COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

DNI electrnico Gua de Referencia Bsica

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Autor Tipo de documento Departamento Versin Fecha Fichero fuente

DGPGC Gua Unidad de Documentacin de Espaoles y Archivo 1.3 26 de octubre de 2010 Gua de referencia bsica.doc

Fecha 26 de junio de 2006 31 de agosto de 2008 26 de octubre de 2010

Control de cambios Versin 1.1 1.2 1.3

Descripcin Versin original. Modificaciones administrativas. Actualizacin Autoridad de Validacin.

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

El Documento Nacional de Identidad es un documento con una antigedad de ms de 50 aos, y est presente en la mayora de las relaciones comerciales y administrativas, y su pblicos y privados. nmero figura en un altsimo porcentaje de las bases de datos de entidades y organismos

El Documento Nacional de Identidad es el nico documento de uso generalizado en todos los mbitos a nivel nacional y referente obligado para la expedicin de otros documentos (pasaporte, permiso de conducir, seguridad social, NIF, etc.).

De esta forma se puede afirmar que el Documento Nacional de Identidad goza de una plena aceptacin en la sociedad espaola.

c.

Antecedentes: DNI tradicional versus DNI electrnico

Como establece el artculo 1 del RD 1553/2005, de 23 de diciembre, por el que se regula la Dicho Documento tiene suficiente valor, por s solo, para acreditar la identidad y los datos

expedicin del documento nacional de identidad y sus certificados de firma electrnica,

personales de su titular que en l se consignen, as como la nacionalidad espaola del mismo.

De la lectura de este artculo se comprueba que esta caracterstica del DNI tradicional, se mantiene en toda su extensin en el DNI electrnico, incrementada en las nuevas funciones de firma electrnica de documentos, en los trminos previstos en la Ley 59/2003, de 19 de diciembre, de firma electrnica.

d.

Concepto y funciones bsicas

Nacional de Identidad nuevos efectos y utilidades:

La Ley 59/2003, de 19 de diciembre, de firma electrnica, ha venido a atribuir al Documento

Crear un documento que certifique la identidad del ciudadano no slo en el mundo fsico, sino tambin ante transacciones telemticas, permitiendo firmar todo tipo de documentos electrnicos. Usando un dispositivo seguro de creacin de firma, la firma electrnica que se efecte mediante el DNI electrnico tendr efectos equivalentes a los de una firma manuscrita.

Expedir el DNI electrnico en un solo acto administrativo, reduciendo as el tiempo empleado para su obtencin. Interoperabilidad con los proyectos europeos de identificacin digital. Fomentar la confianza en las transacciones electrnicas.

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Aceptacin por parte de todas las Administraciones Pblicas y Entidades de Derecho Pblico vinculadas o dependientes de las mismas del uso del DNI electrnico. (E.j. para hacer la declaracin de la renta, pedir un certificado de empadronamiento, dar de alta en el registro de nacimientos o reclamar el derecho a la pensin).

e.

La firma electrnica: novedad. Conceptos bsicos

La Firma electrnica es un sistema de acreditacin que permite verificar la identidad de las generadas por el firmante.

personas con el mismo valor que la firma manuscrita, autentificando las comunicaciones

Por otra parte la Ley 59/2003, de 19 de diciembre, de firma electrnica define la firma electrnica de la siguiente manera: (Art. 3.1) La firma electrnica es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante.

Asimismo la Ley distingue entre firma electrnica avanzada y firma electrnica reconocida:

(Art. 3.2) La firma electrnica avanzada es la firma electrnica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al que el firmante puede mantener bajo su exclusivo control. firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios

(Art. 3.3) Se considera firma electrnica reconocida la firma electrnica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma.

(Art. 3.4)La firma electrnica reconocida tendr respecto de los datos consignados en consignados en papel. creacin de firma

forma electrnica el mismo valor que la firma manuscrita en relacin con los

El modo de funcionamiento de la firma electrnica basado en clave pblica es el siguiente: Cada parte tiene un par de claves, una se usa para cifrar y la otra para descifrar.

Cada parte mantiene en secreto una de las claves (clave privada) y pone a disposicin del pblico la otra (clave pblica).

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

El emisor obtiene un resumen del mensaje a firmar con una funcin llamada hash (resumen). El resumen es una operacin que se realiza sobre un conjunto de datos, de forma que el resultado obtenido es otro conjunto de datos de tamao fijo, independientemente del tamao original, y que tiene la propiedad de estar asociado distintos que generen el mismo resultado al aplicar la funcin hash.

unvocamente a los datos iniciales, es decir, es imposible encontrar dos mensajes El emisor cifra el resumen del mensaje con la clave privada. sta es la firma electrnica

que se aade al mensaje original.

El receptor, al recibir el mensaje, obtiene de nuevo su resumen mediante la funcin

hash. Adems descifra la firma utilizando la clave pblica del emisor obteniendo el resumen que el emisor calcul. Si ambos coinciden la firma es vlida por lo que cumple los criterios ya vistos de autenticidad e integridad adems del de no repudio ya que el emisor no puede negar haber enviado el mensaje que lleva su firma.

f.

Qu tiene y que no tiene el DNI electrnico? El DNI electrnico contiene la siguiente informacin: o Certificados X509v3 de ciudadano (autenticacin y firma) y claves privadas del DNIe: asociadas, que se generarn e insertarn durante el proceso de expedicin Cerificado de autenticacin El Ciudadano podr, a travs de su Certificado de Autenticacin, certificar su identidad frente a terceros, demostrando la posesin y el acceso a la clave privada asociada a dicho certificado y que acredita su identidad. Certificado de firma electrnica reconocida Permitir realizar y firmar acciones y asumir compromisos de forma electrnica, pudindose comprobar la integridad de los instrumentos de firma incluidos en l. documentos firmados por el ciudadano haciendo uso de los

En el anverso de la tarjeta se encuentran los siguientes elementos: o En el cuerpo central de la tarjeta: Primer apellido Segundo apellido Nombre Sexo
5

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Nacionalidad Fecha de nacimiento Nmero de serie del soporte fsico de la tarjeta (IDESP) Fecha de validez del documento

En la esquina inferior izquierda: chip: Nmero del Documento Nacional de Identidad del Ciudadano

En el espacio destinado a la impresin de imagen lser cambiante (CLI) situada debajo del

La fecha de expedicin en formato DDMMAA La primera consonante del primer apellido + primera consonante del nombre en caso de ser compuesto) segundo apellido + primera consonante del nombre (del primer

El reverso de la tarjeta contiene los siguientes elementos:

6

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

En la parte superior: Lugar de nacimiento Provincia-Pas Nombre de los padres Domicilio Lugar de domicilio Provincia-pas del domicilio Cdigo del equipo de expedicin del DNIe

Informacin impresa OCR-B para lectura mecanizada sobre la identidad del ciudadano segn normativa OACI para documentos de viaje.

personales ni de cualquier otro tipo (sanitarios, fiscales, trfico, etc.)

El DNI electrnico no contiene ninguna otra informacin relativa a datos

2. Descripcin funcional del DNI electrnico a. Nuevas capacidades. Identificacin. El DNI electrnico, adems de la capacidad de identificacin fsica de su titular, posee la capacidad de identificacin en medios telemticos y de firmar garantiza que la personalidad del firmante no es suplantada. un medio telemtico. electrnicamente como si de una firma manuscrita se tratase. De esta forma Asimismo la firma electrnica permite proteger la informacin enviada a travs de
7

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

b.

Firma electrnica. junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante. La firma electrnica permite que tanto el receptor como el emisor de un contenido puedan identificarse mutuamente con la certeza de que son ellos los que estn interactuando, evita que terceras personas intercepten esos contenidos y que los mismos puedan ser alterados, as como que alguna de las partes pueda "repudiar" la informacin que recibi de la otra y que inicialmente fue aceptada. La firma electrnica avanzada es la firma electrnica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que est vinculada al firmante de manera nica y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. La firma electrnica es el conjunto de datos en forma electrnica, consignados

basada en un certificado reconocido y generada mediante un dispositivo seguro de creacin de firma. La firma electrnica reconocida tendr respecto de los datos relacin con los consignados en papel. consignados en forma electrnica el mismo valor que la firma manuscrita en

A su vez, se considera firma electrnica reconocida la firma electrnica avanzada

c.

Certificados electrnicos. Una breve descripcin. Son los documentos expedidos por los prestadores de servicios de certificacin identidad, dndole a conocer como firmante en el mbito telemtico que relacionan las herramientas de firma electrnica que tiene cada usuario con su

d.

Vida til Al hablar de vida til se deben contemplar dos aspectos. En primer lugar, la validez del DNI electrnico no vara segn el DNI actual, 1553/2005, de 23 de diciembre), es decir: mantenindose los mismos periodos que actualmente (Artculo 6. Validez, RD a) Cinco aos, cuando el titular no haya cumplido los treinta al momento de la expedicin o renovacin alcanzado los setenta. b) Diez aos, cuando el titular haya cumplido los treinta y no haya c) Permanente cuando el titular haya cumplido los setenta aos.

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

De forma excepcional se podr otorgar validez permanente a los un ao en determinadas circunstancias.

mayores de 30 aos que acrediten la condicin de gran invlido, o de En segundo lugar est la validez de los certificados contenidos en el chip de la tarjeta del DNI electrnico que tendrn un perodo de vigencia de treinta meses. diciembre) (Artculo 12. Validez de los certificados electrnicos, RD 1553/2005, de 23 de

e.

Marco legal bsico El marco legal bsico del DNI electrnico es el siguiente: Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre, por la que se establece un marco comunitario para la firma electrnica. Ley 59/2003, de 19 de diciembre, de Firma Electrnica.

Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de los Datos. Real Decreto 1553/2005, de 23 de diciembre, por el que se regula documento nacional de identidad y sus certificados de firma electrnica.

Real Decreto 1586/2009, de 16 de octubre, por el que se modifica el Real Decreto 1553/2005.

3. Qu ventajas nos ofrece el DNI electrnico? En las relaciones entre ciudadanos o La firma electrnica del DNI electrnico permite garantizar la identidad de la persona que realiza una gestin, as como la integridad del contenido de los mensajes que enva. Por tanto los ciudadanos podrn consultar datos de carcter personal, realizar trmites u otras gestiones o acceder a diferentes servicios pblicos y privados. o o o Proporciona el mximo grado de confidencialidad y seguridad en Internet. Identifica a las partes que se conectan telemticamente. Da acceso a una inmejorable oferta de servicios en el mbito de la gestin de los derechos de autor.

En las relaciones con las Administraciones Pblicas.

9

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

El Art. 16.2 de la Ley 59/2003 de Firma Electrnica indica que: La Administracin General del Estado emplear, en la medida de lo posible, sistemas que garanticen la compatibilidad de los instrumentos de firma con los distintos dispositivos y productos de firma

electrnica incluidos en el documento nacional de identidad electrnico generalmente aceptados o

electrnica

La Administracin General del Estado ser uno de los principales proveedores de servicios que se podrn utilizar con el DNI electrnico, de esta forma su utilizacin supone una ventaja en los trmites con la para garantizar la identidad.

Administracin Pblica, en la que ya no sera necesario la presencia fsica En las relaciones con las empresas o Las empresas debern desarrollar diferentes servicios basados en la identificacin y firma electrnica, de forma que dinamicen la relacin comercial con sus clientes. Estos servicios podrn ser ofrecidos con la mxima seguridad. o

Desde el punto de vista empresarial y comercial el DNI electrnico se privado.

convierte en una herramienta fundamental en las relaciones en el sector

4. Descripcin fsica El propsito de la tarjeta soporte del DNIe es contener los datos de filiacin del dos pares de claves RSA con sus respectivos certificados (autenticacin y firma). Esta tarjeta est compuesta de 2 partes: 1. Tarjeta fsica del DNI electrnico. o o La tarjeta fsica del DNI electrnico sigue el estndar ISO-7816-1 Est fabricada en policarbonato, que es un material que permite su uso continuado y frecuente sin sufrir deterioro, durante el tiempo de vigencia del DNI, es decir, 10 aos. o La personalizacin de la tarjeta se realiza mediante la grabacin en el ciudadano, los datos biomtricos (modelo dactilar, foto y firma manuscrita) y los

cuerpo de la tarjeta con lser de los datos de filiacin, fotografa y firma manuscrita. Este sistema de personalizacin garantiza la imposibilidad de manipulacin de estos datos.

10

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Cuenta con las ms modernas medidas de seguridad ante la manipulacin

y falsificacin del documento, muchas de ellas fcilmente identificables

por cualquier persona sin ningn procedimiento especial. El conjunto de todas las medidas hace del DNI electrnico un documento altamente seguro, tanto desde el punto de vista fsico, como electrnico. 2. El chip del DNI electrnico, cuyas caractersticas son o o o o Chip ST19WL34 Sistema operativo DNIe v1.1 Capacidad de 32K. Contenido del chip:

La informacin en el chip est distribuida en tres zonas con diferentes niveles y condiciones de acceso: Zona pblica: Accesible en lectura sin restricciones, contenido: Certificado CA intermedia emisora. Claves Diffie-Hellman. Certificado x509 de componente

Zona privada: Accesible en lectura por el ciudadano, mediante la utilizacin de la Clave Personal de Acceso o PIN, contenido: Certificado de Firma (No Repudio). Certificado de Autenticacin (Digital Signature).

-Zona de seguridad: Accesible en lectura por el ciudadano, en los Puntos de Actualizacin del DNIe. Datos de filiacin del ciudadano (los mismos que estn impresos en el soporte fsico del DNI), contenidos en el soporte fsico del DNI. DATOS CRIPTOGRFICOS: Claves de ciudadano Clave RSA pblica de autenticacin (Digital Signature). Clave RSA pblica de no repudio(ContentCommitment). Imagen de la fotografa. Imagen de la firma manuscrita.

11

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Clave RSA privada de autenticacin (Digital Signature). Clave RSA privada de firma (ContentCommitment). Patrn de impresin dactilar. Clave Pblica de root CA para certificados card-verificables. Claves Diffie-Hellman. DATOS de GESTIN: Traza de fabricacin. Nmero de serie del soporte. El chip de la tarjeta almacena los siguientes certificados electrnicos: Certificado de Componente. Su propsito es la autenticacin de la tarjeta del DNI electrnico mediante el protocolo de autenticacin mutua definido en CWA 14890. o

Permite el establecimiento de un canal cifrado y autenticado entre la tarjeta y los Drivers.

Este certificado no estar accesible directamente por los interfaces estndar (PKCS11 o CSP). de

Certificado

electrnicamente la identidad del ciudadano al realizar una transaccin

Autenticacin.

Tiene

como

finalidad

garantizar

telemtica. El Certificado de Autenticacin (Digital Signature) asegura que la podr a travs de su certificado acreditar su identidad frente a cualquiera ya privada asociada al mismo.

comunicacin electrnica se realiza con la persona que dice que es. El titular que se encuentra en posesin del certificado de identidad y de la clave

El uso de este certificado no est habilitado en operaciones que requieran no repudio de origen, por tanto los terceros aceptantes y los prestadores de contenido firmado. Su uso principal ser para generar mensajes de autenticacin (confirmacin de la identidad) y de acceso seguro a sistemas con los prestadores de servicio). servicios no tendrn garanta del compromiso del titular del DNI con el

informticos (mediante establecimiento de canales privados y confidenciales

12

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Este certificado puede ser utilizado tambin como medio de identificacin para la realizacin de un registro que permita la expedicin de certificados reconocidos por parte de entidades privadas, sin verse estas obligadas a infraestructura de registro. realizar una fuerte inversin en el despliegue y mantenimiento de una

Certificado de firma. Este certificado es el que utilizaremos para la firma de documentos garantizando la integridad del Documento y el No repudio de origen.

Es un certificado X509v3 estndar, que tiene activo en el Key Usage el bit de ContentCommitment (No Repudio) y que esta asociado a un par de claves pblica y privada, generadas en el interior del CHIP del DNI.

Es este Certificado expedido como certificado reconocido y creado en un

Dispositivo Seguro de Creacin de Firma, el que convierte la firma electrnica con la Firma Manuscrita (Ley 59/2003 y Directiva 1999/93/CE).

avanzada en firma electrnica reconocida, permitiendo su equiparacin legal

5. Proceso de expedicin Proceso de expedicin Dnde y cmo se expide. Proceso en un solo paso o El DNI electrnico se expide en los centros en los que actualmente se est realizando (equipos de expedicin y equipos mviles) o

El DNI electrnico se expide en un solo acto administrativo, es decir en una sola visita al centro de expedicin.

Para

Qu hace falta llevar. solicitar la primera expedicin del Documento Nacional de Identidad ser

imprescindible la presencia fsica de la persona a quien se haya de expedir, el abono de la tasa legalmente establecida en cada momento y la presentacin de los siguientes documentos: o

Certificacin

espaola. A estos efectos nicamente sern admitidas las certificaciones expedidas con una antelacin mxima de seis meses a la fecha de
13

correspondiente o, en su caso, Certificado de inscripcin de la nacionalidad

literal

de

nacimiento

expedida

por

el

Registro

Civil

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

presentacin de la solicitud de expedicin del Documento Nacional de efectos de la obtencin de este documento. o

Identidad y que contengan la anotacin de que se ha emitido a los solos

Una fotografa reciente, en color, del rostro del solicitante, tamao 32 por 26

milmetros con fondo uniforme, blanco y liso, tomadas de frente con la cabeza totalmente descubierta y sin gafas de cristales oscuros o cualquier otra prenda que pueda impedir o dificultar la identificacin de la persona.

Certificado o volante de empadronamiento del Ayuntamiento donde el meses a la fecha de la solicitud del Documento Nacional de Identidad.

solicitante tenga su domicilio, expedido con una antelacin mxima de tres

presentacin de un certificado de acreditacin de residencia que a estos hallen inscritos como residentes.

Los espaoles residentes en el extranjero acreditarn el domicilio mediante la

efectos se expiden por la Representacin Diplomtica o Consular donde se

La renovacin se llevar a cabo mediante la presencia fsica del titular del Documento, que deber abonar la tasa correspondiente y aportar los siguientes documentos: o

milmetros con fondo uniforme, blanco y liso, tomadas de frente con la cabeza totalmente descubierta y sin gafas de cristales oscuros o cualquier otra prenda que pueda impedir o dificultar la identificacin de la persona. o o El DNI anterior. En caso de cambio de domicilio, respecto del que figure en el Documento

Una fotografa reciente, en color, del rostro del solicitante, tamao 32 por 26

anterior, certificado o volante de empadronamiento del Ayuntamiento donde el solicitante tenga su domicilio (la validez de este documento es de 3 meses ser necesaria si el interesado autoriza, en el momento de la tramitacin del DNI, a que por el equipo de expedicin se acceda al Sistema de Verificacin de Datos de Residencia, a efectos de consultar los datos de su domicilio. a partir de la fecha de su expedicin). La presentacin de este documento no

En caso de variacin de datos de filiacin, partida literal de nacimiento del Registro Civil, expedido con una antelacin mxima de seis meses a la fecha de solicitud del DNI.

Identidad, conllevar la obligacin de su titular de proveerse inmediatamente para la renovacin. En estos casos, el nuevo DNI tendr la misma validez que
14

El extravo, sustraccin, destruccin o deterioro del Documento Nacional de

de un duplicado, que ser expedido en la forma y con los requisitos indicados

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

el documento al que sustituye, salvo que ste se hallase en los ltimos 90

das de su vigencia y si el DNI extraviado o sustrado era del modelo anterior en la propia oficina de expedicin. o o indicados, debern aportar el certificado de acreditacin de residencia a que se hace referencia para la primera inscripcin. Los espaoles residentes en el extranjero, adems de los documentos

se ha de aportar una fotografa ms y confeccionar un impreso que se entrega

6. Tipos de dispositivos, sistemas operativos y estndares. Para la utilizacin del DNI electrnico es necesario contar con determinados elementos hardware y software que nos van a permitir el acceso al chip de la tarjeta y, por tanto, la utilizacin de los certificados contenidos en l.

a) Elementos hardware El DNI electrnico requiere el siguiente equipamiento fsico: Un Ordenador personal (Intel -a partir de Pentium IIIsimilar). o tecnologa

Un lector de tarjetas inteligentes que cumpla el estndar ISO-7816. externos (conectados va USB) o bien a travs de una interfaz PCMCIA.

Existen distintas implementaciones, bien integrados en el teclado, bien

Para elegir un lector que sean compatible con el DNI electrnico, verifique que, al menos:

15

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Cumpla el estndar ISO 7816 (1, 2 y 3) Soporta tarjetas asncronas basadas en protocolos T=0 (y T=1) Soporta velocidades de comunicacin mnimas de 9.600 bps. Soporta los estndares: API PC/SC (Personal Computer/Smart Card) CSP (Cryptographic Service Provider, Microsoft) - API PKCS#11

b) Elementos software Sistemas operativos El DNI electrnico puede operar en diversos entornos: o o o o Microsoft Windows (Windows XP, Windows 2000) Linux Unix Mac

Navegadores El DNI electrnico es compatible con todos los navegadores: o o o Microsoft Internet Explorer (versin 6.0 o superior) Mozilla Firefox (versin 1.5) Netscape (versin 4.78 o superior)

Controladores / Mdulos criptogrficos Para poder interaccionar adecuadamente con las tarjetas criptogrficas en general y con el DNI electrnico en particular, el equipo ha de tener instalados unas "piezas" de software denominadas mdulos criptogrficos. o

En un entorno Microsoft Windows, el equipo debe tener instalado un servicio que se denomina "Cryptographic Service Provider" (CSP).

En los entornos UNIX / Linux o MAC podemos utilizar el DNI electrnico a travs de un mdulo criptogrfico denominado PKCS#11

16

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Tanto el CSP como el PKS#11 especfico para el DNI electrnico podrn obtenerse en la direccin www.dnielectronico.es/descargas/ Adicionalmente, para operar con un lector de tarjetas inteligentes, ser lector.

necesario instalar un driver que, normalmente, se distribuye con el propio

7. Uso del DNI electrnico Uso del DNI electrnico Tal y como recoge la Declaracin de Prcticas de Certificacin del DNI electrnico, los certificados electrnicos podrn utilizarse:

Como medio de Autenticacin de la Identidad.

El Certificado de Autenticacin (Digital Signature) asegura que la comunicacin electrnica se realiza con la persona que dice que es. El titular podr, a travs de su certificado, acreditar identidad y de la clave privada asociada al mismo. su identidad frente a cualquiera, ya que se encuentra en posesin del certificado de

Como medio de firma electrnica de documentos.

Mediante la utilizacin del Certificado de Firma (nonRepudition), el receptor de un mensaje firmado electrnicamente puede verificar la autenticidad de esa firma, pudiendo de esta forma demostrar la identidad del firmante sin que ste pueda repudiarlo. Como medio de certificacin de Integridad de un documento.

Permite comprobar que el documento no ha sido modificado por ningn agente externo a la utilizacin de funciones resumen (hash), utilizadas en combinacin con la firma electrnica. Este esquema permite comprobar si un mensaje firmado ha sido alterado posteriormente a su envo.

comunicacin. La garanta de la integridad del documento se lleva a cabo mediante la

Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del documento, de forma tal que cualquier alteracin posterior del documento dar lugar a una alteracin del resumen.

El Certificado de Identidad Pblica espaol (DNI electrnico) contribuir, necesariamente a la existencia de empresas prestadoras de servicios de valor aadido ya que el DNI electrnico tiempo, etc.) no facilitar en ningn caso los denominados "sobres" (sistemas de cifrado, sellos de
17

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

De la misma forma favorecer la aparicin de iniciativas privadas que presten servicios de certificacin a los ciudadanos. Esto se conseguir en base a reconocer al DNI electrnico como medio suficiente para acreditar, la identidad y los dems datos personales de los interesados, pudiendo ser utilizado como medio de identificacin para la realizacin de un registro fuerte que permita la expedicin de certificados reconocidos por parte de entidades mantenimiento de una infraestructura de registro.

privadas, sin verse estas obligadas a realizar una fuerte inversin en el despliegue y

Escenario Imaginemos la siguiente situacin: un ciudadano establece una comunicacin a travs de

Internet con un organismo de la Administracin Pblica (o una Entidad Privada) que ofrece un servicio telemtico para que el ciudadano cumplimente un trmite administrativo que requiere su consentimiento explicito para la realizacin.

Este escenario plantea el uso de los dos tipos de certificados electrnicos por parte del ciudadano:

Certificado de Autenticacin (Digital Signature), cuyo propsito exclusivo es el de identificar al ciudadano. Este certificado no vincula al ciudadano en ninguna forma y es exclusivamente utilizado para el establecimiento de canales privados y confidenciales con los prestadores de servicio. Permite cerrar el tnel SSL con el identidad a ste ltimo.

certificado del ciudadano y el del prestador de servicios, as como facilitar su

Certificado de Firma (nonRepudiation), cuyo fin es permitir al ciudadano firmar RFC3039, RFC3739) permite sustituir la firma manuscrita por la electrnica en las 3.4 y 15.2).

trmites o documentos. Este certificado (certificado cualificado segn ETSI y las relaciones del ciudadano con terceros (Ley 59/2003, de firma electrnica, artculos

Descripcin de Uso Asumiendo que: El ciudadano dispone de un DNI con capacidades electrnicas (criptogrficas) Est conectado al servicio telemtico de forma remota a travs de Internet Dispone de una instalacin local con un lector de tarjetas inteligentes compatible (PC/SC)

Cuenta con el CSP o el PKCS#11 del DNI electrnico.

18

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

a) Establecimiento de conexin privada con Organismo Pblico o Entidad Privada. El siguiente esquema de comunicaciones establece el protocolo a seguir para el

establecimiento de un canal privado y autenticado entre el ciudadano y el Organismo Pblico certificados que garantizan la identidad de las partes:

o Entidad Privada. El canal establecido queda autenticado en ambos extremos por el uso de

1. El Ciudadano hace una peticin de conexin segura autenticada 2. El Organismo Pblico (o Entidad Privada) crea un mensaje autenticado y lo enva al

ciudadano

3. El Ciudadano verifica la validez del certificado de servidor ofrecido 4. Se genera la clave de sesin y cifrado de la misma con la clave pblica del Organismo Pblico (o Entidad Privada).

5. Se construye el mensaje de intercambio de claves. 6. El Ciudadano introduce el DNI electrnico en el lector y, con el certificado electrnico de autenticacin, valida el mensaje de intercambio de claves. 7. Se establece el canal privado. 8. El Organismo Pblico (o Entidad Privada) verifica el mensaje de establecimiento de sesin. 9. El Organismo Pblico (o Entidad Privada) comprueba en la Autoridad de Validacin el estado validez del Certificado de Autenticacin del Ciudadano. 10. Se establece un canal seguro, se cierra el tnel SSL. Tal y como queda reflejado en el esquema anterior, el proceso de autenticacin entre ambas partes para el establecimiento de un canal seguro requiere del uso de:

servidor del Organismo o Entidad garantiza que el ciudadano se esta conectando a dicho organismo y no a otro. El certificado utilizado por el Organismo o Entidad no es en ningn caso emitido por la DGP o el Ministerio del Interior, la veracidad de este DGP y sujeta a la Ley de Firma Electrnica 59/2003 en el marco de obligaciones aplicables a los prestadores de servicios de certificacin.

Certificado de Organismo Pblico (o Entidad Privada): Este certificado asociado al

certificado deber ser garantizada por una Autoridad de Certificacin diferente de la

19

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Certificado de autenticacin del ciudadano. El ciudadano para autenticarse frente al Organismo (o Entidad Privada) dispone de un certificado con capacidad de autenticacin. De esta forma el Organismo (o Entidad Privada) podr determinar la identidad del ciudadano para ofrecerle un servicio personalizado. La veracidad de este certificado vendr determinada por la Direccin General de la Polica.

Las partes implicadas para el establecimiento del canal privado son: DNI electrnico: Dispositivo de firma y autenticacin segura en posesin del

ciudadano emitido por la Institucin del DNI, que contendr: o o o Conjunto de claves privadas al ciudadano. Conjunto de certificados del ciudadano.

Elementos de seguridad para garantizar la integridad del documento frente a posibles alteraciones.

Ciudadano: Persona fsica titular del DNI electrnico. Organismo Pblico (o Entidad Privada): Proveedor de servicios. Autoridad de Validacin: Servicio informativo del estado de validez de los certificados del ciudadano.

Usabilidad El protocolo descrito en el esquema corresponde al establecimiento de una sesin SSL (Secure Socket Layer). La eleccin de este mecanismo viene determinada por que prcticamente el 100% de los servidores y clientes utilizados disponen de esta capacidad.

Este protocolo permite el establecimiento de canales privados con los proveedores de servicios, organismos pblicos u otros. Si bien, existen dos tipos de canales:

1. Autenticacin Servidor: En esta modalidad, slo el servidor requiere tener un certificado por lo que la identidad del cliente, el ciudadano en nuestro caso, ser annima.

2. Autenticacin Servidor-Cliente: Requiere que tanto el proveedor de servicios se autentique ideal recomendado) frente al cliente (ciudadano), como que el cliente se autentique frente al servidor. (Este es el

20

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

La diferencia real en cuanto a usabilidad estriba principalmente en que si el proveedor de ofrecerle informacin personalizada.

servicios, puede determinar con garanta la identidad del ciudadano estar en disposicin de

La utilizacin del certificado de Autenticacin del DNI electrnico garantiza la identidad del ciudadano, y podr ser utilizado por los proveedores de servicios para establecer reglas de acceso a la informacin en base a la identidad del mismo.

b) Firma de Trmites Administrativos con DNI electrnico. El siguiente esquema establece el protocolo a seguir para la firma de formularios de certificados cualificados:

electrnicos, mediante el uso del DNI electrnico, cumpliendo con la normativa sujeta al uso

1. El Organismo Pblico (o Entidad Privada) enva el formulario para el trmite administrativo 2. El Ciudadano cumplimenta el formulario y lo enva 3. El Organismo Pblico (o Entidad Privada) reconstruye el formulario en formato texto y lo reenva nuevamente al ciudadano

4. El Ciudadano verifica que el trmite administrativo se corresponde exactamente con el cumplimentado

5. Se solicita al ciudadano la firma electrnica del formulario 6. El Ciudadano introduce su clave de acceso personal (PIN) para el acceso al certificado de Firma (nonRepudiation).

7. El DNI electrnico firma electrnicamente el formulario. 8. El Ciudadano enva formulario firmado al Organismo Pblico (o Entidad Privada) 9. El Organismo Pblico (o Entidad Privada) verifica validez de la firma, para comprobar la integridad del formulario

10. El Organismo Pblico (o Entidad Privada) comprueba en la Autoridad de Validacin el estado de validez del certificado de Firma (nonRepudiation) del ciudadano 11. Si es correcto, continuar el procedimiento Conviene recordar que para llevar a cabo un proceso de firma electrnica debemos disponer de una aplicacin informtica que nos permita realizar esta funcionalidad.
21

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Hay dos alternativas tecnolgicas para disponer de la funcionalidad de firma electrnica: La funcionalidad de firma electrnica se logra a travs de una aplicacin informtica previamente instalada en nuestro equipo.

La funcionalidad de firma electrnica est incluida en el proceso general del prestador de servicios telemticos, por lo que no es necesario descargar e instalar ninguna aplicacin de firma electrnica.

Confirmacin por parte del organismo de la correcta recepcin del trmite. El trmite administrativo se completa con la entrega por parte del Organismo receptor del

formulario firmado con acuse de recibo. Aunque este trmite es ajeno al DNI electrnico, realizacin del trmite efectuado. Dentro de unas buenas prcticas el prestador de servicios deber proporcionar al ciudadano un recibo indicando que su trmite ha sido aceptado. El siguiente esquema muestra el protocolo a seguir entre las diferentes partes:

parece necesario que el prestador del servicio ofrezca garanta al ciudadano de la correcta

1. El Organismo Pblico (o Entidad Privada) confecciona el recibo para el trmite cumplimentado por el ciudadano

2. El Organismo Pblico (o Entidad Privada) firma el recibo 3. El recibo es firmado y sellado por una Tercera parte de confianza, denominada Autoridad el prestador de servicios, y debe ser evidentemente una entidad externa a dicho prestador y reconocida en el mbito de la legislacin espaola)

de Sellos de Tiempo (que garantiza el instante exacto en el que un trmite fue aceptado por

4. Se enva al Ciudadano el recibo firmado y sellado 8. Verificacin La Autoridad de Validacin es el componente que tiene como tarea suministrar informacin sobre la vigencia de los certificados electrnicos que, a su vez, hayan sido registrados por una Autoridad de Registro y certificados por la Autoridad de Certificacin.

La informacin sobre los certificados electrnicos revocados (no vigentes) se almacena en las denominadas listas de revocacin de certificados (CRL).

En la Infraestructura de Clave Pblica adoptada para el DNI electrnico, se ha optado por asignar las funciones de Autoridad de Validacin a entidades diferentes de la Autoridad de

22

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Certificacin, a fin de aislar la comprobacin de la vigencia de un certificado electrnico de los datos de identidad de su titular.

As, la Autoridad de Certificacin (Ministerio del Interior Direccin General de la Polica) no tiene en modo alguno acceso a los datos de las transacciones que se realicen con los certificados que ella emite y las Autoridades de Validacin no tiene acceso a la identidad de los titulares de los certificados electrnicos que maneja, reforzando an ms si cabe- la transparencia del sistema. Para la validacin del DNI electrnico se dispone de dos prestadores de Servicios de Validacin:

Fbrica Nacional de Moneda y Timbre Real Casa de la Moneda, que prestar sus servicios de validacin con carcter universal: ciudadanos, empresas y Administraciones Pblicas.

al conjunto de las Administraciones Pblicas.

Ministerio de la Presidencia, que prestar los servicios de validacin

Adicionalmente, la Entidad Pblica Empresarial Red.es podra completar los servicios de validacin en un futuro prximo.

La prestacin de estos servicios de validacin se realiza en base a Online Certificate Status estado del certificado a la Autoridad de Validacin, la cual, tras consultar su base de datos, ofrece - va http - una respuesta sobre el estado del certificado.

Protocol (OCSP), lo que, en esencia, supone que un cliente OCSP enva una peticin sobre el

El servicio de validacin est disponible de forma ininterrumpida todos los das del ao.

9. Seguridad - Funciones de seguridad accesibles Para hacer uso del DNI electrnico en los trminos expuestos anteriormente, ste provee las siguientes funciones de seguridad: 1. Autenticacin La tarjeta DNIe dispone de distintos mtodos de autenticacin, mediante los que una entidad tarjeta. La correcta realizacin de cada uno de estos mtodos, permite obtener unas
23

externa demuestra su identidad, o el conocimiento de algn dato secreto almacenado en la

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

condiciones de seguridad, que podrn ser requeridas para el acceso a los distintos recursos de la tarjeta.

Autenticacin de usuario (PIN)

La tarjeta DNIe soporta verificacin de usuario (CHV- Card Holder verification). Esta operacin es realizada comprobando el cdigo facilitado por la entidad externa a travs del correspondiente comando.

Cada cdigo CHV tiene su propio contador de intentos. Tras una presentacin vlida de PIN, (tpicamente = 3). El contador de intentos es decrementado cada vez que se realiza una

el contador de reintentos correspondiente es automticamente puesto a su valor inicial presentacin errnea, pudiendo llegar a bloquearlo si el contador llega a cero. Es posible desbloquear un cdigo tras una correcta presentacin de la huella dactilar del usuario, que en este caso acta de cdigo de desbloqueo. A su vez estas presentaciones de huellas tienen su propio contador de intentos. Si el nmero de intentos de presentacin de huella dactilar se agota, no ser posible realizar la operacin de desbloqueo. Es posible cambiar el cdigo de CHV a un nuevo valor presentando el valor actual o presentando la huella dactilar.

El cdigo PIN es personal e intransferible, por tanto, nicamente debe ser conocido por el titular de la tarjeta en cuestin. Autenticacin de usuarios mediante datos biomtricos

La tarjeta DNIe permite realizar una identificacin biomtrica del titular de sta, si bien esta funcin slo estar disponible en puntos de acceso controlados. La aplicacin que accede al DNIe, una vez conocida la informacin sobre las huellas contenidas en la tarjeta, decide sobre que huella va a proceder a verificar, solicitando al portador que coloque el dedo adecuado. Tras obtener los datos biomtricos desde dispositivo lector de huellas, presenta la informacin biomtrica a la tarjeta a travs del el

correspondiente comando. Tras las comprobaciones iniciales de condiciones de uso y seguridad, la tarjeta procede, mediante su algoritmo Match on Card, a evaluar la correspondencia entre la huella presentada y la referencia. Si la evaluacin supera el umbral, la verificacin es correcta. En caso contrario, la tarjeta

anota una presentacin errnea sobre esa huella devolviendo el nmero de intentos restantes.

Autenticacin de aplicacin

24

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

El propsito de este mtodo de autenticacin es que la entidad externa demuestre tener aplicacin, se utiliza un protocolo de desafo-respuesta, con los siguientes pasos: o La aplicacin pide un desafo a la tarjeta

conocimiento del nombre y valor de un cdigo secreto. Para realizar esta autenticacin de

o La aplicacin debe aplicar un algoritmo a este desafo junto con el correspondiente cdigo secreto y nombre de la clave o La tarjeta realiza la misma operacin y compara el resultado con los datos transmitidos por la aplicacin. En caso de coincidir, considera correcta la presentacin para posteriores operaciones

Autenticacin mutua

Este procedimiento permite que cada una de las partes (tarjeta y aplicacin externa) confe en la otra, mediante la presentacin mutua de certificados, y su verificacin.

En el proceso, tambin se incluye el intercambio seguro de unas claves de sesin, que debern posteriormente. Este servicio permite el uso de diferentes alternativas, que podrn ser utilizadas para securizar (cifrar) todos los mensajes intercambiados

seleccionarse implcitamente en funcin de la secuencia de comandos, o explcitamente, indicando su identificador de algoritmo en un comando de gestin de entorno de seguridad anterior (MSE).

Las dos opciones disponibles estn basadas en la especificacin CWA 14890-1 Application siguientes:

Interface for smart cards used as Secured Signature Creation Devices Part 1, y son las

o Autenticacin con intercambio de claves (descrita en el captulo 8.4 de CWA o Autenticacin de dispositivos con proteccin de la privacidad, (descrita en el captulo 8.5 de CWA 14890-1) 14890-1)

2. Securizacin de mensajes La tarjeta DNIe permite la posibilidad de establecer un canal seguro entre el terminal y la

tarjeta que securice los mensajes transmitidos. Para el establecimiento es necesaria la presencia del canal seguro los mensajes se cifran y autentican, de tal forma que se asegura una comunicacin una a uno entre los dos puntos originarios del canal.

autenticacin previa del terminal y la tarjeta, mediante el uso de certificados. Durante la

El canal seguro puede ser requerido por la aplicacin o puede ser una restriccin de acceso impuesta a algn recurso de la tarjeta

25

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Para el establecimiento del canal seguro, en primer lugar, se realiza un intercambio de las

claves pblicas de la tarjeta y el terminal mediante certificados que sern verificados por intercambio de semillas para la derivacin de una semilla comn que d lugar a las claves de sesin de cifrado y autenticado

ambas partes. A continuacin se realiza un protocolo de autenticacin mutua, con

Una vez concluido el protocolo para el establecimiento de la semilla comn todos los mensajes deben transmitirse securizados. 3. Desbloqueo y cambio de PIN Se permite el cambio de PIN, mediante la presentacin del valor antiguo. Es posible tambin biomtrica. Debido a la criticidad de esta operacin, el cambio de PIN se ha de realizar siempre en efecto o con las debidas condiciones de seguridad, exigindose por tanto, el establecimiento de un canal seguro.

el cambio de PIN bajo determinadas condiciones tras la realizacin de una verificacin

condiciones de mxima confidencialidad y en terminales especficamente habilitados a tal

El cambio de PIN, haciendo uso de la huella dactilar (desbloqueo), nicamente est permitido en dispositivos autorizados por la Direccin General de la Polica (DGP) y no se puede realizar, bajo ningn concepto, en otros terminales. 4. Funcionalidad criptogrfica Claves RSA

La tarjeta DNIe es capaz de generar y gestionar claves RSA. La generacin de la pareja de primalidad.

claves RSA sigue el estndar PKCS#1 v1.5. Se usa el algoritmo Miller-Rabin como test de

Hash

La tarjeta DNIe es capaz de realizar hash de datos con el algoritmo SHA1. Es posible realizar todo el proceso en la tarjeta o finalizar un hash calculado externamente. Despus de finalizar cualquier operacin de hash, el cdigo resultante es almacenado en la memoria de la tarjeta para ser usado posteriormente por un comando. El hash slo permanece en memoria hasta la siguiente operacin. Firmas electrnicas

26

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

La tarjeta DNIe tiene capacidad para la realizacin de firmas electrnicas de dos modos diferentes:

o Modo raw

o Modo relleno PKCS#1

5. Intercambio de claves La operacin de intercambio de claves es usada para compartir claves simtricas o de sesin

entre dos entidades. Es posible cifrar una clave Ks con la clave pblica de un destinatario, la cual puede ser cargada en la memoria de la tarjeta protegida mediante una clave RSA. El destinatario puede descifrar la clave Ks usando la clave privada RSA correspondiente. 6. Cifrado La tarjeta puede realizar operaciones 3 DES CBC con claves de 16 bytes (k1, k2, k1). Para realizar operaciones 3DES en la tarjeta, la clave de 16 bytes de longitud debe ser cargada en memoria hasta que se finaliza la sesin con la tarjeta o se carga una nueva. Aplicaciones de firma Uno de los principales usos del DNI electrnico es la realizacin de firma electrnica. Para utilizar esta funcionalidad de firma, numerosas aplicaciones pueden ser empleadas, ya que stas acceden a las capas o mdulos intermedios de CSP y PKCS#11, que proporcionan un interfaz estndar de acceso a la tarjeta. memoria. El proceso de carga est protegido por algoritmo RSA. La clave permanece en

Es recomendable seguir los consejos y buenas prcticas que se describen en la direccin http://www.dnielectronico.es/Asi_es_el_dni_electronico/consejos.html Requisitos de seguridad del entorno Para el correcto y seguro funcionamiento de la tarjeta DNIe se han de utilizar los mdulos criptogrficos http://www.dnielectronico.es/descargas/index.html CSP y PKCS#11 que se encuentran en la

direccin

Estos mdulos contienen lo necesario para establecer un entorno seguro en la operacin con el DNI electrnico y satisfacer los requisitos de seguridad aplicables al entorno de las tecnologas de la informacin descritos en el perfil de proteccin CWA 14169.

7. Servicio de Atencin al Ciudadano

27

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

El DNI electrnico dispone de un Servicio de Atencin al Ciudadano, con las siguientes caractersticas: Prestado de forma permanente (24 horas al da, 7 das a la semana). De mbito universal (para todo tipo de usuarios). De modo integral (atiende cualquier tipo de incidencia del DNI electrnico). De forma nica (sirve a todas las Autoridades de Validacin).

El Servicio de Atencin al Ciudadano es prestado por la Fbrica Nacional de Moneda y Timbre - Real Fbrica de la Moneda y puede accederse: o o Por telfono: 902.364.444 Por correo electrnico: sac@dnielectronico.es

GLOSARIO DE TRMINOS. DEFINICIONES Activacin: es el procedimiento por el cual se desbloquean las condiciones de acceso a una clave y se permite su uso. En el caso de la tarjeta del DNIe el dato de dactilares (biometra) activacin es la clave personal de acceso (PIN) y/o los patrones de las impresiones Autenticacin: procedimiento de comprobacin de la identidad de un solicitante o titular de certificados de DNIe. Certificado electrnico: un documento firmado electrnicamente por un prestador de servicios de certificacin que vincula unos datos de verificacin de firma a un firmante y confirma su identidad. Esta es la definicin de la Ley 59/2003 que en verificacin de firma se hace a un componente informtico.

este documento se extiende a los casos en que la vinculacin de los datos de Certificado reconocido: Certificado expedido por un Prestador de Servicios de Certificacin que cumple los requisitos establecidos en la Ley en cuanto a la comprobacin de la identidad y dems circunstancias de los solicitantes y a la conformidad con lo que dispone el captulo II del Ttulo II de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica. fiabilidad y las garantas de los servicios de certificacin que presten, de

Certificados de Identidad Pblica: Emitidos como Certificados Reconocidos, vinculan una serie de datos personales del ciudadano a unas determinadas claves,
28

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

para garantizar la autenticidad, integridad y no repudio. Esta informacin est firmada electrnicamente por la Autoridad de Certificacin creada al efecto. Ciudadano: toda persona fsica con nacionalidad espaola que solicita la funcionario de la Direccin General de la Polica

expedicin o renovacin de un Documento Nacional de Identidad ante un Clave Pblica y Clave Privada: la criptografa asimtrica en la que se basa la PKI

emplea un par de claves en la que lo que se cifra con una de ellas slo se puede

descifrar con la otra y viceversa. A una de esas claves se la denomina pblica y se privada y nicamente es conocida por el titular del certificado.

la incluye en el certificado electrnico, mientras que a la otra se la denomina Clave de Sesin: clave que establece para cifrar una comunicacin entre dos entidades. La clave se establece de forma especfica para cada comunicacin, sesin, terminando su utilidad una vez finalizada sta. los certificados

Clave Personal de Acceso (PIN): Secuencia de caracteres que permiten el acceso a Datos de creacin de Firma (Clave Privada): son datos nicos, como cdigos o electrnica.

claves criptogrficas privadas, que el suscriptor utiliza para crear la Firma Datos de verificacin de Firma (Clave Pblica): son los datos, como cdigos o claves criptogrficas pblicas, que se utilizan para verificar la Firma electrnica. Directorio: Repositorio de informacin que sigue el estndar X.500 de ITU-T. Dispositivo seguro de creacin de Firma: instrumento que sirve para aplicar los datos de creacin de firma cumpliendo con los requisitos que establece el artculo 24.3 de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica.

Documento electrnico: conjunto de registros lgicos almacenado en soporte contiene informacin.

susceptible de ser ledo por equipos electrnicos de procesamiento de datos, que Documento de seguridad: documento exigido por la Ley Orgnica 15/99 de

Proteccin de Datos de Carcter Personal cuyo objetivo es establecer las medidas de seguridad implantadas, a los efectos de este documento, por la DGP como Prestador de Servicios de Certificacin, para la proteccin de los datos de carcter datos personales (en adelante los Ficheros). personal contenidos en los Ficheros de la actividad de certificacin que contienen Encargado del Tratamiento: la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento de los ficheros.

Firma electrnica: es el conjunto de datos en forma electrnica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificacin personal

29

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Firma electrnica avanzada: es aquella firma electrnica que permite establecer la identidad personal del suscriptor respecto de los datos firmados y comprobar la integridad de los mismos, por estar vinculada de manera exclusiva tanto al suscriptor, como a los datos a que se refiere, y por haber sido creada por medios que mantiene bajo su exclusivo control. Firma electrnica reconocida: es aquella firma electrnica avanzada basada en un firma.

certificado reconocido y generada mediante un dispositivo seguro de creacin de Funcin hash: es una operacin que se realiza sobre un conjunto de datos de cualquier tamao, de forma que el resultado obtenido es otro conjunto de datos de tamao fijo, independientemente del tamao original, y que tiene la propiedad de estar asociado unvocamente a los datos iniciales, es decir, es imposible Funcin hash.

encontrar dos mensajes distintos que generen el mismo resultado al aplicar la Hash o Huella digital: resultado de tamao fijo que se obtiene tras aplicar una funcin hash a un mensaje y que cumple la propiedad de estar asociado unvocamente a los datos iniciales. o titular de certificados de DNIe.

Identificacin: procedimiento de reconocimiento de la identidad de un solicitante

Identificador de usuario: conjunto de caracteres que se utilizan para la identificacin unvoca de un usuario en un sistema. Jerarqua de confianza: Conjunto de autoridades de certificacin que mantienen confiabilidad de una o varias de nivel inferior. En el caso de DNIe, la jerarqua tiene dos niveles, la AC Raz en el nivel superior garantiza la confianza de sus AC subordinadas.

relaciones de confianza por las cuales una AC de nivel superior garantiza la

Listas de Revocacin de Certificados o Listas de Certificados Revocados: lista donde figuran exclusivamente las relaciones de certificados revocados o suspendidos (no los caducados).

Mdulo Criptogrfico Hardware de Seguridad: mdulo hardware utilizado para realizar funciones criptogrficas y almacenar claves en modo seguro. Prestador de Servicios de Certificacin: persona fsica o jurdica que expide electrnica.

certificados electrnicos o presta otros servicios en relacin con la firma Punto de Actualizacin del DNIe: Terminal ubicado en las Oficinas de Expedicin que permite al ciudadano de forma guiada, sin la intervencin de un funcionario, la realizacin de ciertas operaciones con el DNIe (comprobacin de datos almacenados en la tarjeta, renovacin de los certificados de Identidad Pblica, cambio de clave personal de acceso PIN - , etc.)
30

Solicitante: persona que solicita un certificado para s mismo

COMISIN TCNICA DE APOYO A LA IMPLANTACIN DEL DNI ELECTRNICO

GRUPO DE TRABAJO DE COMUNICACIN Y DIVULGACIN

Tercero Aceptante: persona o entidad diferente del titular que decide aceptar y confiar en un certificado emitido por DNIe. Titular: ciudadano para el que se expide un certificado de identidad pblica. -o0o-

31