Está en la página 1de 58

Identidad Digital y

DNIe
Octubre 2014

Firma Electrnica
Firma digital: La firma digital hace referencia a un conjunto
de mtodos criptogrficos y tcnicos. Es un concepto
fundamentalmente tcnico.
Firma electrnica: La firma electrnica es un trmino de
naturaleza fundamentalmente jurdica, mucho ms amplio y
que hace referencia a cuestiones legales, organizativas.
Desde un punto de vista tcnico, puede contemplar mtodos
no criptogrficos

Por qu la firma electrnica


Sin Firma Electrnica no existe la Administracin
Electrnica.
La Firma Electrnica permite evolucionar del
Documento Informtico al Documento Electrnico
Aporta seguridad jurdica e interoperabilidad

Ventajas firma Electrnica


Ahorro en los costes de transaccin con las AA.PP. Y
prestadores privados. (Reduce cargas administrativas,
ahorra costes de desplazamiento)
Mejora de la Calidad del Servicio, aumentando la
eficacia y la rapidez. (Elimina colas y tiempos de espera
a los ciudadanos)
Mayor proximidad entre el Usuario, la Administracin y
las Empresas.

Ventajas firma Electrnica


Posibilidad de firmar desde cualquier lugar.
Poder identificarse y autenticarse ante terceros de
forma segura.
Con la firma de documentos electrnicamente, queda
garantiza su integridad y autenticidad.
Evitar la suplantacin de la identidad.
Poder verificarla a lo largo del tiempo.
Se protege y se garantiza la informacin transmitida
entre las partes.

Elementos de la firma Electrnica

Criptografa
La criptografa estudia las tcnicas empleadas para
transformar (encriptar o cifrar) la informacin hasta
hacerla irreconocible a los no iniciados, de modo que
slo stos sean capaces de recuperar (descifrar) la
informacin original

Sistema Criptogrfico
El objetivo de un sistema criptogrfico en la actualidad,
no es solamente el ocultar el contenido del mensaje
(Confidencialidad), sino que puede tener tambin otros
objetivos.
Un sistema criptogrfico o criptosistema, est
constituido por un conjunto de tcnicas y algoritmos
que permiten ofrecer una serie de servicios de
seguridad de la informacin:
Autenticidad
No repudio
Integridad
Confidencialidad

Sistema Criptografico
Autenticidad:
Garanta de que el emisor y el destinatario de la informacin
son realmente quienes dicen ser (no hay suplantacin de
identidad por un tercero).
Integridad:
Garanta de que la informacin original no ha sido modificada
desde que es enviada por el emisor hasta ser recibida por el
receptor.
No repudio:
Que ninguna de las partes implicadas en una comunicacin o
intercambio de datos pueda negar su participacin en ella.
Confidencialidad:
Capacidad de que una informacin slo sea accesible a una
persona o grupo determinado autorizado, permaneciendo
oculta o inaccesible a todos los dems.

Mtodos bsicos de cifrado


Escitala (Esparta): Cinta de cuero o papiro enrollada a lo largo de un
cilindro, sobre la que se escriba el mensaje en claro. Al desenrollarse
slo se aprecia una lista de letras sin sentido, que slo se recobra tras
volver a enrollar la cinta sobre un cilindro de igual dimetro que el
primero. Trasposicin.

Cifrado Csar: Sustitucin de cada letra del mensaje por otra


distanciada un nmero fijo de posiciones en el alfabeto. Sustitucin.

Criptoanlisis
Anlisis estadstico de frecuencias

Comparacin entre texto claro y Criptograma


Fuerza bruta

Sistema Criptogrfico
Clave criptogrfica

Algoritmo criptogrfico

Sistema Criptogrfico
Qu debe permanecer en secreto?
El algoritmo de cifrado
Solo la clave criptografica
Tanto el algoritmo como la clave
Seguridad por oscuridad: Se basa en el secreto
del diseo del Sistema, para garantizar su
seguridad

Sistema Criptogrfico
Principio de Kerckhoffs:
La efectividad de un sistema criptogrfico no debe
depender de que su diseo permanezca en secreto.
Un sistema criptogrfico debe ser seguro, a pesar
de conocerse pblicamente todo sobre el sistema, a
excepcin de la clave

Tipos de Sistemas Criptogrficos


Sistemas simtricos o de clave privada o secreta:
Se utiliza la misma clave para cifrar y para descifrar.
Por tanto existen claves secretas compartidas.
Es la que solemos identificar con la criptografa.
Sistemas asimtricos o de clave pblica:
Utilizan claves distintas para cifrar y descifrar.
No existen claves secretas compartidas.
Cada usuario posee dos claves una pblica conocida por
todos y otra privada que se mantiene en secreto.
Sistemas hbridos.
Combinan criptografa simtrica y asimtrica

Sistemas criptogrficos simetricos


DES (Data Encryption Standard) en uso desde su aparicin en el
ao 1977 hasta el ao 1999 en el que se recomend que dejara de
usarse. (obsoleto por el aumento de potencia de los ordenadores).
3DES (Triple DES) incrementa la longitud de la clave al triple,
mediante combinaciones de DES.
AES (Advanced Encryption Standard) sustituto de DES, estndar de
hecho.
RC (Rivests Cipher) con varios niveles (RC4/5/6). Utilizado en las
redes WiFi y en descargas de BitTorrent.
IDEA (International Data Encryption Algorithm) empleado en el
cifrado de correo electrnico mediante PGP

Sistemas criptogrficos simetricos


Utilizan la misma clave para cifrar y descifrar
La clave debe ser previamente conocida por el emisor y
el receptor
La seguridad reside en mantener la clave en secreto
Muy eficiente para cifrar grandes volmenes de datos
Problema de distribucin y gestin de claves
No garantiza el no repudio

Sistemas criptogrficos simetricos


Inconvenientes:

Todos los que intervienen en las comunicaciones deben conocer la


clave:
Hay que hacer llegar la clave a todos, con el riesgo de que sea
interceptada o robada
Si la clave deja de ser secreta o es interceptada, hay que usar otra
y transmitirla de nuevo, aumentando el riesgo
Todos los que conocen la clave pueden cifrar y descifrar:
No se puede saber quin ha cifrado o descifrado, ya que la clave
la conocen al menos dos personas
Cualquiera puede suplantar a otro en la comunicacin
Para evitar esto, es necesario crear una clave para cada par de
intervinientes (problema de gestionar multitud de claves)
Si alguien ajeno conoce la clave, el sistema entero se ve
comprometido

Sistemas criptogrficos simtricos


Uso habitual, cifrado de documentos

Sistemas criptogrficos asimtricos


Se basan en la utilizacin de claves distintas para cifrar
y descifrar:
Lo que se cifra con una clave slo se puede descifrar
con la otra
Cada usuario tiene un par de claves, una pblica (que
puede conocer todo el mundo) y otra privada (que
solamente conoce el propio usuario).

Sistemas criptogrficos asimtricos


Se basan en la utilizacin de claves distintas para cifrar y descifrar:
Lo que se cifra con una clave slo se puede descifrar con la otra
Cada usuario tiene un par de claves, una pblica (que puede
conocer todo el mundo) y otra privada (que solamente conoce el
propio usuario).
Las claves pblica y privada estn relacionadas entre s en la
forma en que se generan, de modo que sus operaciones de cifrado
y descifrado son compatibles e independientes del orden en que se
aplican.
Del conocimiento de la clave pblica o del texto cifrado no se
puede obtener la clave privada

Sistemas criptogrficos asimtricos


Para que dos usuarios puedan intercambiar informacin tienen
que intercambiar sus claves pblicas, incluso a travs de un medio
inseguro como es Internet, o bien recuperarlas de un almacn de
claves comn.

Sistemas criptogrficos asimtricos


Las operaciones de cifrado se basan en mecanismos de una sola
direccin.
Podemos mezclar diferentes cantidades de colores, lo que es una
operacin sencilla. Pero si le pedimos a alguien que descifre las
cantidades de color que ha intervenido le pondremos en una difcil
situacin.

En vez de colores se utiliza la factorizacin en nmeros primos de


nmeros muy grandes

Sistemas criptogrficos asimtricos


En 1977, el divulgador Martin Gardner lanz un desafo desde su
seccin de la revista Scientific American (Investigacin y Ciencia)
introduciendo la recin ideada criptografa asimtrica
Proporcion el mensaje cifrado y la clave pblica empleada (129
cifras)
La solucin no lleg hasta 1994 gracias a la colaboracin de ms
de 600 personas y 1600 ordenadores
Con clave de 1.024 dgitos se hubiera tardado un tiempo igual a la
edad de Universo (13 700 millones de aos)

Sistemas criptogrficos asimtricos


RSA (Rivest, Shamir, Adleman) utilizado de forma generalizada y
convertido en un estndar de hecho. Tambin es el empleado en el
protocolo de Internet SSL para el intercambio de claves.
DH (Diffie-Hellman) utilizado para el intercambio de claves a travs
de redes pblicas.
ECC (Criptografa de Curva Elptica) similar a RSA pero con
requerimientos inferiores, destinado a dispositivos mviles.
ElGamal utilizado para transmitir firmas digitales e intercambios de
clave. El Algoritmo de Firma Digital (DSA) se basa en l.

Sistemas criptogrficos asimtricos

Criptografa asimtrica: Firma


Con el esquema anterior se consigue confidencialidad.
Pero, qu pasa si en lugar de cifrar con la clave pblica del
receptor, cifro con mi propia clave privada?
Cualquiera puede descifrarlo con mi clave pblica.
No puedo negar el origen del mensaje (No repudio)
Por tanto, cifrar con mi clave privada es como firmar para
garantizar mi autora.
Combinando ambos cifrados asimtricos, se consigue tanto
No repudio y Confidencialidad.

Criptografa asimtrica: Claves

Criptografa asimtrica:
Claves diferentes para cifrar y descifrar
Cada usuario slo debe disponer de un par de claves, una
pblica y otra privada
Computacionalmente menos eficientes que la criptografa
simtrica:
cifrado ms lento
claves ms largas
la generacin del par de claves es compleja
La clave pblica se puede comunicar por un medio inseguro
No es necesario comunicar la clave privada
Permite la firma garantizando todos los objetivos de
seguridad

Funcin resumen o Hash:


En la criptografa asimtrica uno de los principales
problemas es el tiempo que se necesita para cifrar el
mensaje, sobre todo si se trata de un fichero extenso.
La solucin consiste en obtener un extracto o resumen del
mensaje, de longitud mucho menor y trabajar con este
resumen en lugar de hacerlo con el mensaje completo.
Las funciones destinadas a conseguir esto, se denominan
funciones de resumen, funciones Hash, a veces tambin se
la denomina como huella digital del mensaje.

Funcin resumen o Hash:


Una funcin Hash toma un mensaje de cualquier longitud y
obtiene un resumen o huella del mismo, con una longitud
fija, mucho menor y que adems es independiente de la
longitud del mensaje original.
No es como una funcin de compresin (como un archivo
ZIP por ejemplo).
En el caso de las funciones resumen, no es posible recuperar
el mensaje original a partir del archivo resumen, a diferencia
de los ficheros ZIP.
Las funciones resumen convierten un mensaje de cualquier
longitud en un resumen, por ejemplo de 128 bits.

Funcin resumen o Hash:


Unidireccionalidad: Conocido un resumen, debe ser
computacionalmente imposible encontrar el mensaje
original (las funciones Hash son irreversibles).
Facilidad de clculo: Debe ser fcil calcular el resumen a
partir de un mensaje.
Compresin: A partir de un mensaje de cualquier longitud, su
resumen debe tener una longitud fija, normalmente menor
Difusin o efecto avalancha: El resumen debe ser una
funcin compleja de todos los bits del mensaje. Si se
m o d i fi c a u n b i t , e l h a s h d e b e r a c a m b i a r e n
aproximadamente la mitad de sus bits.
Libre de colisiones: Es computacionalmente imposible
encontrar dos mensajes distintos con el mismo resumen

Funcin resumen o Hash: Utilidades


Integridad de ficheros:
Se utiliza para comprobar que no ha habido errores en la
descarga de integridad ficheros desde Internet (que el
archivo no est corrupto y que ninguno de sus bytes ha
cambiado) adjuntando el hash del fichero.
Autenticacin de usuarios:
Evita guardar contraseas en claro
Identificacin de ficheros con independencia de su nombre:
Se utiliza mucho en redes P2P
Uso en firma electrnica:
En vez de firmar un documento entero se firma su
resumen que es mucho ms corto y rpido de procesar

Firma manuscrita vs electrnica

Certificados Electrnicos
Un certificado es un documento electrnico que contiene,
aparte de otros datos, el nombre de una entidad (persona,
mquina, ...) y su clave pblica y est firmado por un tercero de
confianza (con su clave privada), es decir, una entidad con la
que se ha establecido previamente una relacin de confianza y
estn en posesin de su clave pblica, obtenida de forma fiable.

Certificados Electrnicos
Ese "tercero de confianza" es lo que se denomina Autoridad de
Certificacin electrnicos (AC) o Prestador de Servicios de
Certificacin (PSC) que emite los certificados a los usuarios
entregndoles la clave pblica de dicha autoridad para
comprobacin de la validez de los mismos. Los certificados de
los usuarios estn firmados con la clave privada del PSC o AC:
Por tanto, un certificado es un documento electrnico que:
asocia una identidad con su clave pblica y
la veracidad de esa asociacin la garantiza la AC o PSC:
FNMT
Direccin General de la Polica (DNIe)
Camerfirma, CatCert, Izenpe, ACCV
Registradores, Notarios
etc.

Certificados Electrnicos
El Prestador de Servicios de Certificacin (PSC) firma la
informacin contenida en el certificado.

Certificados Electrnicos
Internet Explorer Herramientas Opciones de Internet
Contenido - Certificados

Certificados Electrnicos
Hay una serie de formatos estndar pensados con diferentes
propsitos que se listan a continuacin. Conviene tener muy
claro qu elementos incluye cada formato, por razones obvias
especialmente cuando incluye la clave privada.

Tipos de Certificados Electrnicos


Certificado personal, que acredita la identidad del titular.
Certificado de pertenencia a empresa, que adems de la
identidad del titular acredita su vinculacin con la
entidad para la que trabaja.
Certificado de representante, que adems de la
pertenencia a empresa acredita tambin los poderes de
representacin que el titular tiene sobre la misma.
Certificado de persona jurdica, que identifica una
empresa o sociedad como tal a la hora de realizar
tramites ante las administraciones o instituciones.

DNI Electrnico
Artculo 15 Ley 59/2003 de Firma Electrnica, en relacin con
el DNIe: El DNI electrnico, es el documento nacional de
identidad que acredita electrnicamente la identidad personal
de su titular y permite la firma electrnica de documentos.
Todas las personas fsicas o jurdicas pblicas o privadas,
reconocern la eficacia del DNI electrnico para acreditar la
identidad del firmante y la integridad de los documentos
firmados con los dispositivos de firma electrnica en l
incluidos.

DNI Electrnico
El chip que contiene est acreditado por el Centro Criptolgico
Nacional (CCN) como un dispositivo seguro de creacin de
firma (DSCF).

El contenido del chip se divide en varias zonas con diferentes


restricciones de seguridad en su acceso.
Zona pblica: lectura sin restricciones.
Certificado de la Autoridad de Certificacin intermedia
emisora
Certificado de componente.
Identifica a la tarjeta del DNI frente a aplicaciones.
Permite establecer un canal seguro entre tarjeta y software

DNI Electrnico
Zona privada: lectura protegida por PIN.
Certificado de Autenticacin
Certificado de Firma

En ambos se incluye la misma informacin personal del titular:


Nombre, Apellidos, NIF, Fecha de nacimiento
Cuando el titular introduce su PIN, estos datos est
disponibles para las aplicaciones que usan el DNIe, adems
de la posibilidad de utilizar su certificados electrnicos

DNI Electrnico
Zona de seguridad: lectura protegida adicionalmente por
huella dactilar:
No accesible a ninguna aplicacin que use el DNIe, salvo
para los puntos de actualizacin del DNIe (PAD), que se
encuentran en las comisaras
Datos de filiacin del titular (los mismos que estn en el
soporte fsico)
Imagen digitalizada de la fotografa
Imagen digitalizada de la firma manuscrita

Identidad Electrnica Sistema Cl@ve

Sistema Cl@ve
Infraestructura para todas las Administraciones Pblicas
cuyo objetivo es proporcionar medios comunes para la
autenticacin y firma electrnica de los ciudadanos en los
procedimientos de administracin electrnica.
Facilidad de uso para el ciudadano y homogeneidad en su
relacin con las Administraciones Pblicas
Mxima seguridad en los sistemas de control de acceso y
en la proteccin de las claves de firma de los ciudadanos.

UE

Acorde con los estndares internacionales.

Cl@ve
La plataf or m a of recer var ios s is tem as de
identificacin y autenticacin, que permitan adaptarse a
las necesidades del ciudadano. Adems cada
organismo podr establecer los mecanismos admitidos
de Identificacin, Autenticacin y Firma dependiendo de
las necesidades de sus trmites.

Cl@ve Identificacin y Autenticacin


Bsica. Usuario y contrasea o PIN24H, con un registro
telemtico a partir datos conocidos por el ciudadano y
la Agencia Tributaria,
Reforzada. PIN24H o Contrasea ms un OTP. El
registro debe haberse realizado presencialmente o con
un certificado electrnico reconocido
Fuerte. Certificado electrnico reconocido software o
emitido en tarjeta criptogrfica.

Cl@ve Firma
Firma electrnica Bsica. Una vez identificado y autenticado el
ciudadano por cualquiera de los sistemas de identificacin y
autenticacin posibles
el organismo podr realizar firmas
electrnicas distintas de la criptogrfica, basadas en el
almacenamiento seguro tanto de la identidad, verificada en el
proceso de autenticacin, como de los datos enviados por el
ciudadano. Se trata de soluciones particulares de cada organismo
y no soportadas dentro de la plataforma nica de Identificacin,
Autenticacin y Firma.
Firma electrnica Avanzada. Con certificado electrnico software
reconocido o DNI en la nube (slo se puede utilizar una vez
identificado con contrasea y OTP)
Firma electrnica Reconocida. Certificado electrnico reconocido
en tarjeta criptogrfica, DNIe y en el futuro podra utilizar el DNI en
la Nube (slo se puede utilizar una vez identificado con contrasea
y OTP)

Cl@ve Registro
Registro presencial en Oficinas de los Organismos que
realicen la funcin de Oficina de Registro
Telemticamente utilizando un certificado electrnico
reconocido
Telemticamente con un CSV

Cl@ve
Comunicacin mediante
redirecciones del navegador
(aserciones SAML)

STORK
Intermediador de
eID extranjeros

Servicio de eAdmon

Gestor de
identidades
Cl@ve

AEAT

GISS
Proveedor del
servicio (SP)

@firma
Intermediador de
DNIe y
certificados

Proveedores de
identidad (IdP)
Comunicacin
mediante
redirecciones
del navegador
(aserciones
SAML)

Uso de cl@ve

Uso de cl@ve

Muface redirige la peticin al Intermediador (Cl@ve), que le ofrece los sistemas de identificacin
y autenticacin que puede utilizar para identificarse y autenticarse

Uso de cl@ve

Para poder utilizar el PIN24H el ciudadano tiene que haber obtenido un PIN24H. Este paso lo
podr realizar en el momento de la autenticacin o lo puede haber obtenido en cualquier
momento previo a utilizarlo.

Caso de uso Cl@ve

Si el ciudadano ya tiene un
PIN24H puede autenticarse
directamente
El ciudadano selecciona el proveedor de identificacin y autenticacin (PIN24H) que quiere
utilizar

Caso de uso Cl@ve

Cuando funcionara cl@ve


Fecha prevista 17 Noviembre 2014
Desde este momento, se cerrar el Registro en PIN24H y
todas las altas nuevas se realizarn en el Registro Cl@ve.
Todo ciudadano que se de registre en Cl@ve podr
utilizar el PIN24H para acceder a los servicios de la Sede
Electrnica.

Portal Cl@ve