sobre las huellas
portador que coloque el dedo adecuado. Tras obtener los datos biomtricos desde el
anota una presentacin errnea sobre esa huella devolviendo el nmero de intentos
restantes.
Autenticacin de aplicacin
24
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
conocimiento del nombre y valor de un cdigo secreto. Para realizar esta autenticacin de
aplicacin, se utiliza un protocolo de desafo-respuesta, con los siguientes pasos:
o La aplicacin pide un desafo a la tarjeta
Este procedimiento permite que cada una de las partes (tarjeta y aplicacin externa) confe
en la otra, mediante la presentacin mutua de certificados, y su verificacin.
ser
utilizadas
para
securizar
(cifrar)
todos
los
mensajes
intercambiados
Las dos opciones disponibles estn basadas en la especificacin CWA 14890-1 Application
Interface for smart cards used as Secured Signature Creation Devices Part 1, y son las
siguientes:
2. Securizacin de mensajes
La tarjeta DNIe permite la posibilidad de establecer un canal seguro entre el terminal y la
presencia del canal seguro los mensajes se cifran y autentican, de tal forma que se asegura
una comunicacin una a uno entre los dos puntos originarios del canal.
El canal seguro puede ser requerido por la aplicacin o puede ser una restriccin de acceso
impuesta a algn recurso de la tarjeta
25
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Para el establecimiento del canal seguro, en primer lugar, se realiza un intercambio de las
claves pblicas de la tarjeta y el terminal mediante certificados que sern verificados por
intercambio de semillas para la derivacin de una semilla comn que d lugar a las claves de
Una vez concluido el protocolo para el establecimiento de la semilla comn todos los
mensajes deben transmitirse securizados.
de un canal seguro.
El cambio de PIN, haciendo uso de la huella dactilar (desbloqueo), nicamente est permitido
Claves RSA
claves RSA sigue el estndar PKCS#1 v1.5. Se usa el algoritmo Miller-Rabin como test de
primalidad.
Hash
La tarjeta DNIe es capaz de realizar hash de datos con el algoritmo SHA1. Es posible realizar
la tarjeta para ser usado posteriormente por un comando. El hash slo permanece en
Firmas electrnicas
26
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
La tarjeta DNIe tiene capacidad para la realizacin de firmas electrnicas de dos modos
diferentes:
o Modo raw
entre dos entidades. Es posible cifrar una clave Ks con la clave pblica de un destinatario, la
cual puede ser cargada en la memoria de la tarjeta protegida mediante una clave RSA. El
La tarjeta puede realizar operaciones 3 DES CBC con claves de 16 bytes (k1, k2, k1). Para
realizar operaciones 3DES en la tarjeta, la clave de 16 bytes de longitud debe ser cargada en
memoria. El proceso de carga est protegido por algoritmo RSA. La clave permanece en
memoria hasta que se finaliza la sesin con la tarjeta o se carga una nueva.
Aplicaciones de firma
Uno de los principales usos del DNI electrnico es la realizacin de firma electrnica. Para
utilizar esta funcionalidad de firma, numerosas aplicaciones pueden ser empleadas, ya que
stas acceden a las capas o mdulos intermedios de CSP y PKCS#11, que proporcionan un
interfaz estndar de acceso a la tarjeta.
http://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_104&id_menu=[1]
criptogrficos
CSP
PKCS#11
que
se
encuentran
en
http://www.dnielectronico.es/PortalDNIe/PRF1_Cons02.action?pag=REF_1100
la
direccin
Estos mdulos contienen lo necesario para establecer un entorno seguro en la operacin con
27
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Nacional de Moneda y Timbre - Real Casa de la Moneda, de mbito universal (para todo
tipo de usuarios) y para cualquier tipo de incidencia relativa al DNI electrnico.
acceso a una clave y se permite su uso. En el caso de la tarjeta del DNIe el dato de
activacin es la clave personal de acceso (PIN) y/o los patrones de las impresiones
dactilares (biometra)
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
emplea un par de claves en la que lo que se cifra con una de ellas slo se puede
Clave de Sesin: clave que establece para cifrar una comunicacin entre dos
Datos de creacin de Firma (Clave Privada): son datos nicos, como cdigos o
electrnica.
Datos de verificacin de Firma (Clave Pblica): son los datos, como cdigos o
claves criptogrficas pblicas, que se utilizan para verificar la Firma electrnica.
Directorio: Repositorio de informacin que sigue el estndar X.500 de ITU-T.
Dispositivo seguro de creacin de Firma: instrumento que sirve para aplicar los
datos de creacin de firma cumpliendo con los requisitos que establece el artculo
24.3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica.
o cualquier otro organismo que trate datos personales por cuenta del responsable
a otros o asociados con ellos, que pueden ser utilizados como medio de
identificacin personal
29
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Funcin hash.
Hash o Huella digital: resultado de tamao fijo que se obtiene tras aplicar una
electrnica.
COMISIN TCNICA
DE APOYO A LA
IMPLANTACIN
DEL DNI ELECTRNICO
GRUPO DE TRABAJO DE
COMUNICACIN Y DIVULGACIN
Tercero Aceptante: persona o entidad diferente del titular que decide aceptar y
31