Foro de PreparaTIC29

Me surge la duda ahora de si esta "duda", valga la redundancia, puede ser sujeta a Derecho de Acceso en el Portal de Transparencia

Yo supongo que no tendrá ninguna restricción ya que ellos mismos lo facilitaban en su página web

Yo creo que el documento que enlazáis:
https://www.dnielectronico.es/PDFs/Guia ... a_v1_5.pdf (fecha 10 de junio 2015)
es del DNIe antiguo, el DNIe 3.0 es más de color rosa, como el que viene en la guía de febrero...
Y además no hace ninguna referencia al Reglamento UE 910/2014, que algo tendría que decir ¿no?
Yo también estuve preguntado a la Policia por datos del DNIe 3.0., pero parece que es un secreto de estado...
Sobre lo que más se encuentra información es sobre la interfaz dual y el NFC:
https://www.dnielectronico.es/PDFs/presentacion_NFC.pdf
Un abrazo,
Ana

Tienes razón. Da la impresión (por las fotos de los documentos dni que hay dentro) que el documento se refiere al dni v2. Me reitero en la afirmación de que la policia no maneja un correcto control de versiones. Tienen un pequeño caos montado en su portal web.

Muy buenas, siento reflotar esto, pero he llegado al tema correspondiente y he aterrizado aquí buscando las 'zonas' del DNI 3.0.

Por lo que veo, un año después, las guías siguen en la misma versión, y no he encontrado nada nuevo pero si alguien tiene algo más de información estaría genial que la compartiese.

Sin embargo, dándole algunas vueltas al 'porqué' de la desaparición de la zona privada, le he encontrado un sentido que me lleva a pensar que no se trata de una 'errata', sino de que efectivamente ha desaparecido la zona privada porque tenía que hacerlo. Ahí van mis cábalas:

Una de las principales novedades del DNIv3.0 es ser Dual Interface (con contactos mediante el chip y sin contacto vía NFC). Leyendo el funcionamiento con el DNIe de la aplicación MuniMadrid (https://www.dnielectronico.es/PDFs/Impl ... C_FNMT.pdf), el procedimiento sería:
1º La aplicación pide el CAN (Card Access Number) para poder abrir un canal físico con la tarjeta. No vamos a considerar esto como una clave 'secreta', porque está escrita en la propia tarjeta.
2º Pide que se acerque la tarjeta (entiendo que será acercarlo un momento y ya está)
3º La aplicación solicita el PIN (entiendo que la tarjeta ya puede volver a estar en el bolsillo en el momento de validar el PIN).

Por eso entiendo que los certificados deben estar en una zona pública, ya que la única clave de acceso que se pide se utiliza fuera de la tarjeta (en el dispositivo), y se hace de forma posterior a la conexión entre tarjeta y lector nfc-> Por tanto, los certificados han de estar obligatoriamente en una zona pública, ya que en el momento de acceder a ellos, el usuario todavía no ha indicado su PIN.


¿Cómo lo veis?

pozuelog escribió:Muy buenas, siento reflotar esto, pero he llegado al tema correspondiente y he aterrizado aquí buscando las 'zonas' del DNI 3.0.

Por lo que veo, un año después, las guías siguen en la misma versión, y no he encontrado nada nuevo pero si alguien tiene algo más de información estaría genial que la compartiese.

Sin embargo, dándole algunas vueltas al 'porqué' de la desaparición de la zona privada, le he encontrado un sentido que me lleva a pensar que no se trata de una 'errata', sino de que efectivamente ha desaparecido la zona privada porque tenía que hacerlo. Ahí van mis cábalas:

Una de las principales novedades del DNIv3.0 es ser Dual Interface (con contactos mediante el chip y sin contacto vía NFC). Leyendo el funcionamiento con el DNIe de la aplicación MuniMadrid (https://www.dnielectronico.es/PDFs/Impl ... C_FNMT.pdf), el procedimiento sería:
1º La aplicación pide el CAN (Card Access Number) para poder abrir un canal físico con la tarjeta. No vamos a considerar esto como una clave 'secreta', porque está escrita en la propia tarjeta.
2º Pide que se acerque la tarjeta (entiendo que será acercarlo un momento y ya está)
3º La aplicación solicita el PIN (entiendo que la tarjeta ya puede volver a estar en el bolsillo en el momento de validar el PIN).

Por eso entiendo que los certificados deben estar en una zona pública, ya que la única clave de acceso que se pide se utiliza fuera de la tarjeta (en el dispositivo), y se hace de forma posterior a la conexión entre tarjeta y lector nfc-> Por tanto, los certificados han de estar obligatoriamente en una zona pública, ya que en el momento de acceder a ellos, el usuario todavía no ha indicado su PIN.


¿Cómo lo veis?

Lo único que no entiendo es como puede ser considerado "dispositivo seguro" si los certificados privados están en zona Pública.


Lo que se me ocurre ahora, TOTALMENTE SIN CONFIRMAR, que no sé si estará vigente en el tema del DNI es que los certificados se encuentran en la Nube. Al fin y al cabo la reforma de la Ley 59/2003 se hizo para permitir la firma en la nube y con el afán de que Cl@ve integre este sistema y me suena que era la Dirección General de la Policía la que se encargaba de esto.

Acabo de encontrar esto:

http://clave.gob.es/clave/clave_Home/dnin.html

¿Será la solución?


Muevo el tema también a los nuevos foros por su interés.

Itinerante escribió:

pozuelog escribió:Muy buenas, siento reflotar esto, pero he llegado al tema correspondiente y he aterrizado aquí buscando las 'zonas' del DNI 3.0.

Por lo que veo, un año después, las guías siguen en la misma versión, y no he encontrado nada nuevo pero si alguien tiene algo más de información estaría genial que la compartiese.

Sin embargo, dándole algunas vueltas al 'porqué' de la desaparición de la zona privada, le he encontrado un sentido que me lleva a pensar que no se trata de una 'errata', sino de que efectivamente ha desaparecido la zona privada porque tenía que hacerlo. Ahí van mis cábalas:

Una de las principales novedades del DNIv3.0 es ser Dual Interface (con contactos mediante el chip y sin contacto vía NFC). Leyendo el funcionamiento con el DNIe de la aplicación MuniMadrid (https://www.dnielectronico.es/PDFs/Impl ... C_FNMT.pdf), el procedimiento sería:
1º La aplicación pide el CAN (Card Access Number) para poder abrir un canal físico con la tarjeta. No vamos a considerar esto como una clave 'secreta', porque está escrita en la propia tarjeta.
2º Pide que se acerque la tarjeta (entiendo que será acercarlo un momento y ya está)
3º La aplicación solicita el PIN (entiendo que la tarjeta ya puede volver a estar en el bolsillo en el momento de validar el PIN).

Por eso entiendo que los certificados deben estar en una zona pública, ya que la única clave de acceso que se pide se utiliza fuera de la tarjeta (en el dispositivo), y se hace de forma posterior a la conexión entre tarjeta y lector nfc-> Por tanto, los certificados han de estar obligatoriamente en una zona pública, ya que en el momento de acceder a ellos, el usuario todavía no ha indicado su PIN.


¿Cómo lo veis?

Lo único que no entiendo es como puede ser considerado "dispositivo seguro" si los certificados privados están en zona Pública.


Lo que se me ocurre ahora, TOTALMENTE SIN CONFIRMAR, que no sé si estará vigente en el tema del DNI es que los certificados se encuentran en la Nube. Al fin y al cabo la reforma de la Ley 59/2003 se hizo para permitir la firma en la nube y con el afán de que Cl@ve integre este sistema y me suena que era la Dirección General de la Policía la que se encargaba de esto.

Realmente seguimos elucubrando, pero no tiene porqué ser inseguro por el hecho de estar en una 'Zona pública': Los datos de creación de firma siguen siendo necesarios para firmar, aunque estén en una zona pública del certificado. Yéndonos a un entorno más conocido el símil sería: Antes, había una unidad de disco duro cifrada (la zona privada) que contenía los certificados y en la versión 3.0, los certificados están en un disco abierto (zona pública), pero se encuentran cifrados (para poder firmar siguen siendo necesario utilizar la clave).

Sobre la posibilidad de tener los certificados en la nube, entiendo que se refiere a tenerlos en la nube y también en el chip. Claramente se indica en el documento del DNI v3 que los certificados están en una zona pública.

Saludos.

Me uno a la fiesta

Según se publica en su portal web, el cual es más facil y rápido de actualizar y editar que las guías:

Zona pública: Accesible en lectura sin restricciones, contenido:


Certificado CA intermedia emisora.

Claves Diffie-Hellman.

Certificado x509 de componente

Certificado de Firma (No Repudio).

Certificado de Autenticación (Digital Signature).

Estoy de acuerdo con la deducción por ingeniería inversa de @pozuelog sobre la ubicación de los mencionados certificados en la zona pública. Ahora bien, las claves privadas entiendo que se guardarán en una zona logica cuasi-inaccesible y sólo accesible, si a caso, por el Sistema Operativo de la tarjeta cuando está en modo kernel efectuando ciertas operaciones criptográficas (recordemos que con el DNIv3 el S.O. también ha evolucionado).

Un saludo .

Itinerante escribió:Acabo de encontrar esto:

http://clave.gob.es/clave/clave_Home/dnin.html

¿Será la solución?


Muevo el tema también a los nuevos foros por su interés.

Hola itinerante. Ayer cuando leí este mensaje, me quedé pensativo porque no me sonaba de haber visto el título "DNI-nb".
Hoy le he estado dando vueltas y ya he encontrado el motivo. Ese enlace está obsoleto.
El actualizado sería este: http://clave.gob.es/clave_Home/dnin.html.

La verdad es que desde los principios de Clave, me sonaba "Clave firma", pero ponía "Próximamente". Parece ser que ha habido un lapso de tiempo que lo han llamado DNI-nb, y ahora han cambiado los directorios del servidor, quedándose la antigua también .
Saludos,

grgpeople escribió:

Itinerante escribió:Acabo de encontrar esto:

http://clave.gob.es/clave/clave_Home/dnin.html

Hoy le he estado dando vueltas y ya he encontrado el motivo. Ese enlace está obsoleto.
El actualizado sería este: http://clave.gob.es/clave_Home/dnin.html.

Creo que el enlace que has puesto es el mismo que puso itinerante. No sé si es un lapsus o es el mismo enlace cuya información ha sido actualizada.

phdezv escribió:

grgpeople escribió:

Itinerante escribió:Acabo de encontrar esto:

http://clave.gob.es/clave/clave_Home/dnin.html

Hoy le he estado dando vueltas y ya he encontrado el motivo. Ese enlace está obsoleto.
El actualizado sería este: http://clave.gob.es/clave_Home/dnin.html.

Creo que el enlace que has puesto es el mismo que puso itinerante. No sé si es un lapsus o es el mismo enlace cuya información ha sido actualizada.

No, no es el mismo. Itinerante puso un "/clave/" (mejor dicho, antiguamente estaba así), y ahora ya está en el directorio raíz de clave.gob.es.

Ahhhh cierto ... tanto clave y clave

Tempestad escribió:Me uno a la fiesta

Según se publica en su portal web, el cual es más facil y rápido de actualizar y editar que las guías:

Zona pública: Accesible en lectura sin restricciones, contenido:


Certificado CA intermedia emisora.

Claves Diffie-Hellman.

Certificado x509 de componente

Certificado de Firma (No Repudio).

Certificado de Autenticación (Digital Signature).

Estoy de acuerdo con la deducción por ingeniería inversa de @pozuelog sobre la ubicación de los mencionados certificados en la zona pública. Ahora bien, las claves privadas entiendo que se guardarán en una zona logica cuasi-inaccesible y sólo accesible, si a caso, por el Sistema Operativo de la tarjeta cuando está en modo kernel efectuando ciertas operaciones criptográficas (recordemos que con el DNIv3 el S.O. también ha evolucionado).

Un saludo .

¿Claves Diffie-Hellman?
Entiendo que se trata de una clave única asociada a cada dni o ¿se genera una nueva para cada sesión?