DNI DIGITAL

Erica Villegas Quintana

Indice 1. Componentes del DNI electrnico ..................2 2.Que es el DNI DIGITAL ....................................4 3.Como cambiar el PIN ........................................6 4.Como utilizar el DNI DIGITAL .......................7 5. Chip ...................................................................9 6. Seguridad ..........................................................10 7. Bibliografa .......................................................13

1. Componentes del DNI electrnico

En la tarjeta del nuevo DNI electrnico se incorpora un chip que contendr la siguiente informacin :

Certificado de autenticacin. Certificado de firma electrnica. Claves. La huella digital. Fotografa digitalizada. La imagen digitalizada de la firma manuscrita. Los datos impresos en la tarjeta.

Los certificados los proporciona la Autoridad de Certificacin (AC) segn la norma X509v3, que se utilizar para garantizar que una clave pblica corresponde a una determinada persona. Los certificados disponen de dos claves, una publica y una privada. * Claves pblicas: Es la clave que conoce al interlocutor en la transaccin para poder cambiar informacin de forma fiable. * Claves privadas: Es la clave que se mantiene en secreto, que se crea dentro

del chip y nunca sale del chip. El certificado electrnico se materializa en un fichero que contiene distintos campos, como muestra la figura siguiente.

El certificado de autenticacin servir para que el usuario pueda cerificar su identidad frente a terceros, demostrando la posesin y el acceso a la clave privada asociada a dicho certificado, y adems acredita su identidad. El certificado de firma electrnica permite realizar y firmar acciones yasumir compromisos de forma electrnica, de ese modo se puede comprobar la integridad de los documentos firmados por el ciudadano haciendo uso de los intrumentos de firma incluidos en l.

2. Que es el DNI DIGITAL

El DNI electrnico es el documento que acredita, desde hace 50 aos la identidad, los datos personales y la nacionalidad espaola de su titular. Con el paso de los aos el DNI ha ido evolucionando e incorporando las innovacines tecnolgicas disponible en cada momento, con el objetivo de aumentar la seguridad del documento. Con el uso de internet se hace necesario incorporar los mecanismos adecuados para identificar a las personas, y es importante poder utilizar en el mundo virual las mismas herramientas que utilizamos da a da en el mundo fsico. Como son las acreditaciones electrnicas , la fima digital para documentos electrnicos de ese modo le damos una validez jurdica equivalente a la que les proporciona la firma manuscrita. La nica novedad del DNI es la incorporacin de un pequeo circuito intregrado (chip) capaz de guardar de forma segura informacin y de procesarla internamente. Para poder introducir el chip cambiamos la cartulina plastificada por una tarjeta de material plstico, que proporcina ms seguridad.

chip de DNI electrnico La utilidad del nuevo DNI electrnico : Para hacer compras firmadas a travs de internet Para hacer trmites completos en la Administracin publica Para hacer tramites bancarios Como tarjeta identificativa en el trabajo Para trabajar con nuestro ordenador de forma segura Para identificar a las personas con las que nos comunicamos por internet.

2. Como cambiar el PIN

El PIN es una contrasea personal que nos permitir acceder a las distintas funciones del DNI electrnico y adems protege la informacin contenida en l, los certificados de autentificacin y de firma electrnica , al igual que sus respectivas claves privada y pblicas, y el PIN nos permitir autorizar la funcin de firma con DNI electrnico. El codigo se asigna aleatoriamente en el momento de la expedicin, y se entrega al ciudadano en un sobre ciego. La contrasea se puede cambiar por cualquier otra que le resulte ms fcil recordar en los Puntos de Actualizacin del DNI electrnico existentes en las Oficinas de Expedicin. Para cambiar el PIN hay que tener en cuenta :

Debe elegir un PIN entre 8 y 16 caracteres alfanumricos. Debe ser fcil de recordar. No es recomendable elegir el nombre o apellido ya que son facil de averiguar, y lo que se intenta es que no pueda averiguarlo ninguno ya que los datos del DNI electrnico contienes datos privados. No es recomendable utilizar ni fechas de nacimiento ni de aniversario, ni numero de telefono, matrcula, ect.. Tambien hay que evitar utilizar cifras numericas consecutivas o repetidas ( o letras). La mejor combinacin seria con letras MAYUSCILAS y MINUSCULAS combinadas con numeros.

Es muy importante tener encuenta que el PIN es la contrasea que protege sus claves privadas y permite activar las aplicaciones que generan firmas electrnicas y es confidencial, personal e intransferible. Ala hora de cambiar el PIN se pueden dar dos situaciones :

Que se nos haya olvidado el PIN entonces tendremos que ir para cambiar la contrasea a Puntos de Actualizacin del DNI elctrnico que existe en las Oficinas de Expedicin. Aqu disponen de un lector de impresin dactilar, lo que hace es comparar la

huella dactilar con la almacenada en el chip en el momento de la expedicin. Si el resultado es positivo se podr camibar el PIN del DNI electrnico.

Si nos acordamos del PIN podemos o acudir a un Punto de Actualizacin de DNI electrnico en la Oficina de Expedicin y cambiar su PIN proporcinando el PIN actual. O sino si dispones de un ordenador con lector de tarjetas criptogrficas y conexin a internet.

Cabe destacar que cuando realizamos operaciones sobre el DNI electrnico el PIN de seguridad ser solicitado , en el caso de que introduzcamos el PIN de forma incorrecta tres veces consecutivas el PIN estar bloqueado . Para desbloquear el PIN tenemos que dirigirnos a los Puntos de Actualizacin del DNI en las Oficinas de expedicin, y all le permitirn hacer un cambio de PIN de forma segura. En el caso de que se bloquee el PIN no nos mostrar los certificados en el navegador , ya que no se pueden acceder a ellos por el bloqueo.

3. Como utilizar el DNI DIGITAL

Para utilizar el DNI electrnico ser necesario elementos hardware y software que nos van a permitir el acceso al chip de la tarjeta y la utilizacin de los certificados contenidos en l. Los elementos hardware sern:

Un ordenador personal. Un lector de tarjetas inteligentes que cumpla el estndar ISO 7816, puede estar incluido en el teclado , conectado por va USB o a travs de una interfaz PCMCIA. A la hora de elegir un lector que sea compatible con el DNI necesitamos que - Cumpla con el standar ISO 7816 soporte . - Que soporte tarjetas asncronas basadas en protocolos T=0 (y T=1).

- Que soporte velocidades de comunicacin minimas de 9.600 bps. - Que soporte los estndares API PC/SC , CSP, API PKCS#11 El estndar PKCS#11 es el empleado para que los programas se comuniquen con los dispositivos de almacenamiento de claves (tarjetas inteligente, etc) y para poder realizar de una forma segura las operaciones criptogrficas sin que la clave privada tenga que ser leda en el equipo. Este estndar se llama CRYPTOKI. Los elementos software:

Sistemas operativos (Windows, Linux, Unix, Mac). Navegadores (Internet Explorer, Mozilla Firefox, Netscape version 4.78 o superior). Controladores / Modulos criptogrficos * Para Windows debe tener instalado Cryptogrphic Service Provider (CSP). * Para Unix / Linux o Mac debe tener instalado un mdulo criptogrfico PKCS#11.

Estos software se podran obtener en el rea de descarga que proporcina la pagina del ministerio del interior ( http://www.dnielectronico.es/descargas). Tambien ser necesario instalar los drivers que proporciona el lector de tarjetas. Cabe destacar que nuestro equipo debe disponer de la versin JAVA 2.5 o superior.

5. Chip
El chip el la nueva tecnologia que diferencia al dni electrnico del dni antiguo, el chip utilizado es, el chip SLE66CX320P de la empresa alemana Infineon Technologies, cuenta con el certificado de alta seguridad para el nivel E4 del Information Technology Security Evaluation Criteria (ITSEC). El chip pertenece a la familia 66Plus de Infineon. Tiene un procesador de 16 bits fabricado con tecnologia de 0.25 micrones. Esta especializado en tareas criptogrficas, por lo que puede procesar los algoritmos RSA que se encarga de generar las claves publicas y privadas aleatoriamente, las claves tienen hasta 2048 bits, en menos de 290 microsegundos, o trabajar con DES, triple DES y con criptografia de curvas elpticas. Esta compuesto de un gran numero de dispositivos, como un generador de nmeros aleatorios por hardware, lgica de seguridad antimonitorizacin de datos y claves, una unidad de manejo de memoria (MMU), un generador de frecuencias (PLL), cifrado/descifrado DES/triple DES por hardware, dos temporizadores de 16 bits, un circuito de comprobacin de redundancia cclica (CRC) y la lgica de interrupciones del dispositivo. Para el almacenamiento de datos y programas, cuenta con 32 Kb de memoria EEPROM, 64 Kb de memoria ROM y 3 Kb de RAM. Entre sus medidas de seguridad destacan un nmero de identificacin nico para cada chip, un dispositivo de encriptacin/desencriptacin de memoria para la RAM, ROM y EEPROM, un generador de nmeros aleatorios por hardware verificable internamente, una disposicin de elementos optimizada para dificultar el acceso a los componentes, contramedidas para el anlisis de fallos diferencial, la alimentacin diferencial o de anlisis simple de potencia y un blindaje activo con deteccin de ataques.

6.Seguridad
La tarjeta dispone de distintos mtodos de autenticacin, para demostrar lasu identidad. La correcta realizacin de estos metodos nos permitira tener unas condiciones de seguridad, que ser necesaria para acceder a los distintos recursos de la tarjeta. El usuario dispone de un PIN necesario para verificar su acceso a la tarjeta DNI, este cdigo se llama CHV (Card Holder verification). El cdigo CHV tiene un contador que permite un numero determinado de intentos, por defecto tiene el numero 3, por lo tanto, si nosotros queremos accedemos a la tarjeta, si nos equivocamos una vez el contador decrece por lo tanto pasa a ser 2, tenemos hasta 3 intentos, si el contador llega a cero la tarjeta se bloquear. Y la manera de desbloquearla ser mediante la huella dactilar. Pero la huella dactilar dispone de un contador de intentos, en el caso de agotar los intentos se bloquear, pero en este caso no habr forma de desbloquearla, por lo tanto tendremos que cambiar el cdigo de CHV por uno nuevo La tarjeta permite realizar una identificacin biomtrica del titular, solo disponible en los puntos de acceso controlados. Esta tcnica se basa en obtener los datos biomtricos desde el dispositivo lector de huellas, presenta la informacin inicial de condiciones de uso y seguridad, la tarjeta procede, mediante su algoritmo Match on Card, a evaluar la correspondencia entre la huella presentada y la referencia. Si la evaluacin supera al umbral,la verificacin es correcta. Sino la tarjeta anota un acceso errneo sobre la huella, devolviendo el nmero de intentos restantes. Tambin hay una autenticacin de la aplicacin donde la aplicacin debe aplicar un algoritmo junto con el correspondiente cdigo secreto y nombre de la clave. La tarjeta realizar la misma operacin, comprobar el resultadado delos datos transmitidos por la aplicacin, si coinciden se acepta entonces se pueden realizar operaciones sobre ella. La autenticacion mutua se realiz mediante la presentacion mutua de certificados, y su verificacin.

Este metodo incluye el intercambio seguro de unas claves de sesion que debern ser para cifrar todos los mensajes intercambiados. Se pueden usar varias alternativas, una explicitamente o otra implicitamente en funcin de su identificador de algoritmo en un comando de gestin de entorno de seguridad anterior (MSE). Las dos opciones estan basadas en la especificacin CWA 14890-1 Application Interface for samrt cards used as Secured Signature Creation Devices -Part1 tambin en la autenticacin con intercambio de claves y en la autenticacin de dispositivos con proteccin de la privacidad. A la hora de transmitir un mensaje es muy importante establecer un canal seguro entre el terminal y la tarjeta. Durante la presencia del canal seguro los mensajes se cifran y autentican. Para que el canal sea seguro, en primer lugar, se realiza un intercambio de las claves publicas de la tarjeta y el terminal mediante certificados que sern veridicados por ambas partes. Luego se hace un protocolo de autenticacin mutua , con intercambio de semillas para derivacion de una semilla comn que d lugar a las claves de sesin de cifrado y autenticado. Las funciones criptogrficas sern : *Las Claves RSA que es capaz de gestionar y crear las claves RSA. La generacin de pareja de claves RSA sigue el estndar PKCS#1 y se usa el algoritmo MILLER-RABIN como test de primalidad. que es capaz de incluir de forma real en un mensaje la firma digital. Donde se descifra la rbrica r con la clave pblica del emisor e, al mensaje en claro recibido se le aplica la misma funcin hash que en emisin, si los valores son iguales, la firma es autntica y el mensaje integro. Cual sera la probabilidad de que dos mensajes tubiern el mismo hash? Si fuer baja se podra dar el caso de que alguien modifica nuestro mensaje firmado, y enviar ese mensaje falso con la misma firma del primero. Mensaje 1: No tiene ninguna aceptacin Mensaje 2: Acepto sin ningn problema hash : 1011 hash : 1011
*Hash

De este modo se podran crear muchos mensajes diferente que digan casi lo mismo, incluso con el mismo numero de caracteres. Por este motivo los hash tienen que cumplir unas propiedades:

1.Unidireccionalidad 2.Compresin 3.Facilidad de clculo 4.Difucin 5.Colisin simple 6.Colisin fuerte La tarjeta ser capaz de realizar hash de datos con el algoritmo SHA 1 (National Institute of Standards and Technology) entreg un resumen de 160 bits, una complijidad algoritmica de 2 elevado a 80, donde el vector inicial tiene una palabra ms de 32 bits por lo que el resumen ser de 160 bits. A cada bloque de 512 bits del mensaje se le aplicarn 80 vueltas.

El algoritmo para cada bloque de 512 bits ser:

Para t = 0 hasta 79 hacer: TEMP = (a <<<5) + ft(b,c,d) + e + Wt + Kt a=e e=d d=c c = b <<<30 b=a a = TEMP
Despus de realizar cualquier operacin de hash el cdigo resultante es almacenado en la memoria de la tarjeta para se usado posteriormente por un comando. El hash solo permanece en la memoria hasta la siguiente operacin. Las firmas digitales se pueden realizar de dos formas, en modo raw o en modo relleno PKCS#1.

7. Bibliografa
- http://www.dnielectronico.es/ - http://www.lectordni.com/dni_electronico.htm - HISPALINUX (asociacion de usuarios espaoles de linux) - Guia de referencia bsica v1