www.MacroSeguridad.org ePass Security Token Your Key to the Digital Age www.MacroSeguridad.org e ePass Security Token Your Key to the Digital Age C omo los negocios a través de Internet son cada día más frecuentes, la necesidad de emplear la más sofisticada y mejor seguridad en la red es de vital importancia para el éxito de los mismos. Los métodos de autorización y autenticación de usuarios necesitan distinguir entre Partners de negocios y clientes, empleados de distintos departamentos, usuarios con acceso remoto, y varios otros factores, para asegurar que el individuo correcto obtenga acceso a la información adecuada. Los sistemas de autenticación de usuarios simples, basados en un sencillo “nombre de usuario” y “password”, son insuficientes, porque no proveen la seguridad y garantía necesaria en los diferentes sistemas de redes, ya que pueden ser fácilmente accedidos, robados, perdidos, compartidos o craqueados. Los más sofisticados métodos de autenticación de usuarios — generación de passwords dinámicas, Infraestructura de Clave Publica y Privada (PKI), biometría – proveen un aumento en la seguridad y su costo esta relacionado directamente con la combinación del destino de uso que tiene la aplicación y el usuario que accede a la misma. Los productos ePass de Feitian—ePass1000 & ePass2000- son dispositivos portátiles, seguros y fáciles de implementar para autenticar usuarios dentro de una red, realizar transacciones comerciales seguras, y dar seguridad a otras aplicaciones propias o de terceros. Los productos ePass de Feitian ofrecen autenticación, verificación, servicios de encripción de información que soportan encripción de mails, firma digital y certificados, así como también soluciones empresariales de Single Sign On (SSO), aplicaciones VPN/SSL, y todas las funcionalidades que pueden realizarse dentro de la infraestructura PKI. www.MacroSeguridad.org ePass2000 Características Generación on board de las claves RSA 1024-bits. La clave privada no puede ser exportada, si se genera onboard Chip G&D onboard con certificación de seguridad FIPS 140-1 level 2, FIPS 140-2 Soporta los algoritmos RSA 1024, 3DES, DES. SHA-1, MD5 y otros Soporta los stándares PKCS#11 y MS CAPI Almacenamiento de Certificados Digitales X.509.v3 Generación de números aleatorios dentro del mismo dispositivo ID global único de 32 bits, impreso en la carcaza del ePass. Driver PC/SC, firmado por Microsoft Poderosa conectividad Plug & Play para aplicaciones PKI Firma digital firmada en el hardware Soporte para almacenamiento de múltiples claves Soporte para múltiples aplicaciones PKI y smartcard Certificación Conformidad CE y FCC Interfase USB estándar Sistema operativo Feitian Card (FEITIANCOS) tecnología smartcard www.MacroSeguridad.org ePass1000 Características Dos factores de autenticación - Autenticación On board HMAC-MD5 challenge-response Soporta estándares PKCS#11 y MS CAPI Almacenamiento de Certificados Digitales X.509.v3 Generación de números aleatorios ejecutado en el mismo dispositivo Mecanismos de encripción RSA 1024, DSA, DES, 3DES, DH, RC2, RC4 Drivers PC/SC, firmado digitalmente por Microsoft Certificación conformidad CE y FCC LED de Control de Aplicaciones Acceso al ePass1000 basado en browser vía Controles ActiveX y Apletts de Java Poderosa conectividad Plug & Play para aplicaciones PKI Firma digital firmada en el hardware Soporte para almacenamiento de múltiples claves Soporte para múltiples aplicaciones PKI y smartcard Tres niveles de Seguridad para acceder a los archivos y derechos de administrador Dos niveles de estructura de archivos de directorio Administración a través del PIN de usuario y de un SO PIN (security officer –administrador para el reseteo del password) ID único Global de 64 bits impreso en la carcaza plastica Interfase estándar USB www.MacroSeguridad.org Software Developer’s Kit Feitian ofrece el SDK tanto para ePass1000 como para el ePass2000. El SDK contiene todos los componentes necesarios para desarrollar su aplicación de seguridad utilizando e integrarlos junto con el ePass token de Feitian. EL SDK incluye un ePass token, CD con software (incluyendo ejemplos para diversos lenguajes y compiladores) y una guía para el desarrollador. Lo más interesante de esto, es que Feitian es el único proveedor del mercado que ofrece un SDK Cross Plataform, con soporte completo para Plataforma Microsoft, Linux y Mac. Por favor contáctenos para solicitar su SDK Beneficios • • • • Super Seguras: La información de las claves son guardadas en el token durante la autenticación, el archivo de la clave no es legible. ePass2000 usa la tecnología smartcard para permitir la generación de claves públicas y privadas en el dispositivo. Las claves privadas nunca son expuestas al ambiente hostil de la PC. EL algoritmo HMAC-MD5 on board del ePass 1000 asegura que las credenciales personales son guardadas seguras dentro del mismo, lejos de los hackers, virus y otras amenazas Compatibilidad: Soporta Windows 98SE/ME/2000/XP, Windows Server 2003, Linux y MAC. Portabilidad: ePass es “Plug and Play” y puede ser transportado en un llavero; el usuario simplemente lo debe desconectar del puerto USB, y llevar sus credenciales confidenciales en forma segura con él. Facilidad de uso: ePass contiene abundantes programas de interfaces • • • • amigables. Su popular conector USB y una única pieza diseñada a prueba de polvo, agua, y estática. Bajo Costo: ePass actúa como una Smart Card en aplicaciones PKI, pero a diferencia de las smart cards no requiere de lectoras. Transparencia en las integraciones: ePass middleware soporta los estándares PKCS#11 y MS CAPI, permitiendo de esta forma la integración transparente con cualquier software compatible con estos estándares, tales como Internet Explorer, Outlook, Outlook Express o Netscape, etc. Multi Uso: ePass puede ser configurado para soportar múltiples claves y aplicaciones Dos Factores para la Autenticación: La Seguridad puede ser mejorada al requerirle al usuario que ingrese el PIN cuando use ePass. www.MacroSeguridad.org ePass & PKI Usar la Infraestructura PKI asume el uso de Certificados Digitales, los cuales pueden ser guardados en Disquetes, Discos rígidos, IC o “chip” Cards. El problema con los disquetes es que no son un medio confiable para llevar con uno, ya que el mismo se puede dañar, extraviar o caer en manos de personas no autorizadas. Los Certificados Digitales guardados en los discos rígidos no son portátiles y son fácilmente accedidos por usuarios no autorizados. Las tarjetas IC son convenientes para el usuario, pero requiere la instalación de lectoras especiales para cada lugar donde un usuario necesite ser autenticado, y estas pueden ser muy costosas. Con los productos ePass de Feitian, los usuarios pueden almacenar los Certificados Digitales y Claves Privadas en el Token ePass. La aplicación obtendrá los Certificados Digitales y las Claves Privadas desde el ePass, y después ejecutará las funciones de autenticación y encripción en el ePass token. No es necesario importar los Certificados a la computadora. Usando ePass, el propietario de los Certificados Digitales no necesita preocuparse de que sus Certificados Digitales puedan ser robados o accedidos, o que el sistema sea crackeado, o que un virus infecte el back-up con la copia de los certificados Digitales ya que los mismos están almacenados dentro del dispositivo fuera del ambiente hostil de la PC La Seguridad es robustecida pidiendo al usuario el ingreso correcto del PIN del dispositivo para acceder a los Certificados guardados dentro del ePass. Además no solamente puede autenticar la identidad de un usuario en dos direcciones, sino también puede realizar encripción de datos y otras funcionalidades con Certificados Digitales. Estructura PKI ePass www.MacroSeguridad.org ePass Soporta dos Estándares de arquitectura PKI: PKCS#11 (Estándares Criptográficos de Clave Publica de RSA Security INC) MS CAPI (Aplicaciones criptográficas para interfaces programables de MS) ePass soporta cualquier aplicación basada en estándares PKCS#11 o MS CAPI, ningún trabajo de desarrollo adicional es necesario. Aplicaciones compatibles con MS CAPI o PKCS#11 pueden almacenar los certificados digitales y claves privadas, generar pares de claves RSA/DSA, realizar firma digital y funciones de autenticación, encriptar y desencriptar datos con las contraseñas almacenadas dentro del ePass. Aplicaciones como Internet Explorer, Outlook, Outlook Express, el navegador Netscape y el Messenger de Netscape son compatibles con estos estándares de la infraestructura PKI Aplicaciones Seguridad en el ingreso de un usuario a la red a través del smart card Logon de W2K. Firma y encripción de mails con Microsoft Internet Explorer, Outlook, Outlook Express, y Messenger de Netscape Acceso Seguro a la Web vía SSL Compatibilidad PKI con W98 en adelante, Microsoft Internet Explorer y navegador Netscape Logon a la red seguro (Intranet y Extranet) Acceso seguro a VPN Protección segura de Archivos y datos Protección segura de PC Protección segura de Password www.MacroSeguridad.org Áreas de Aplicación Aplicaciones para Home Banking Transacciones B2B, B2C Transacciones Seguras para Agentes y operadores de Bolsa de Valores Cuidado de la Salud - HIPPA Proveedores de Aplicaciones de Servicios (ASP)- Application Service Providers Suscripciones On-line para revistas y periódicos Cobranzas: Tele-ticketing, peajes y estacionamiento Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa, identificación Militar y más Aplicaciones PKI ePass www.MacroSeguridad.org ePass1000 - Diagrama de Trabajo mediante Dos Factores de Autenticación ePass1000 adopta para todo el proceso de autenticación, un mecanismo de challenge-response. Para verificar la identidad de un usuario en una red, el cliente primero envía un requerimiento de verificación al servidor. Después de recibir dicho requerimiento, el servidor genera un número aleatorio y envía este número aleatorio al cliente a través de la red (Ej. Challenge). El cliente envía el número aleatorio recibido al ePass1000, luego el ePass1000 ejecuta el cálculo del HMAC-MD5 con el número aleatorio y la clave guardada en el token ePass1000, después envía la resultante del cálculo al servidor (Ej. Response). Al mismo tiempo el servidor realiza el cálculo del HMAC-MD5 con el número aleatorio y la correspondiente clave guardada en la base de datos del servidor. El cliente es un usuario legítimo solo si el resultado del cálculo desde el servidor es el mismo que el devuelto por el cliente. www.MacroSeguridad.org Especificaciones Técnicas de ePass ePass 1000 Sistemas operativos Soportados ePass2000 Windows 98/2000/ME/XP, Windows Server 2003, Linux ,MAC OS 8/9 y superior PKCS#11 v2.10, MS CAPI, PKCS#11 v2.01, MS CAPI, PC/SC, X.509 v3 PC/SC, X.509 v3 Certificaciones y estándares: Almacenamiento de Almacenamiento de Certificados, SSL v3, Certificados, SSL v3, IPSec/IKE, ISO 7816-3 y 4 IPSec/IKE compatible Procesador: Tamaño de Memoria (por Modelo): Algoritmos de Seguridad On-Board: Nivel de Seguridad en el Chip: 8 bit 8Kb y 32Kb MD5, SHA-1 Seguro y Almacenamiento de datos Encriptados 50x17x7mm (Carcasa A1) Peso (por Modelo): 6g (Carcasa A1) Disipación de Potencia: < 250 mW Temperatura de Operación: 0 a 70 ºC Temperatura de Almacenamiento: -40 a 85 ºC Humedad: 0 a 100% 0 a 100% sin condensación Tipo de Conector: Tipo USB A (Universal Serial Bus) Plástico resistente a golpes, con capuchón para el conector USB Retención de Datos en la Al menos 10 años Memoria: Reescritura en la Memoria: RSA1024, DES, 3DES, DSA, HMAC-MD5 Dimensiones (por Modelo): Carcasa: 32k Al menos 100.000 veces Al menos 1.000.000 veces Lectora de Smart Card ROCKEY Soporta todas las normas ISO 7816-4 referentes a smart cards Soporta el formato SIM y todas las medidas de smart cards Soporta ambos puertos USB y Serial (ROCKEY 200 TWIN) Económico, portátil y diseño compacto Driver compatible PC/SC, firmado por Microsoft Soporta múltiples plataformas PC Soporta múltiples lenguajes de programación Automáticamente reconoce el tipo de tarjeta IC y selecciona el protocolo de comunicación correcto Velocidad de transferencia: 9600 bps por default, máximo 115200 bps Peso: ROCKEY200: 60 gramos ROCKEY100: 15 gramos. www.MacroSeguridad.org La lectora ROCKEY soporta Smart Cards y aplicaciones standard PKI Especificaciones Técnicas de la Lectora de Smart Card ROCKEY Temperatura de Operación: 0 a 70 ºC Máximo de Inserciones de Tarjeta Al menos 100.000 veces Frecuencia de Tarjeta 3 MHz Corriente de Tarjeta 0 – 50 mA Interfase PC. Puerto USB o Serial Poder Provisto por el puerto USB o Serial Protocolo de comunicación T=0, T=1 Standards IS07816-3, PC/SC, GSM 11.11 Ratio de Interfase Sistemas Oprativos Soportados T=0: 9600 Baud (bps) T=1: 115200 (bps) Windows 98/2000/ME/XP, Windows Server 2003, Linux ,MAC OS 8/9 y superior * ROCKEY200 TWIN soporta puertos duales (Puerto USB y puerto serial)