Ejemplo de Uso

USO DEL DNI 3.0 Y LA TECNOLOGÍA NFC.

Para utilizar las aplicaciones disponibles del desarrollador CNP-FNMT será necesario:

  • DNI 3.0 Anverso DNI 3.0

  • Dispositivo móvil (smartphone o tablet) con conexión a Internet y tecnología NFC. Icono NFC

  • Sistema operativo Android 4.2 o versiones superiores. Icono Android



Para el correcto funcionamiento de la tecnología NFC, el chip del DNI debe estar en todo momento en contacto con el dispositivo móvil.

Puedes descargar la siguiente guía de uso para conocer el funcionamiento del DNI 3.0 y puedes ver el vídeo de ejemplo.

USO DEL DNI CON LECTOR DE TARJETAS

Imaginemos la siguiente situación: un ciudadano establece una comunicación a través de Internet con un organismo de la Administración Pública (o una Entidad Privada) que ofrece un servicio telemático para que el ciudadano cumplimente un trámite administrativo que requiere su consentimiento explícito para la realización.Éste escenario plantea el uso de los dos tipos de certificados electrónicos por parte del ciudadano:

Este escenario plantea el uso de los dos tipos de certificados electrónicos por parte del ciudadano:

  • Certificado de Autenticación (Digital Signature), cuyo propósito exclusivo es el de identificar al ciudadano. Este certificado no vincula al ciudadano en ninguna forma y es exclusivamente utilizado para el establecimiento de canales privados y confidenciales con los prestadores de servicio. Permite cerrar el túnel SSL con el certificado del ciudadano y el del prestador de servicios, así como facilitar su identidad a éste último.

  • Certificado de Firma (nonRepudiation), cuyo fin es permitir al ciudadano firmar trámites o documentos. Este certificado (certificado cualificado según ETSI y las RFC3039, RFC3739) permite sustituir la firma manuscrita por la electrónica en las relaciones del ciudadano con terceros (Ley 59/2003, de firma electrónica, artículos 3.4 y 15.2).

Asumiendo que:

  • Con contacto
    • El ciudadano dispone de un DNI con capacidades electrónicas (criptográficas).
    • Está conectando al servicio telemático de forma remota a través de Internet.
    • Dispone de una instalación local con un lector de tarjetas inteligentes compatible (PC/SC).
    • Cuenta con el CSP o el PKCS#11 del DNI.

  • Sin contacto
    • El ciudadano dispone de un DNI 3.0 con capacidades electrónicas (criptográficas).
    • El ciudadano dispone de un dispositivo con NFC con conexión a Internet.
    • El ciudadano tiene instalado en el dispositivo una APP específica para acceder a los certificados almacenados en el DNI 3.0 y conectarse al servicio telemático.

a) Establecimiento de conexión privada con Organismo Público o Entidad Privada.

El siguiente esquema de comunicaciones establece el protocolo a seguir para el establecimiento de un canal privado y autenticado entre el ciudadano y el Organismo Público o Entidad Privada. El canal establecido queda autenticado en ambos extremos por el uso de certificados que garantizan la identidad de las partes:

  1. El Ciudadano hace una petición de conexión segura autenticada.

  2. El Organismo Público (o Entidad Privada) crea un mensaje autenticado y lo envía al ciudadano.

  3. El Ciudadano verifica la validez del certificado de servidor ofrecido.

  4. Se genera la clave de sesión y cifrado de la misma con la clave pública del El Organismo Público (o Entidad Privada).

  5. Se construye el mensaje de intercambio de claves.

  6. El Ciudadano introduce el DNI en el lector y, con el certificado electrónico de autenticación, valida el mensaje de intercambio de claves.

  7. Se establece el canal privado.

  8. El Organismo Público (o Entidad Privada) verifica el mensaje de establecimiento de sesión.

  9. El Organismo Público (o Entidad Privada) comprueba en la Autoridad de Validación el estado validez del Certificado de Autenticación del Ciudadano.

  10. Se establece un canal seguro, se cierra túnel SSL.

Tal y como queda reflejado en el esquema anterior, el proceso de autenticación entre ambas partes para el establecimiento de un canal seguro requiere del uso de:

  • Certificado de Organismo Público (o Entidad Privada): Éste certificado asociado al servidor del Organismo o Entidad garantiza que el ciudadano se esta conectando a dicho organismo y no a otro. El certificado utilizado por el Organismo o Entidad no es en ningún caso emitido por la DGP o el Ministerio del Interior, la veracidad de este certificado deberá ser garantizada por una Autoridad de Certificación diferente de la DGP y sujeta a la Ley de Firma Electrónica 59/2003 en el marco de obligaciones aplicables a los prestadores de servicios de certificación.

  • Certificado de autenticación del ciudadano. El ciudadano para autenticarse frente al Organismo (o Entidad Privada) dispone de un certificado con capacidad de autenticación. De esta forma el Organismo (o Entidad Privada) podrá determinar la identidad del ciudadano para ofrecerle un servicio personalizado. La veracidad de este certificado vendrá determinada por la Dirección General de la Policía.


Las partes implicadas para el establecimiento del canal privado son:

  • DNI: Dispositivo de firma y autenticación segura en posesión del ciudadano emitido por la Institución del DNI, que contendrá:

    • Conjunto de claves privadas al ciudadano.

    • Conjunto de certificados del ciudadano.

    • Elementos de seguridad para garantizar la integridad del documento frente a posibles alteraciones.

  • Ciudadano: Persona física titular del DNI.

  • Organismo Público (o Entidad Privada): Proveedor de servicios.

  • Autoridad de Validación: Servicio informativo del estado de validez de los certificados del ciudadano.


Usabilidad

El protocolo descrito en el esquema corresponde al establecimiento de una sesión SSL (Secure Socket Layer). La elección de este mecanismo viene determinada por que prácticamente el 100% de los servidores y clientes utilizados disponen de esta capacidad.

Este protocolo permite el establecimiento de canales privados con los proveedores de servicios, organismos públicos u otros. Si bien, existen dos tipos de canales:

  1. Autenticación Servidor: En esta modalidad, sólo el servidor requiere tener un certificado por lo que la identidad del cliente, el ciudadano en nuestro caso, será anónima.

  2. Autenticación Servidor-Cliente: Requiere que tanto el proveedor de servicios se autentique frente al cliente (ciudadano), como que el cliente se autentique frente al servidor. (Este es el ideal recomendado)

La diferencia real en cuanto a usabilidad estriba principalmente en que si el proveedor de servicios, puede determinar con garantía la identidad del ciudadano estará en disposición de ofrecerle información personalizada.

La utilización del certificado de Autenticación del DNI garantiza la identidad del ciudadano, y podrá ser utilizado por los proveedores de servicios para establecer reglas de acceso a la información en base a la identidad del mismo.


b) Firma de Trámites Administrativos con DNI.

El siguiente esquema establece el protocolo a seguir para la firma de formularios electrónicos, mediante el uso del DNI, cumpliendo con la normativa sujeta al uso de certificados cualificados:

  1. El Organismo Público (o Entidad Privada) envía el formulario para el trámite administrativo.

  2. El Ciudadano cumplimenta el formulario y lo envía.

  3. El Organismo Público (o Entidad Privada) reconstruye el formulario en formato texto y lo reenvía nuevamente al ciudadano.

  4. El Ciudadano verifica que el trámite administrativo se corresponde exactamente con el cumplimentado.

  5. Se solicita al ciudadano la firma electrónica del formulario.

  6. El Ciudadano introduce su clave de acceso personal (PIN) para el acceso al certificado de Firma (nonRepudiation).

  7. El DNI firma electrónicamente el formulario.

  8. El Ciudadano envía formulario firmado al El Organismo Público (o Entidad Privada)

  9. El Organismo Público (o Entidad Privada) verifica validez de la firma, para comprobar integridad formulario.

  10. El Organismo Público (o Entidad Privada) comprueba en la Autoridad de Validación estado validez certificado de Firma (nonRepudiation) del ciudadano.

  11. Si es correcto, continuar el procedimiento?

Conviene recordar que para llevar a cabo un proceso de firma electrónica debemos disponer de una aplicación informática que nos permita realizar esta funcionalidad.

Hay dos alternativas tecnológicas para disponer de la funcionalidad de firma electrónica:

  • La funcionalidad de firma electrónica se logra a través de una aplicación informática previamente instalada en nuestro equipo.

  • La funcionalidad de firma electrónica está incluida en el proceso general del prestador de servicios telemáticos, por lo que no es necesario descargar e instalar ninguna aplicación de firma electrónica.

Confirmación por parte del organismo de la correcta recepción del trámite.

El trámite administrativo se completa con la entrega por parte del Organismo receptor del formulario firmado con acuse de recibo. Aunque este trámite es ajeno al DNI, parece necesario que el prestador del servicio ofrezca garantía al ciudadano de la correcta realización del trámite efectuado. Dentro de unas buenas prácticas el prestador de servicios deberá proporcionar al ciudadano un recibo indicando que su trámite ha sido aceptado.

El siguiente esquema muestra el protocolo a seguir entre las diferentes partes:

  1. El Organismo Público (o Entidad Privada) confecciona el recibo para el trámite cumplimentado por el ciudadano.

  2. El Organismo Público (o Entidad Privada) firma el recibo.

  3. El recibo es firmado y sellado por una Tercera parte de confianza, denominada Autoridad de Sellos de Tiempo (que garantiza el instante exacto en el que un trámite fue aceptado por el prestador de servicios, y debe ser evidentemente una entidad externa a dicho prestador y reconocida en el ámbito de la legislación española).

  4. Se envía al Ciudadano el recibo firmado y sellado.

MINISTERIO DEL INTERIOR. Dirección General de la Policía.
Cuerpo Nacional de Policía.