Este documento presenta una solución tecnológica para la autenticación de usuarios mediante el uso de tarjetas inteligentes con certificados digitales. La solución llamada SmartID permite la autenticación fuerte de usuarios en equipos, aplicaciones web y servidores de forma sencilla e integrada con el directorio activo de Microsoft. Ofrece control granular, auditoría y relaciona certificados digitales con cuentas de usuario mediante reglas lógicas.
Tecnologia d’integració per l’autenticació amb DNIe
1.
2. Solució par FSHM (II)
Tecnologia d’integració per l’autenticació
amb targes intel.ligents
19 de Maig de 2011
Rames SArwat
General Manager
3. Los problemas de las
contraseñas
• En papeles o junto a la pantalla
Se anotan • Incluso debajo del teclado
• Entre compañeros y amigos
Se comparten • Entre varios usuarios
• Baja complejidad
Son vulnerables • Se reutilizan
• Fáciles de averiguar
Son difíciles de • Numerosas contraseñas diferentes
recordar • Pérdida de productividad de los usuarios
4. ¿Porqué afrontar el problema?
• Brecha en la Seguridad
• Nos impide cumplir la
legislación vigente
• Frustración y pérdida de
productividad a los
usuarios
• Costes de soporte y
operación.
5. Autenticación fuerte de Usuarios
Verificar la identidad de los usuarios que acceden a
los sistemas de información de la organización
mediante elementos (o factores) alternativos a las
contraseñas
Mayor eficiencia Garantía de Reducción costes
operativa y mejora del cumplimiento
nivel de servicio legislativo y normativo
6. Las claves publica y privada
Clave pública
364896384682347089234709827348720394872039
84702389740982374087230432424234234234234
…
Clave privada :
879832749827038482374082739487238470238740
827340897238478092374098723094872038472347
…
Son dos números únicos que se encuentran relacionados
entre ellos (matemáticamente).
Cuando ciframos con uno cualquiera de los números, se
puede descifrar sólo con el otro número.
7. ¿Es seguro?
Las claves son números muy largos (> 600
dígitos) imposibles de adivinar
Basado en un algoritmo matemático público
(RSA, 1977) que hasta la fecha no se ha
conseguido «romper»
Resolver el problema matemático requiere
aproximadamente un 1.000.000 de
ordenadores funcionando durante más de
10.000 años
8. El certificado digital
Un certificado digital es un documento
electrónico que asocia un par de claves
aleatorias a una persona.
CERTIFICADO DIGITAL
Nombre: SARAH
Apellidos : JANE BLOGGS
Número ID: 4545676-4555554
Nacionalidad: BRITANICA
Valido desde: 1-1-2010
Valido hasta: 31-12-2012
Clave pública
364896384682347089234709827348720394872
Clave pública
039847023897409823740872304324242342342 364896384682347089234709827348720394872
34234.. 039847023897409823740872304324242342342
34234
Clave privada :
879832749827038482374082739487238470238 Clave privada :
740827340897238478092374098723094872038
472347..
879832749827038482374082739487238470238
740827340897238478092374098723094872038
472347
9. Emisores de certificados
Para emitir un certificado es necesario un conjunto de
servidores y dispositivos que se denomina
Infraestructura de Clave Pública (PKI).
Podemos obtener un certificado de:
Nuestra empresa Un organismos público o
privado dedicado a la
emisión de certificados
reconocidos
10. Caducidad y Revocación
Un certificado digital se emite por un periodo de tiempo
(meses o años), transcurrido el cual caduca y debe ser
renovado emitiendo un nuevo certificado.
Si nos roban o extraviamos el certificado, podemos
anularlo (revocar) avisando a quien lo ha emitido (de
forma similar a una tarjeta de crédito) para que lo incluya
en una lista llamada Lista de Revocación
11. Usos de un certificado digital
Tres propósitos principales
Verificar la identidad de un
usuario
Asegurar la integridad (no
modificación) de un mensaje
Proteger el contenido de un
mensaje
12. Verificar la identidad
De personas cuando acceden a equipos o aplicaciones.
Similar a :
Si disponemos de
las llaves (claves)
podremos acceder
a nuestra casa
(sistema o
aplicación).
«Un usuario demuestra su identidad, demostrando que tiene acceso a la clave
privada de un certificado digital y que puede hacer una operación criptográfica con
ella»
13. Firma electrónica
La firma electrónica nos permite:
Identificar unívocamente al firmante (Identidad)
Detectar cambios en el documento o correo posteriores a la firma
(Integridad)
Similar al sello de lacre:
- Identifica al autor o remitente
(cada persona tenía un sello
propio)
- Evita que el sobre pueda ser
abierto sin ser detectado.
14. Cifrado
Podemos cifrar correos y/o documentos
Debemos identificar el/los destinatario(s) antes de poder cifrar.
Funcionamiento similar a un
buzón:
- Cualquiera puede introducir una carta o
documento
- Sólo el dueño puede acceder a su
contenido mediante su llave (clave)
- Si pierde la llave no podrá acceder a su
contenido
15. Almacenamiento
Podemos guardar un certificado digital en:
El disco duro de Una tarjeta con chip Un servidor seguro de
nuestro ordenador o smart card almacenamiento de claves
(HSM)
16. Documento Nacional de Identidad
Electrónico
Documento que acredita física y digitalmente
la identidad personal de su titular
y permite la firma electrónica de documentos
31/12/2012
17. El chip
El chip
Despegando el chip
Ampliación
(un ordenador en miniatura)
31/12/2012
18. Como relacionar los certificados
con nuestros usuarios
Usuario
Domain
displayName
givenName
name
mail
cn
homePhone
Certificado X509 ipPhone
EMISOR …
Nº DE SERIE
ASUNTO
VALIDEZ desde/hasta
ALGORITMO FIRMA
USO DE LA CLAVE
PUNTOS DISTRIB. CRLS
HUELLA DIGITAL
CLAVE PÚBLICA Active Directory
CLAVE PRIVADA
19. ¿Qué es SmartID?
Solución de autenticación de usuarios
mediante el uso de tarjetas inteligentes con
certificado digital para empresas y
organismos públicos
20. Smart Card Logon
Extiende Microsoft Windows con SmartID
Corporte Logon
Autenticación de
usuarios en
Autenticación
Capacidad de equipos, en
con cualquier
definir relación Posibilidad de Mayor control aplicaciones web,
certificado,
certificado- asociar múltiples del proceso de en servidores de
incluidos DNIe,
usuario certificados a un validación de terminales, en
CATCert y FNMT,
mediante reglas mismo usuario certificados conexiones
contenido en una
lógicas. remotas VPN e
smartcard
infraestructuras
VDI.
21. Administración
Sencilla e integrada con Directorio Activo, control
granular mediante reglas y políticas GPO y registro
para auditoría mediante eventos del sistema
Admón..
Integrada
con
Directorio
Activo
Bajo TCO de la solución
Control de
No requiere formación al utilizar proceso de
las mismas herramientas de validación
de
administración de AD certificados
Reglas lógicas
de asociación
de certificados
a cuentas
22. Beneficios
Proporciona una solución de control de acceso
robusta y fiable
Es sencilla de administrar, desplegar y
mantener
No produce impacto en los sistemas actuales
Solución flexible
Soporta todo tipo de lectores, tarjetas y certificados,
incluido el nuevo DNI electrónico.
23. Funcionalidades
Validación de Certificado mediante protocolo
Kerberos contra Directorio Activo de Microsoft.
El usuario obtiene una funcionalidad de Single Sign-
On con aplicaciones compatibles con el protocolo
Kerberos (Exchange, IIS, etc)
Relación certificado-usuario definible por el
administrador mediante reglas
Administración mediante políticas de directorio (GPO)
Consola de Administración MMC
Caché de credenciales para logon desconectado de
la red con smartcard
Soporte de Terminal Services/Citrix, Web, VPN y VDI