Bienvenidos

Inicio / Guía de Referencia Básica / Uso del DNI electrónico


Uso del DNI electrónico


Uso del DNI electrónico

Tal y como recoge la Declaración de Prácticas de Certificación del DNI electrónico, los certificados electrónicos podrán utilizarse:

• Como medio de Autenticación de la Identidad.

El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica se realiza con la persona que dice que es. El titular podrá, a través de su certificado, acreditar su identidad frente a cualquiera, ya que se encuentra en posesión del certificado de identidad y de la clave privada asociada al mismo.


• Como medio de firma electrónica de documentos.

Mediante la utilización del Certificado de Firma (nonRepudition), el receptor de un mensaje firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo de esta forma demostrar la identidad del firmante sin que éste pueda repudiarlo.


• Como medio de certificación de Integridad de un documento.

Permite comprobar que el documento no ha sido modificado por ningún agente externo a la comunicación. La garantía de la integridad del documento se lleva a cabo mediante la utilización de funciones resumen (hash), utilizadas en combinación con la firma electrónica. Esto esquema permite comprobar si un mensaje firmado ha sido alterado posteriormente a su envío.

Para tal fin, utilizando la clave privada del ciudadano, se firma un resumen del documento ,de forma tal que cualquier alteración posterior del documento dará lugar a una alteración del resumen.

El Certificado de Identidad Pública español (DNI electrónico) contribuirá, necesariamente a la existencia de empresas prestadoras de servicios de valor añadido ya que el DNI electrónico no facilitara en ningún caso los denominados "sobres" (sistemas de cifrado, sellos de tiempo, etc.)

De la misma forma favorecerá la aparición de iniciativas privadas que presten servicios de certificación a los ciudadanos. Esto se conseguirá en base a reconoce al DNI electrónico como medio suficiente para acreditar, la identidad y los demás datos personales de los interesados, pudiendo ser utilizado como medio de identificación para la realización de un registro fuerte que permita la expedición de certificados reconocidos por parte de entidades privadas, sin verse estas obligadas a realizar una fuerte inversión en el despliegue y mantenimiento de una infraestructura de registro.

Escenario


Imaginemos la siguiente situación: un ciudadano establece una comunicación a través de Internet con un organismo de la Administración Pública (o una Entidad Privada) que ofrece un servicio telemático para que el ciudadano cumplimente un trámite administrativo que requiere su consentimiento explicito para la realización.

Este escenario plantea el uso de los dos tipos de certificados electrónicos por parte del ciudadano:

• Certificado de Autenticación (Digital Signature), cuyo propósito exclusivo es el de identificar al ciudadano. Este certificado no vincula al ciudadano en ninguna forma y es exclusivamente utilizado para el establecimiento de canales privados y confidenciales con los prestadores de servicio. Permite cerrar el túnel SSL con el certificado del ciudadano y el del prestador de servicios, así como facilitar su identidad a éste ultimo.

• Certificado de Firma (nonRepudiation), cuyo fin es permitir al ciudadano firmar tramites o documentos. Este certificado (certificado cualificado según ETSI y las RFC3039, RFC3739) permite sustituir la firma manuscrita por la electrónica en las relaciones del ciudadano con terceros (Ley 59/2003, de firma electrónica, artículos 3.4 y 15.2).

Descripción de Uso

Asumiendo que:

  • El ciudadano dispone de un DNI con capacidades electrónicas (criptográficas).
  • Está conectando al servicio telemático de forma remota a través de Internet.
  • Dispone de una instalación local con un lector de tarjetas inteligentes compatible (PC/SC).
  • Cuenta con el CSP o el PKCS#11 del DNI electrónico.


a) Establecimiento de conexión privada con Organismo Público o Entidad Privada.

El siguiente esquema de comunicaciones establece el protocolo a seguir para el establecimiento de un canal privado y autenticado entre el ciudadano y el Organismo Público o Entidad Privada. El canal establecido queda autenticado en ambos extremos por el uso de certificados que garantizan la identidad de las partes:

1. El Ciudadano hace una petición de conexión segura autenticada.

2. El Organismo Público (o Entidad Privada) crea un mensaje autenticado y lo envía al ciudadano.

3. El Ciudadano verifica la validez del certificado de servidor ofrecido.

4. Se genera la clave de sesión y cifrado de la misma con la clave pública del El Organismo Público (o Entidad Privada).

5. Se construye el mensaje de intercambio de claves.

6. El Ciudadano introduce el DNI electrónico en el lector y, con el certificado electrónico de autenticación, valida el mensaje de intercambio de claves.

7. Se establece el canal privado.

8. El Organismo Público (o Entidad Privada) verifica el mensaje de establecimiento de sesión.

9. El Organismo Público (o Entidad Privada) comprueba en la Autoridad de Validación el estado validez del Certificado de Autenticación del Ciudadano.

10. Se establece un canal seguro, se cierra túnel SSL.

Tal y como queda reflejado en el esquema anterior, el proceso de autenticación entre ambas partes para el establecimiento de un canal seguro requiere del uso de:


• Certificado de Organismo Público (o Entidad Privada): Este certificado asociado al servidor del Organismo o Entidad garantiza que el ciudadano se esta conectando a dicho organismo y no a otro. El certificado utilizado por el Organismo o Entidad no es en ningún caso emitido por la DGP o el Ministerio del Interior, la veracidad de este certificado deberá ser garantizada por una Autoridad de Certificación diferente de la DGP y sujeta a la Ley de Firma Electrónica 59/2003 en el marco de obligaciones aplicables a los prestadores de servicios de certificación.

• Certificado de autenticación del ciudadano. El ciudadano para autenticarse frente al Organismo (o Entidad Privada) dispone de un certificado con capacidad de autenticación. De esta forma el Organismo (o Entidad Privada) podrá determinar la identidad del ciudadano para ofrecerle un servicio personalizado. La veracidad de este certificado vendrá determinada por la Dirección General de la Policía.

Las partes implicadas para el establecimiento del canal privado son:


• DNI electrónico: Dispositivo de firma y autenticación segura en posesión del ciudadano emitido por la Institución del DNI, que contendrá:
  • Conjunto de claves privadas al ciudadano.
  • Conjunto de certificados del ciudadano.
  • Elementos de seguridad para garantizar la integridad del documento frente a posibles alteraciones.

• Ciudadano: Persona física titular del DNI electrónico.

• Organismo Público (o Entidad Privada): Proveedor de servicios.

• Autoridad de Validación: Servicio informativo del estado de validez de los certificados del ciudadano.



Usabilidad


El protocolo descrito en el esquema corresponde al establecimiento de una sesión SSL (Secure Socket Layer). La elección de este mecanismo viene determinada por que prácticamente el 100% de los servidores y clientes utilizados disponen de esta capacidad.

Este protocolo permite el establecimiento de canales privados con los proveedores de servicios, organismos públicos u otros. Si bien, existen dos tipos de canales:

1. Autenticación Servidor: En esta modalidad, sólo el servidor requiere tener un certificado por lo que la identidad del cliente, el ciudadano en nuestro caso, será anónima.

2. Autenticación Servidor-Cliente: Requiere que tanto el proveedor de servicios se autentique frente al cliente (ciudadano), como que el cliente se autentique frente al servidor. (Este es el ideal recomendado)

La diferencia real en cuanto a usabilidad estriba principalmente en que si el proveedor de servicios, puede determinar con garantía la identidad del ciudadano estará en disposición de ofrecerle información personalizada.

La utilización del certificado de Autenticación del DNI electrónico garantiza la identidad del ciudadano, y podrá ser utilizado por los proveedores de servicios para establecer reglas de acceso a la información en base a la identidad del mismo.

b) Firma de Trámites Administrativos con DNI electrónico.

El siguiente esquema establece el protocolo a seguir para la firma de formularios electrónicos, mediante el uso del DNI electrónico, cumpliendo con la normativa sujeta al uso de certificados cualificados:

1. El Organismo Público (o Entidad Privada) envía el formulario para el trámite administrativo.

2. El Ciudadano cumplimenta el formulario y lo envía.

3. El Organismo Público (o Entidad Privada) reconstruye el formulario en formato texto y lo reenvía nuevamente al ciudadano.

4. El Ciudadano verifica que el trámite administrativo se corresponde exactamente con el cumplimentado.

5. Se solicita al ciudadano la firma electrónica del formulario.

6. El Ciudadano introduce su clave de acceso personal (PIN) para el acceso al certificado de Firma (nonRepudiation).

7. El DNI electrónico firma electrónicamente el formulario.

8. El Ciudadano envía formulario firmado al El Organismo Público (o Entidad Privada)

9. El Organismo Público (o Entidad Privada) verifica validez de la firma, para comprobar integridad formulario.

10. El Organismo Público (o Entidad Privada) comprueba en la Autoridad de Validación estado validez certificado de Firma (nonRepudiation) del ciudadano.

11. Si es correcto, continuar el procedimiento…

Conviene recordar que para llevar a cabo un proceso de firma electrónica debemos disponer de una aplicación informática que nos permita realizar esta funcionalidad.



Hay dos alternativas tecnológicas para disponer de la funcionalidad de firma electrónica:


• La funcionalidad de firma electrónica se logra a través de una aplicación informática previamente instalada en nuestro equipo.

• La funcionalidad de firma electrónica está incluida en el proceso general del prestador de servicios telemáticos, por lo que no es necesario descargar e instalar ninguna aplicación de firma electrónica.

Confirmación por parte del organismo de la correcta recepción del trámite.

El trámite administrativo se completa con la entrega por parte del Organismo receptor del formulario firmado con acuse de recibo. Aunque este trámite es ajeno al DNI electrónico, parece necesario que el prestador del servicio ofrezca garantía al ciudadano de la correcta realización del trámite efectuado. Dentro de unas buenas prácticas el prestador de servicios deberá proporcionar al ciudadano un recibo indicando que su trámite ha sido aceptado.

El siguiente esquema muestra el protocolo a seguir entre las diferentes partes:

1. El Organismo Público (o Entidad Privada) confecciona el recibo para el trámite cumplimentado por el ciudadano.

2. El Organismo Público (o Entidad Privada) firma el recibo.

3. El recibo es firmado y sellado por una Tercera parte de confianza, denominada Autoridad de Sellos de Tiempo (que garantiza el instante exacto en el que un trámite fue aceptado por el prestador de servicios, y debe ser evidentemente una entidad externa a dicho prestador y reconocida en el ámbito de la legislación española).

4. Se envía al Ciudadano el recibo firmado y sellado.



Dirección General de la Policía