Guía de Referencia MSeP3k

Anuncio
Guía de Referencia PKI
ePassNG
MacroSeguridad Latino América
Versión 1.1 Español ePass NG
Mayo de 2007
Introducción a la Familia de ePass Token
2
Acerca de MacroSeguridad Latino América
MacroSeguridad es un Mayorista exclusivo de Soluciones de Seguridad Informática. Es líder en
seguridad digital, proveyendo seguridad para comercio electrónico e Internet desde 1994.
MacroSeguridad atiende a clientes en toda Latino América, México, Brasil y Australia.
Los productos que MacroSeguridad distribuye incluyen: los dispositivos ePass Token USB para
autenticación segura de usuarios, portabilidad, transporte de certificados digitales, y no repudio
en comercio electrónico. Entre los mismos se pueden encontrar ePass1000, ePass1000ND,
ePass Token USB FT1, ePass Token USB FT12, ePass3000, BioPass Token USB.
Los
sistemas de protección de software profesional basado en dongles que protegen la propiedad
intelectual y los modos de licenciamiento de los desarrolladores como ser Rockey2, Rockey4,
Rockey4ND y Rockey6. Soluciones para encriptado de discos, solución para loguearse a la red
en forma segura. También se provee seguridad para SAP, como ser de criptografía, logon y
autenticación robusta. Así como también soluciones de OTP Tokens (dispositivos generadores
de números aleatorios) para aplicaciones de homebanking y de dispositivos token USB llamados
mIDentity para portabilidad de la identidad digital de la empresa KOBIL, autenticación robusta
para PDA y mobile phones.
Macroseguridad Latino América logra el equilibrio entre las necesidades de las empresas y sus
soluciones. Para más información puede visitar el sitio web de MacroSeguridad en:
www.MacroSeguridad.org
Información de contacto
Por cualquier consulta, sugerencia o comentario que le surja sobre la utilización del ePass Token
USB ó de esta guía en si misma, por favor contacte al soporte técnico de MacroSeguridad Latino
América:
•
Mail: [email protected]
•
TEL: +54 011 4833-5760 (Líneas Rotativas)
•
FAX: +54 011 4831-6538
•
Web: www.MacroSeguridad.net
Guía del ePassNG
3
Copyright y Marcas Registradas
COPYRIGHT © 2007
© Este documento es propiedad de Macroseguridad Latino América y todo su contenido se
encuentra protegido por las normas nacionales e internacionales de Derecho de Autor
(copyright).
Se encuentra terminantemente prohibida su reproducción total o parcial con
cualquier fin. Las marcas mencionadas a lo largo del presente documento son propiedad de sus
respectivos titulares. Para cualquier tipo de uso del mismo fuera de este manual deberá solicitar
un permiso escrito de MacroSeguridad Latino América.
Introducción a la Familia de ePass Token
4
Acuerdo de Licencia
FEITIAN TECHNOLOGIES CO. LTD.
Todos los Productos de Feitian Technologies Ltd. (Feitian), que en Latinoamérica son
distribuidos por Macroseguridad Latino América (MS Argentina SRL) incluyendo, pero no
limitados a, copias de evaluación, diskettes, CD ROMs, hardware y documentación, y todas las
órdenes futuras , están sujetas a los términos de este Acuerdo. Si Ud. no está de acuerdo con
los términos aquí incluidos, por favor devuélvanos el paquete de evaluación, empaque y
contenido prepago, dentro de los siete días de su recepción, y le reembolsaremos a Ud. el precio
del producto, con menos los gastos de envío y cargos razonablemente incurridos.
1. Uso Permitido – Ud. puede utilizar este Software con el único propósito de proteger las
comunicaciones, firmar documentos, firmar/encriptar emails o encriptar archivos como se
describe en esta Guía de Regencia PKI con la licencia de ePass. Puede hacer copias de
archivo de este software. Ud. puede fusionar y conectar el Software con otros programas,
de manera concordante con los usos descriptos en la Guía para Desarrolladores y de
Referencia del ePassNG. Ud. puede hacer copias de archivo del Software.
2. Uso Prohibido – El Software o Hardware de ePass o cualquier otra parte del producto no
puede ser copiada, realizada reingeniería, desensamblada, decompilado, revisado,
mejorado y/o modificado de alguna otra manera, excepto como específicamente se
encuentra admitido en el item 1. Ud. no pude utilizar ingeniería inversa en el Software ni
en ninguna otra parte del Producto ni intentar descubrir el código fuente del Software. No
puede utilizarse el dispositivo magnético u óptico incluido en el Producto con el propósito
de transferir o almacenar datos que no integren una parte original del Producto o una
mejora provista en el Producto por Macroseguridad Latino América o Feitian.
3. Garantía – Feitian garantiza que el hardware y Software del medio de almacenaje está
sustancialmente libre de defectos significativos en su manufactura o en sus materiales,
por un período de doce meses contados desde la fecha de entrega del Producto a Ud.
4. Incumplimiento de la Garantía – Para el caso de incumplimiento de esta garantía, la
única obligación de Feitian y/o Macroseguridad Latino América será la de reemplazar o
reparar, a discreción de Feitian, cualquiera de los productos libre de cargos. Cualquiera
de los productos reemplazados deviene de propiedad de Feitian.
El reclamo de la garantía deberá ser realizado por escrito a Feitian o Macroseguridad
Latino América mientras dure el período de garantía y dentro de los catorce (14) días
posteriores de observado el defecto. Todos los reclamos de garantía deberán ser
acompañados por evidencia del defecto que sea considerado satisfactorio a criterio de
Feitian y/o Macroseguridad Latino América. Cualquier producto que Ud. devuelva a
Feitian o un distribuidor autorizado de Feitian deberá ser remitido con el envío y el
seguro prepago.
Guía del ePassNG
5
CON EXCEPCION DE LO DISPUESTO EXPRESAMENTE EN EL PRESENTE, NO
EXISTE NINGUNA OTRA GARANTIA O REPRESENTACIÓN DEL PRODUCTO,
EXPRESA O IMPLÍCITA, INCLUYENDO, PERO NO LIMITADA A, CUALQUIER
GARANTIA IMPLICITAS DE COMERCIALIZACIÓN Y/O ADAPTABILIDAD PARA
UN PROPÓSITO PARTICULAR.
5. Limitación de la Garantía de Feitian – La responsabilidad total de Feitian frente a
cualquier persona o causa, sea contractual como extracontractualmente, incluyendo
negligencia o dolo, no podrá exceder el precio de la unidad de producto por Ud. pagado
que ha causado el daño o resulta ser el objeto que directa o indirectamente se encuentra
relacionado con el hecho dañoso. En ningún caso Feitian y/o Macroseguridad Latino
América será responsabilizado por cualquier daño causado por un acto ajeno en el uso
del producto, o el incumplimiento de las obligaciones en el presente asumidas, así como
tampoco, por la pérdida de cualquier información, ganancia o ahorro, o cualquier otro
daño consecuente o incidental, incluso si Feitian y/o Macroseguridad Latino América
hubiese sido advertido de la posibilidad de daño, o de cualquier reclamo basado en
cualquier reclamo de terceros.
6. Finalización – El acuerdo se considerará terminado frente al incumplimiento de los
términos a su cargo. Los items 2, 3, 4 y 5 se mantendrán a pesar de la finalización del
acuerdo.
Introducción a la Familia de ePass Token
6
Certificaciones y Estándares
•
Certificado de Aprobación FCC
ePass Token USB ha sido probado y es compatible con límites para un
dispositivo digital de clase B, de acuerdo a la sección 15 de las
normativas FCC. Estos límites están diseñados para asegurar una
protección razonable contra interferencias dañinas que pueden ocurrir
en una instalación.
•
CE Compatible
ePass Token USB cumple con los requerimientos primordiales para la
Directiva EMC (directiva 89/336/EEC respecto a la compatibilidad
electromagnética) basado en una prueba voluntaria.
Esta declaración se aplica solo a las muestras particulares del producto y a
la documentación técnica provista para el testeo y certificación. El detalle de
los resultados de las pruebas y todos los estándares usados, asi como el
modo de operación se encuentran listados en:
Reporte de Pruebas Nº:
Estándares de Prueba:
70407310011
EN 55022/1998
EN 55024/1998
Posteriormente a la preparación de la documentación técnica necesaria y de la declaración
de conformidad, el logo de CE mostrado puede ser incluido en el equipo, como se establece
en el Artículo 10.1 de la Directiva.
•
USB
Este equipo está basado en el estándar USB
•
Microsoft Windows Logo Program
Este dispositivo ha superado las pruebas de Windows
HCT, realizadas en los Laboratorios de Pruebas de
Hardware de Windows (WHQL), las cuales
determinan los productos que alcanzan los
requerimientos del Programa de Logos de Windows
Compatibilidad de Hardware de Windows Vista:
Compatibilidad de Hardware de Windows XP:
Guía del ePassNG
•
7
CheckPoint OPSEC Partner
ePass Token USB ha alcanzado la certificación OPSEC (Open
Platform for Security) de Check Point Software Technologies Ltd.
(NASDAQ: CHKP), el líder mundial en seguridad a través de Internet.
A través de la certificación OPSEC, ePass Token USB se integra
transparentemente con las soluciones de Check Point líderes del
mercado: VPN-1®, FireWall-1®, Next-Generation®.y superiores.
•
Entrust Ready Partner
Los ePass Token USB han alcanzado la
certificación de Entrust Ready. Las
soluciones de seguridad de FeiTian, son
dispositivos tokens usb criptográficos seguros y portátiles, ideal para Entrust/PKI y otras
aplicaciones Smart Card: autenticación por dos factores, encripción de email, sitios seguros
SSL, logon VPN y más. Se le ha otorgado a ePass Token el estado de Entrust Ready con el
Entrust Entelligence client y Entrust Authority Securtity Manager.
•
ISO 9001
FeiTian Technologies LTD. Es una compañía
certificada ISO 9001
•
RoHS (Restriction of the use of certain Hazardous Substances)
Los dispositivos ePass Token cumplen con las directivas
de la Unión Europea de cuidado del medio ambiente y de
la salud humana estipuladas por RoHS, restringiendo el
uso de sustancia como Plomo (Pb), Cadmio (Cd), Mercurio
(Hg), Cromo hexavalente (Cr (VI)), Bifenil polibrominado
(PBB), Éter bifenil polibrominado (PBDE).
Introducción a la Familia de ePass Token
8
Tabla de Contenidos
Acerca de MacroSeguridad Latino América ...............................................................................2
Información de contacto ...............................................................................................................2
Copyright y Marcas Registradas..................................................................................................3
Acuerdo de Licencia......................................................................................................................4
Certificaciones y Estándares........................................................................................................6
Tabla de Contenidos .....................................................................................................................8
1.
Introducción a la Familia de ePass Token.........................................................................10
¿Qué es ePass? ........................................................................................................................12
Modelos de ePass .....................................................................................................................13
Familia de ePass2000 Token USB ........................................................................................15
Seguridad para Aplicaciones de eBusiness...................................................................15
Aplicaciones ePass 2000: ..............................................................................................16
Aplicaciones E-Business................................................................................................17
Beneficios del ePass Token USB ..................................................................................17
Características del ePass 2000 .....................................................................................18
Especificaciones Técnicas de ePass2000 FT1 Token USB ..........................................19
Familia de ePass1000 Token USB ........................................................................................21
Seguridad para Aplicaciones de eBusiness...................................................................21
Aplicaciones ePass 1000 ...............................................................................................22
Aplicaciones E-Business................................................................................................22
Beneficios del ePass 1000.............................................................................................23
Características del ePass 1000 .....................................................................................23
Especificaciones Técnicas del ePass1000 ....................................................................24
Especificaciones Técnicas de ePass1000ND................................................................26
Familia de ePass 3000 Token USB – BioPass 3000.............................................................27
Descripción del BioPass 3000 Token ............................................................................27
Características del ePass BioPass 3000 Token ............................................................27
Especificaciones Técnicas del ePass BioPass 3000 Token ..........................................28
Características del ePass3000 Token USB ...................................................................29
Especificaciones Técnicas del ePass3000 Token .........................................................30
Guía del ePassNG
2.
9
Introducción a la nueva generación: ePassNG ................................................................ 32
Dispositivos Hardware que soporta ePass NG ......................................................................... 33
Estructura del framework ePassNG .......................................................................................... 33
Características de Framework ePassNG .................................................................................. 36
3.
Instalación y Desinstalación del ePassNG ...................................................................... 39
Instalación del ePass Middleware ............................................................................................. 39
Desinstalación ........................................................................................................................... 45
Desinstalación del Middleware .............................................................................................. 46
4.
Manual del Administrador .................................................................................................. 49
Requerimientos mínimos........................................................................................................... 50
Interface del Administrador PKI de ePassNG ........................................................................... 50
Información Mostrada Después de Conectar el Token ......................................................... 52
Información Mostrada Cuando No Se Encuentra Conectado el Token................................. 54
Operaciones Básicas del ePass Token..................................................................................... 54
Login...................................................................................................................................... 54
Cambiar el PIN de Usuario.................................................................................................... 55
Consideraciones sobre el PIN ....................................................................................... 57
Cambiar el Nombre del Token .............................................................................................. 58
Formatear ePass Token ........................................................................................................ 59
Desbloquear Token ............................................................................................................... 61
Cambiar SO PIN (Security Officer PIN – PIN del Administrador).......................................... 63
Administración de Información sin Loguearse........................................................................... 64
Administración de Información al estar Logueado .................................................................... 65
Administrando sus Certificados y Claves Personales ............................................................... 67
Importar Certificado............................................................................................................... 67
Exportar Certificado............................................................................................................... 70
Mostrar Información .............................................................................................................. 71
Eliminar Información.............................................................................................................. 73
5.
Manual del Usuario
.................................................................................................... 74
Introducción a la Familia de ePass Token
10
1.
Introducción a la Familia de
ePass Token
Esta guía de Referencia PKI fue creada para que pueda ser utilizada por un usuario sin
conocimientos sobre smartcards ni infraestructura PKI, así como por aquellos responsables de la
administración de la seguridad e integridad de datos dentro de una organización.
Provee un breve resumen de los beneficios y características de los ePass Tokens USB, e incluye
también todo el alcance funcional de los mismos.
Se incluyen las siguientes secciones en este capítulo:
•
“¿Qué es ePass?” Se describe el ePass Token y se listan los mayores beneficios que
ePass ofrece a su organización y sus usuarios.
•
“Modelos de ePass” Se describen los diferentes modelos de ePass que se encuentran
disponibles.
Guía del ePassNG
•
11
“ePass 2000”. Profundiza sobre las características y beneficios del ePass Token USB en
relación a los demás productos de autenticación. Los tópicos a tratar en esta sección son
los siguientes:
!
!
!
!
!
•
Descripción
Aplicaciones – Aplicaciones eBusiness
Beneficios
Características
Especificaciones Técnicas
“ePass 1000” Se trata en detalle las características y beneficios de usar ePass1000
frente a los demás dispositivos de autenticación de usuarios. Se cubren los siguientes
temas centrales:
!
!
!
!
!
!
!
•
Seguridad para Aplicaciones de eBusiness
Aplicaciones ePass 1000
Aplicaciones E-Business
Beneficios del ePass 1000
Características del ePass 1000
Especificaciones Técnicas del ePass1000
Especificaciones Técnicas de ePass1000ND
“ePass 3000 – BioPass” Introduce la nueva tecnología que provee MacroSeguridad
Latino América. Trata sobre las características de este nuevo paradigma en autenticación
de usuarios:
!
!
!
!
!
Descripción del BioToken 3000
Características del ePass BioToken 3000
Especificaciones Técnicas del ePass BioToken 3000
Características del ePass3000 Token USB
Especificaciones Técnicas del ePass3000 token
12
Introducción a la Familia de ePass Token
¿Qué es ePass?
ePass es un dispositivo de autenticación de usuarios y portabilidad de certificados digitales, plug
and play, ligero, portátil, pequeño, que provee la mejor seguridad al menor costo y que se
conecta al puerto USB (Universal Serial Bus) de cualquier PC. Para trabajar con ePass no se
requiere ninguna fuente de energía adicional, ni se requiere lectora, ni ningún otro tipo de
dispositivo.
ePass Token USB soporta un procedimiento de seguridad de Autenticación a través de 2
factores: “el ePass” algo que el usuario tiene y “la password” algo que el usuario conoce y
necesita para tener acceso a cualquier aplicación, certificado digital o sistema que este validado
a través del ePass. Las aplicaciones pueden beneficiarse del chip smartcard que la unidad
contiene en forma interna dentro del ePass, proveyendo un mecanismo de challenge/response
para servicios de autenticación.
Este modelo de autenticación challenge/response es más
seguro que el modelo tradicional de nombre y password porque en el modelo de
challenge/response utiliza el “secreto compartido” y el mismo nunca se expone durante el
proceso de autenticación.
Explicaremos a continuación el concepto de “secreto compartido”:
En este esquema, ambas partes (el que valida la autenticación y la que desea autenticarse)
comparten un secreto en común, por ejemplo una situación conocida por las dos partes, pero
que nunca se expone ese conocimiento. La gran diferencia con la autenticación tradicional por
password es que la misma es expuesta al solicitarle al usuario ingresarla, y dicha entrada es
comparada en una base de datos para corroborar su autenticidad.
Con el concepto del Secreto Compartido en este esquema la password nunca es solicitada. En
cambio, se realiza algún procesamiento con dicha password y lo que se transmite es el resultado
de haber realizado ese procesamiento. De hecho, la respuesta enviada puede nunca ser igual a
una enviada anteriormente. Por su parte, la aplicación realiza el mismo procesamiento con la
clave que conoce (ya que la clave es compartida), y compara el resultado que obtuvo con el
resultado que le envió el cliente.
Por ejemplo, supongamos que dos personas quieren confirmar que se conocen por haberse
encontrado en alguna ocasión en determinado lugar. En este caso, lo que comparten ambas
personas es el hecho de haber estado en el mismo lugar. Si la persona A quiere corroborar que
conoce a la persona B de ese lugar particular, podría preguntarle varios detalles diferentes sobre
el momento en el que se conocieron, en lugar de preguntarle directamente “de donde te
Guía del ePassNG
13
conozco?”. De esta manera, podría preguntarle en que mesa se sentaron, que pidieron para
tomar, quién los atendió, como estaba vestido, que hora era, etc. Este proceso de autenticación
es siempre distinto, debido a que las respuestas son distintas cada vez, pero se asocian a un
mismo secreto compartido que actúa como semilla de todo este proceso de validación.
ePass también es la solución ideal para almacenar en forma segura información sensible, como
por ejemplo:
!
!
!
!
!
Credenciales para el Homebanking
Certificados Digitales,
Claves Privadas,
Passwords,
Números de Tarjeta de Crédito y otras credenciales privadas,
Todo es guardado en forma segura y conveniente en el ePass y puede ser transportado en su
llavero a donde vaya.
Modelos de ePass
Existen varias familias de dispositivos ePass Token USB:
ePass1000,
- ePass 1000 8 Kb
- ePass 1000 32 Kb
- ePass 1000ND 8 Kb ND (Driverless)
ePass Token USB
- ePass 2000 32 kb
- ePass 2000 32 kb Smart Card
- ePass 2000 FT11 (Driverless)
- ePass 2000 FT12 32 Kb (la mejor relación costo-beneficio)
Introducción a la Familia de ePass Token
14
ePass EF
Es una solución que se provee bajo requerimiento específico o proyecto. Este tipo de
dispositivos combina toda la funcionalidad PKI con el almacenamiento masivo de
Información. Si desea interiorizarse sobre estos dispositivos, por favor envíe un correo
electrónico a:
[email protected]
ePass3000 (Únicos con procesador de 32 bits)
- BioPass Token 3000 (primer dispositivo que combina la funcionalidad PKI con la
Biometría)
- ePass 3000 Token USB
Guía del ePassNG
15
Familia de ePass2000 Token USB
Esta sección cubrirá los productos que conforman la familia de ePass Token USB (smart cards
en formato USB). Entre ellos, se encuentran: ePass Token USB FT1 que es el un producto
compliance con FIPS 140-2 Level 2, ePass Token USB FT12 y ePass Token USB FT11
(Driverless). Las características, usos y aplicaciones que se tratarán a continuación son idénticas
para cada producto de la familia.
Seguridad para Aplicaciones de eBusiness
Internet se ha convertido en un servicio más que necesario para realizar negocios. Pero el
crecimiento de la misma trajo aparejado consigo amenazas para los mismos. Entre ellas
hackers; dispositivos de análisis para redes; virus,
vulnerabilidades de los sistemas operativos y otras fuentes
que son ahora parte de la vida cotidiana en Internet. Estas
amenazas han crecido en proporción, haciendo que los
negocios por Internet hoy tengan un costo a considerar.
El modelo PKI (Public Key Infrastructure) o modelo de Firma
Digital, fue desarrollado para posibilitar comunicaciones y
transacciones seguras en Internet proveyendo servicios de
autenticación, identificación y encripción de datos críticos.
ePass Token USB tiene la mejor relación costo beneficio, a
su vez mejora considerablemente todo el esquema basado
en el modelo PKI, en definitiva es la solución ideal para el tipo de aplicaciones PKI.
ePass Token USB es una smart card en formato de token USB; compacto, portátil, seguro. Fue
diseñado para ofrecer autenticación; verificación y servicios de encripción de información;
encripción de email; firma digital y autenticación para operaciones a través del Standard SSL
(como por ej. homebanking) usando Internet Explorer, Firefox, Netscape Communicator, Outlook,
Outlook Express, y Thunderbird.
Cualquier otro aplicativo basado sobre los estándares MS CAPI o PKCS#11 es soportado,
aunque no se encuentre documentado en esta guía.
Además, cabe remarcar la versatilidad y robustez del SDK de que provee MacroSeguridad, que
permite la creación de muchas otras aplicaciones definidas por el usuario.
Introducción a la Familia de ePass Token
16
La familia de Productos ePass Token USB soporta una amplia gama de sistemas operativos:
Windows 98/2000/ME/XP y Vista, Windows Server 2003, MAC OS X y Linux. Para visualizar las
“Especificaciones Técnicas de ePass Token USB”.
ePass Token USB esta basado en la tecnología de las smart cards, soportando múltiples
algoritmos de seguridad on board. A su vez, provee un alto rendimiento y trae integrado un chip
smartcard para realizar cálculos, del tipo RNG “random number generation” (generación de
números aleatorios en el hardware) así como también procesamiento criptográfico on board,
permitiendo el almacenamiento de credenciales personales y passwords que reemplazan la
memoria EEPROM del dispositivo ePass1000.
ePass Token USB es un contenedor seguro para certificados digitales de aplicaciones PKI, que
se provee con 32 kb de memoria integrada. Los pares criptográficos de la clave RSA son
generados en forma interna, utilizando toda la fortaleza que el chip smartcard provee. La clave
privada es almacenada en la smartcard en forma de texto cifrado y nunca puede ser exportada
del dispositivo de ninguna forma. Con esta tecnología, la información del propietario del
certificado se encuentra más segura que nunca.
Posee el mismo diseño de carcasa que ePass1000, es liviano, portátil y seguro, lo que lo
convierte en el contenedor ideal para sus certificados digitales.
Aplicaciones ePass 2000:
•
Seguridad en la PC y en la red a través del smartcard logon de Windows 2000 y/o
Windows Server 2003
•
Firma y encripción de email con Microsoft Outlook / Outlook Express, Internet Explorer y
Netscape Messenger, Firefox y Thunderbird.
•
SSL acceso seguro a la Web a través de Microsoft Internet Explorer, Netscape Navigator
y Firefox
•
Compatibilidad PKI con Windows 98 hasta Windows 2003 en adelante, Microsoft Internet
Explorer, Netscape Communicator y Firefox
•
Network Logon Seguro
•
Seguridad en la comunicaciones vía email
•
Autenticación Remota Segura vía Servidor RAS
•
Acceso seguro a VPN Microsoft, Checkpoint y Cisco entre otras
•
Acceso Seguro para Extranet e Intranet
Guía del ePassNG
•
17
Seguridad en su PC (encriptado de archivos & carpetas – protección de booteo)
Aplicaciones E-Business
•
Aplicaciones para HomeBanking
•
Transacciones B2B, B2C
•
Transacciones Seguras para Agentes y operadores de Bolsa de Valores
•
Cuidado de la Salud - HIPAA
•
Proveedores de Aplicaciones de Servicios (ASP)
•
Suscripciones On-line para revistas y periódicos
•
Cobranzas: Tele-ticket, peajes y estacionamiento
•
Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa,
identificación Militar y más
Beneficios del ePass Token USB
•
Generación On board de claves (altamente seguro). ePass Token USB usa tecnología
smartcard para permitir la generación de claves públicas y privadas dentro del propio
hardware del ePass Token. Las claves privadas nunca están expuestas al ambiente hostil
de la PC.
•
Compatible: ePass Token USB es portátil, Plug and Play y puede ser transportado en un
llavero, simplemente desconecte el ePass del puerto USB y llévese consigo la
información critica y sus credenciales.
•
Almacenamiento Seguro: Seguridad en el almacenamiento de datos personales, y
credenciales. Los mismos no necesitan ser guardados en el ambiente inseguro de la PC;
el sistema seguro de archivos y los mecanismos de autenticación que posee el ePass
Token USB aseguran que los datos personales y las credenciales privadas son
almacenadas en forma segura dentro del ePass Token USB, lejos del alcance de
hackers, virus y otras amenazas.
•
Bajo Costo: ePass Token USB puede ser usado para reemplazar smartcards en las
aplicaciones de tipo PKI existentes, con una ventaja diferencial, el ePass Token USB no
requiere de ningún tipo de lector especial.
•
Facilidad de Uso: A través de su intuitiva interface en castellano. No se requiere ningún
tiempo de aprendizaje, ni desarrollo especial o integración compleja para interactuar con
el ePass e Internet Explorer, Outlook, Outlook Express, Mozilla, ThunderBird, Firefox y
Netscape Communicator.
•
Fácil de Integrar: No se requiere ningún desarrollo especial o trabajo de integración para
aplicaciones estándar con MS CAPI, PKCS #11 o aplicaciones compatibles con PC/SC.
•
Multi-Uso: ePass puede ser configurado para soportar múltiples claves y aplicaciones.
18
Introducción a la Familia de ePass Token
•
Dos Factores de Autenticación: la seguridad puede ser incrementada al requerirle al
usuario ingresar una password de autenticación cuando necesite acceder al ePass Token
USB.
•
Administración de Password: ePass Token USB puede almacenar muchas passwords; el
usuario solo necesita recordar el PIN de autenticación al dispositivo.
Características del ePass 2000
•
Generación On-board de la clave RSA 1024 bits (la misma no puede exportarse)
•
Desarrollado para soportar algoritmos RSA, DSA, DES y 3DES, SHA-1, MD5, etc.
•
Soporta el Standard de aplicaciones Microsoft CAPI
•
Generación de números aleatorios en el hardware
•
Poderosa conectividad Plug & Play para aplicaciones PKI
•
Firma digital realizada en el hardware
•
Soporta múltiples aplicaciones PKI y smartcard
•
Soporte para múltiples claves RSA almacenadas en el mismo dispositivo
•
Interfase Standard USB
•
Cumple con las certificaciones de CE y FCC
•
Certificaciones CFCA, OPSEC, Entrust, SECUDE, Dekart, Microsoft y FIPS
•
Estándares PKCS#11 v2.10, MS CAPI, PC/SC, X.509 v3, SSL v3, IPSec/IKE, ISO 7816
•
LED de control de aplicaciones
•
Carcasa de plástico duro, resistente a golpes
•
Shell de protección incluido sin costo adicional (tapa para protección del conector USB)
•
Múltiples opciones de colores e integraciones con terceras partes y posibilidad de
personalización de logos
•
Cumple con las normativas ROHS
Guía del ePassNG
19
Especificaciones Técnicas de ePass2000 FT1 Token USB
Sistemas operativos Windows:
Sistemas Operativos Linux (1)
Windows 98 y 98SE, ME
Windows 2000, Windows XP
Windows Server 2003
Windows Vista
Debian 3.1 y superior
Redhat 8.0 & 9 y superior
RedHat Enterprise 4
Fedora 2.0, 3.0, 4.0 y superior
SUSE 9.1, 9.2 & 9.3 y superior
Ubuntu 5.04 & 10 y superior
Mandrake 10 & 10.1 y superior
Sistema Operativo MAC OS
MAC OS 8/9 y superior
SDK & APIs con soporte para:
MSCAPI y PKCS#11
Microsoft, Linux, MAC
PKCS#11 v2.11, MS CAPI (Microsoft Crypto API),
PC/SC, X.509 v3 Almacenamiento de Certificados,
SSL v3, IPSec/IKE, ISO 7816 compatible
8 bit
Procesador:
32Kb
Tamaño de Memoria (por Modelo):
RSA1024, DES, 3DES (triple DES), DSA,
Mecanismo de Encripción – Autenticación
MD5, SHA-1
en el chip
RSA-1024 bits
Algoritmos de Seguridad On-Board:
FIPS140-2 Nivel 2 Certified
Nivel de Seguridad en el Chip
G&D STARCOS SPK 2.4
Almacenamiento de datos Encriptados
Generación aleatoria de números dentro del chip de
Generación de números en el chip:
hardware
64 bits
ID de Hardware
50x17x7mm
Dimensiones (por Modelo):
6 gramos
Peso (por Modelo):
< 250 mW
Disipación de Potencia:
0 a 70 Cº (32 F a 156 F)
Temperatura de Operación:
-40 a 85 Cº (-40 F a 185 F)
Temperatura de Almacenamiento:
0 a 100% sin condensación
Humedad:
Tipo USB A (Universal Serial Bus)
Tipo de Conector:
Plástico resistente a golpes, con capuchón para el
Carcasa:
conector USB a fin de proteger el dispositivo
Plástico moldeado de alto impacto, contra rotura.
Chasis
Mayor a 10 años
Retención de datos en la Memoria
Como mínimo 500.000 veces
Reescritura en la Memoria
El ePass Token USB Manager se encuentra
disponible en castellano, portugués, chino, japonés e
Herramientas de Administración
inglés.
Setup Multi lenguaje y videos de capacitación
Instalación del Middleware
No hay costo de licencia de software
Licenciamiento
Certificaciones y estándares:
Introducción a la Familia de ePass Token
20
Actualizaciones
No hay costo por actualizaciones de software, las
mismas son sin cargo alguno.
(1) Otras distribuciones que no se encuentren listadas pueden ser solicitadas y desarrolladas bajo pedido.
Opcionales con y sin costo
Color
Ring
Branding
El cliente puede definir el color del ePass,
dependiendo de la cantidad y la modalidad de
adquisición.
El cliente puede ordenar el ring para cada uno de los
dispositivos.
El ePass puede tener un sticker con el logo
personalizado, dependiendo del volumen de compra.
Guía del ePassNG
21
Familia de ePass1000 Token USB
Esta sección tratará sobre la familia de productos de ePass1000. Los productos que pertenecen
a esta familia son: ePass1000 (en 2 versiones, ePass1000 8kb y ePass1000 32bk) a su vez otra
de las soluciones es el ePass1000ND (Driverless). Las características, usos y aplicaciones
descriptas a continuación son iguales para ambos tipos de producto.
Seguridad para Aplicaciones de eBusiness
El modelo de Infraestructura de Clave Pública y Privada fue desarrollado para posibilitar
comunicaciones y transacciones seguras en
Internet proveyendo servicios de autenticación,
identificación y encripción de datos críticos.
ePass1000 es la solución ideal con mejor
relación costo beneficio del mercado para
aplicaciones PKI.
ePass1000 es un token con formato USB;
compacto y portátil. ePass1000 fue diseñado
para ofrecer autenticación, verificación y
servicios de encripción de información;
encripción de e-mail; firma digital (Outlook,
Outlook Express entre otros) y autenticación
de usuarios utilizando SSL en el Internet
Explorer, Netscape Communicator, Firefox,
Mozilla o cualquier software basado en
estándares MS CAPI o PKCS #11.
El dispositivo se provee en dos modelos, con diferente capacidad de memoria: 8Kb y 32Kb.
Cuenta con un procesador embebido que soporta el algoritmo HMAC-MD5 Hash, un generador
de números aleatorios, un robusto y seguro sistema de archivos y un almacenamiento de claves
privadas o certificados digitales para autenticar la identidad de un usuario.
ePass es un componente crucial en una amplia variedad de aplicaciones, desde un sistema de
pago on-line, autenticación a través de 2 factores en redes, hasta administración de licencias de
Software, así como también protección de software. Soporta muchas aplicaciones de tarjetas
Smart Cards sin requerir de una lectora.
Puede ser incorporado a su llavero gracias a su compacto diseño y portabilidad. Es la solución
ideal para hacer asegurar aplicaciones de red.
ePass1000 soporta los siguientes sistemas operativos, Windows 98/SE, Windows ME, Windows
2000/XP, Windows Server 2003 y Windows Vista, MAC OS 8/9 y superior y Linux.
Introducción a la Familia de ePass Token
22
Aplicaciones ePass 1000
•
Seguridad en la PC a través del smartcard logon en AD para Windows 2000 / Windows
Server 2003
•
Firma y encripción de e-mail Standard con Microsoft Outlook / Outlook Express, Internet
Explorer, Netscape, Firefox y Mozila Thunderbird
•
SSL: acceso seguro a la Web a través de Microsoft Internet Explorer y Netscape
Navigator, Firefox
•
Compatibilidad PKI con Windows 98 hasta Windows 2003 en adelante, Microsoft Internet
Explorer y Netscape Communicator
•
Network Logon Seguro
•
Seguridad en la comunicaciones vía email
•
Autenticación Remota Segura vía Servidor RAS
•
Acceso seguro a VPN Microsoft, Checkpoint y CISCO entre otras
•
Acceso Seguro para Extranets e Intranet
•
Seguridad en su PC (encriptado de archivos & carpetas – protección de boteo)
Aplicaciones E-Business
•
Aplicaciones para HomeBanking
•
Transacciones B2B, B2C
•
Transacciones Seguras para Agentes y operadores de Bolsa de Valores
•
Cuidado de la Salud - HIPAA
•
Proveedores de Aplicaciones de Servicios (ASP)
•
Suscripciones On-line para revistas y periódicos
•
Cobranzas: Tele-ticket, peajes y estacionamiento
•
Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa,
identificación Militar y más
Guía del ePassNG
23
Beneficios del ePass 1000
•
Seguro: algoritmo HMAC-MD5 on board, asegura que las credenciales personales son
guardadas en forma segura dentro del ePass1000; lejos del alcance de hackers, virus y
otras amenazas.
•
Portabilidad: ePass1000 es Plug and Play y puede ser transportado en un llavero,
simplemente desconecte el ePass del puerto USB y llévese consigo la información critica
y sus credenciales.
•
Bajo Costo: ePass1000 puede ser usado para reemplazar smart-cards en aplicaciones de
tipo PKI existentes, con la ventaja diferencial que el ePass1000 no requiere ningún tipo de
lector especial.
•
Facilidad de Uso: Interface en castellano. No se requiere ningún desarrollo especial o
integración compleja para interactuar con el ePass e Internet Explorer, Outlook, Outlook
Express, Mozilla ThunderBird, Firefox y Netscape Communicator
•
Multi-Uso: ePass puede ser configurado para soportar múltiples claves RSA y diferentes
tipos de aplicaciones.
•
Dos Factores de Autenticación: la seguridad puede ser incrementada al requerirle al
usuario ingresar una password de autenticación cuando necesite acceder al ePass1000
Token USB. El concepto Algo que tengo: “el ePass” y algo que conozco: “el PIN del
ePass”.
•
Administración de Password: ePass1000 puede almacenar muchas passwords; el usuario
solo necesita recordar el PIN de autenticación al dispositivo.
•
Integración: los desarrolladores de software pueden usar el módulo del SDK de Feitian
(Software Developers Kit) para integrar ePass1000 dentro de las aplicaciones PKI o
dentro de sus sistemas ERP y CRM para autenticar a los usuarios que acceden al mismo.
Características del ePass 1000
•
Autenticación On board HMAC-MD5 challenge-response
•
Soporta el Standard de aplicaciones Microsoft CAPI
•
Cumple con las certificaciones CE y FCC
•
Número serial único de 64-bits
•
Interfase Standard USB
•
LED de control de aplicación
•
Acceso al ePass 1000 basado en Browser vía Controles ActiveX y Java Applets
•
Tres niveles de seguridad para acceder a los archivos y derechos de administrador
•
Dos niveles de estructura de archivos de directorio
Introducción a la Familia de ePass Token
24
•
Carcasa de plástico duro, resistente a golpes
•
Shell de protección incluido sin costo adicional (tapa de protección)
•
Múltiples opciones de colores e integraciones con terceras partes y posibilidad de
personalización de logos
Especificaciones Técnicas del ePass1000
Sistemas operativos Microsoft
Sistemas Operativos Linux (2)
Sistemas Operativos MAC OS
SDK & APIs con soporte para MSCapi y
PKCS#11
Certificaciones y estándares:
Procesador:
Tamaño de Memoria (por Modelo):
Mecanismo de encriptación
ID de Hardware
Algoritmos de Seguridad
On-Board:
Nivel de Seguridad en el Chip:
Dimensiones (por Modelo):
Peso (por Modelo):
Disipación de Potencia:
Temperatura de Operación:
Temperatura de Almacenamiento:
Humedad:
Tipo de Conector:
Windows 98 y 98SE
Windows ME,
Windows 2000,
Windows XP,
Windows Server 2003.
RedHat AS 3.0 & 4.0
RedHat WS 2.0
RedHat 7.3, 8.0 & 9.0 y superior
Fedora 2.0, 3.0, 4.0 y superior
Mandrake 10.0 & 10.1
Suse 9.1, 9.2, 9.3
Suse 10.0 y superior
SlackWare 10.1 & SlackWare 10.2
Ubuntu 5.04 & 5.10
Debian 3.1
RedFlag 4.1
MAC OS 8/9
MAC OS 10 Superior
Microsoft
Linux
MAC
PKCS#11 v2.01, MS CAPI (Microsoft Crypto API),
PC/SC, X.509 v3 Almacenamiento de Certificados
SSL v3, IPSec/IKE, ISO 7816 compatible
8 bit
8Kb y 32Kb
RSA 1024, DSA, DES, 3DES, DH, RC2, RC4
64 bits
HMAC-MD5
Almacenamiento seguro y encriptado de la
información
58x14x7mm (estándar)
8 gramos (estándar)
< 250 mW
0 a 70 ºC (32 F a 156 F)
-40 a 85 ºC (-40 F a 185 F)
0 a 100% sin condensación
Tipo USB A (Universal Serial Bus)
(2) Otras distribuciones que no se encuentren listadas pueden ser solicitadas y desarrolladas bajo pedido.
Guía del ePassNG
Carcasa:
Chasis:
Retención de Datos en la Memoria:
Reescritura en la Memoria:
Herramientas de administración
Instalación del Middleware
Licenciamiento
Actualizaciones
25
Plástico resistente a golpes, con capuchón para el
conector USB
Plástico moldeado de alto impacto, contra rotura.
Como mínimo 10 años
Mayor a 100.000 veces
El ePass1000 Manager se encuentra disponible en
inglés, chino y japonés.
Setup Multi lenguaje y videos de capacitación.
No hay costo de licencia de software.
No hay costo por actualizaciones de software, las
mismas son sin cargo alguno.
Opcionales con y sin costo
Color
Ring
Branding
El cliente puede definir el color del ePass,
dependiendo de la cantidad y la modalidad de
adquisición.
El cliente puede ordenar el ring para cada uno de
los dispositivos.
El ePass puede tener un sticker con el logo
personalizado, dependiendo del volumen de
compra.
26
Introducción a la Familia de ePass Token
Especificaciones Técnicas de ePass1000ND
Sistemas operativos
Microsoft Soportados:
Windows 98 y 98SE
Windows ME
Windows 2000
Windows XP
Windows Server 2003
SDK & APIs con soporte para:
MSCAPI y PKCS#11
Microsoft
Certificaciones y estándares:
PKCS#11 v2.01, MS CAPI, PC/SC, X.509 v3
Almacenamiento de Certificados, SSL v3,
IPSec/IKE
Procesador
8 bits
Tamaño de Memoria
8 Kb
Mecanismo de encriptación
Algoritmos de Seguridad
On-Board:
Nivel de Seguridad en el Chip:
ID de Hardware
Dimensiones (por Modelo):
Peso (por Modelo):
Disipación de Potencia:
Temperatura de Operación:
RSA 1024, DSA, DES, 3DES, DH, RC2, RC4
TEA-MD5
Almacenamiento Seguro y encriptado de la
información.
64 bits
50x17x7mm (standard)
6 gramos (standard)
< 250 mW
0 a 70 Cº (32 F a 156 F)
Temperatura de Almacenamiento:
-40 a 85 Cº (-40 F a 185 F)
Humedad:
0 a 100% sin condensación
Tipo de Conector:
Carcasa:
Chasis:
Retención de la información en la Memoria:
Sobre escritura de las celdas en la
Memoria:
Herramientas de Administración
Instalación del Middleware
Licenciamiento
Tipo USB A (Universal Serial Bus)
Plástico resistente a golpes, con capuchón para el
conector USB a fin de proteger el dispositivo.
Plástico moldeado de alto impacto, evidente a la
rotura.
Mayor a 10 años.
Como mínimo 100.000 veces.
El ePass1000ND Manager se encuentra en
Castellano, Ingles, Portugués, Chino y Japonés.
Setup Multi lenguaje y videos de capacitación.
No hay costo de licencia de software.
Guía del ePassNG
27
Familia de ePass 3000 Token USB – BioPass 3000
En esta sección de la guia describiremos 2 de las soluciones y características de los dispositivos
ePass3000, entre los cuales se encuentran ePass3000 y BioPass3000 (híbrido Token USB –
dispositivo biométrico).
Descripción del BioPass 3000 Token
El BioPass3000 Token USB es el primer y único dispositivo a nivel mundial para almacenamiento
de Certificados Digitales que ofrece la tecnología de reconocimiento de las huellas dactilares
para sustituir la utilización del PIN de acceso al dispositivo
criptográfico.
Este nuevo concepto busca reforzar la política de seguridad
y facilitar el uso de los Tokens USB en el ambiente de los
Certificados Digitales.
BioPass es un token usb + lector biométrico basado en la
tecnología de una smartcard portátil. Combina un módulo
sensor de huella dactilar, un módulo de verificación de huella dactilar y un ePass token USB.
Con el almacenamiento de las huellas dactilares el BioPass usa una verificación única e
inequívoca, alternativa a la verificación tradicional de claves.
Características del ePass BioPass 3000 Token
•
Procesador smartcard de 32-bits con procesamiento de huellas digitales a alta velocidad
•
128 kb de memoria on board, 64 K accesible para el usuario a fin de almacenar
passwords, certificados digitales, credenciales seguras, etc.
•
Generación on board del par de claves RSA de 1024-bit en 2 segundos
•
Sensor de huellas dactilares por desplazamiento, de larga vida útil
•
Resistente a la abrasión. Soporta más de un millón de deslizamientos.
•
La información privada no puede ser exportada fuera del dispositivo.
•
Compatible con PKI, se proveen interfaces CSP (MSCapi) y PKCS#11
•
Reintentos de identificación de huella dactilar ilimitados, solo con la huella correcta se
puede acceder al dispositivo.
28
Introducción a la Familia de ePass Token
Especificaciones Técnicas del ePass BioPass 3000 Token
Sistemas Operativos Soportados
API & Soporte estándar
Algoritmos de Encriptación en Chip
Logitud de Clave y tipo
Nivel de Seguridad del Chip
Voltaje
Consumo de Energía
Windows 98SE
Windows Me
Windows 2000
Windows XP
Windows 2003
Linux
Mac OS
PKCS # 11 v2.11, MS CAPI, PC/SC, X.509 v3
Almacén de Certificados, SSL v3, IPSec,
ISO 7816 Compatible
RSA, DES, 3DES, MD5, SHA-1
RSA 2024 / 1024 / 512 bits on board
Datos Encriptados
5V(VIA Puerto USB)
80 - 150mA
Temperatura de Operación:
5 ~ 40°C
Temperatura de Almacenamiento:
0 ~ 50°C
Humedad:
20 ~ 80%
Carcasa:
Conector (cable - dispositivo)
Modo de Importación de Huella
Plástico resistente a golpes
Puerto USB-Mini USB
Deslizamiento
Procesador
32 Bits
Espacio de Almacenamiento
64 Kb
Reescritura en la Memoria:
Mayor a 100.000 Veces
Memoria de Almacenamiento de Datos
Como mínimo 100 Años
Vída Útil Sensor
1.000.000 deslizamientos
HBM (Modelo Cuerpo Humano) CMOS I/O
< 2KV
Superficie On
± 16KV
Tiempo de Captura de Huella
< 1S
Tiempo de Identificación
< 1S
Modo de Encaje
Tasa de Falsa Aceptación
Tasa de Falso Rechazo
Número Máximo de Huellas Dactilares
Almacenadas On-chip
1 : 1; 1 : N
0.1% ~ 0.01%
0.01% ~ 0.001%
8
Niveles de Encaje
3 Niveles
Reintentos Posibles de Huella Dactilar
Ilimitados
Indicadores de Estado
2 LEDs
Guía del ePassNG
29
Características del ePass3000 Token USB
•
Único Token USB con un procesador smartcard de 32-bits
•
Generación on board del par de claves RSA de
1024-bit en 2 segundos
•
Generación on board del par de claves RSA de
2048-bit
•
Sistema operativo propietario - FEITIAN COS
•
Desarrollado para soportar algoritmos RSA, DES,
3DES, SHA-1 y MD5
•
Número de serie de hardware único de 64-bits
•
Generación de números aleatorios en el hardware
•
128 kb de memoria on board, 64 Kb accesible para
el usuario a fin de almacenar passwords,
certificados digitales, credenciales seguras, etc.
•
Soporte para Smartcard Logon de windows
•
Compatible con PKI, se proveen interfaces CSP (MSCapi) y PKCS#11
•
Se proporcionan interfaces estándares de seguridad para comunicarse con el dispositivo
(CSP y PKCS#11)
•
Soporte para múltiples claves almacenadas en el mismo dispositivo
•
Firma digital realizada en el hardware
•
Soporta el estándar de certificados X.509 v3
•
Integración inmediata con Internet Explorer, Netscape y Firefox
•
Accesible mediante controles ActiveX o Java Applet con el explorador.
•
Dispositivo estándar USB 1.1, soporta la interface para USB 2.0
30
Introducción a la Familia de ePass Token
Especificaciones Técnicas del ePass3000 Token
Sistemas operativos Windows:
Certificaciones y estándares:
Procesador:
Tamaño de Memoria (por Modelo):
Mecanismo de Encripción – Autenticación
en el chip
Algoritmos de Seguridad
On-Board:
Tiempo de Generación del Certificado
Generación de números en el chip:
ID de Hardware
Dimensiones (por Modelo):
Peso (por Modelo):
Disipación de Potencia:
Operacion
Voltaje
Temperatura de Operación:
Temperatura de Almacenamiento:
Humedad:
Tipo de Conector:
Tipo de interfaces
Carcasa:
Chasis
Material
Retención de datos en la Memoria
Reescritura en la Memoria
Estandares
Herramientas de Administración
Instalación del Middleware
Licenciamiento
Actualizaciones
Windows 98SE
Windows ME
Windows 2000
Windows XP
Windows Server 2003
Windows Vista
PKCS # 11 v2.11, MS CAPI (Microsoft Crypto API),
PC/SC, X.509 v3 Almacenamiento de Certificados,
SSL v3, IPSec/IKE, y cumple con la ISO 7816
32 bits
128 kb total
64k (memoria del usuario)
RSA, DES, 3DES (triple DES), SHA-1 MD5 y SSF33
RSA 512/1024/2048 bits, DES, 3DES, SHA-1
Menor a 2 segundos aprox.
Generación aleatoria de números dentro del chip de
hardware
64 bits
58*19*9mm (D1)
10.8g
< 500 mW
<100mA
5v
0 a 70 Cº (32 F a 156 F)
-40 a 85 Cº (-40 F a 185 F)
0 a 100% sin condensación
Tipo USB A (Universal Serial Bus)
Dispositivo USB 1.1, USB 2.0 Tipo A, tasa de
transferencia de la interfaz 12Mbps
Plástico resistente a golpes, con capuchón para el
conector USB a fin de proteger el dispositivo
Plástico moldeado de alto impacto, contra rotura.
ABS (colophony) y PC (poli carbonato)
Mayor a 10 años
Mínimo 500.000 veces
Cumple con los estándares CE y FCC
El ePass3000 Manager se encuentra disponible en
Castellano, Portugués, Chino, Japonés e Ingles.
Setup Multi lenguaje y videos de capacitación
No hay costo de licencia de software
No hay costo por actualizaciones de software, las
mismas son sin cargo alguno.
Guía del ePassNG
31
Opcionales con y sin costo
Color
El cliente puede definir el color del ePass,
dependiendo de la cantidad y la modalidad de
adquisición.
Ring
El cliente puede ordenar el ring para cada uno de los
dispositivos.
Branding
El ePass puede tener un sticker con el logo
personalizado, dependiendo del volumen de compra.
Introducción a la nueva generación: ePassNG
32
2.
Introducción a la nueva
generación: ePassNG
ePassNG es la Nueva Generación de productos de seguridad de información, totalmente
independiente de la plataforma en la que se instala.
Básicamente provee soporte de hardware para las capas superiores, que pertenecen al grupo de
aplicaciones PKI. Los certificados, el par de claves y cualquier otra información clasificada se
encuentran almacenados en forma segura dentro del ePass Token USB.
ePassNG proporciona una interface de programación compatible tanto con PKCS#11 y
CryptoAPI de Microsoft, de este modo se garantiza la compatibilidad del producto con la mayoría
de las aplicaciones PKI existentes en el mercado.
Para los desarrolladores de software “ISVs” (Independent Software Vendors) es muy fácil de
usar, y desde ya pueden desarrollar sus aplicaciones con soporte PKI e integrarlas con los
dispositivos ePass Token con absoluta sencillez, gracias a la implementación de las interfaces
estándar antes mencionadas.
Guía del ePassNG
33
Por otra parte, como consecuencia de la simple estructura del framework, los diferentes
proveedores de hardware pueden integrar sus productos al framework de ePassNG
implementando, lo que denominamos un TSP (Token Service Provider), resultando
absolutamente sencillo para integrar en sus soluciones de hardware al framework PKI.
Este capítulo tratara los siguientes temas:
#
#
Estructura del framework ePassNG
Características y funcionalidades del ePassNG
Dispositivos Hardware que soporta ePass NG
El Framework ePassNG fue diseñado para soportar diferentes dispositivos hardware, como se
explicará en las siguientes secciones.
Actualmente, ePassNG soporta los siguientes ePass Tokens USB de Feitian:
#
#
#
#
ePass1000ND
ePass2000 FT11Token USB
ePass2000 FT12 Token USB
ePass3000
Estructura del framework ePassNG
ePassNG proporciona las interfaces de programación para los estándares PKCS#11 y CryptoAPI
(la Crypto API de Microsoft) a fin de integrar el hardware de ePass con las aplicaciones PKI. Los
desarrolladores de software pueden crear sus propias aplicaciones PKI basándose en cualquiera
de estos estándares, y lograrán una robusta integración con los dispositivos ePass Token USB y
el framework ePassNG.
Además, las interfaces proporcionadas por ePassNG pueden integrarse con cualquier aplicación
PKI estándar realizando una pequeña configuración.
Introducción a la nueva generación: ePassNG
34
La estructura framework del ePassNG se muestra en la figura 1-1.
Figura 1-1
Se puede ver en la figura 1-1 que el framework del ePassNG contiene cinco niveles o capas:
capa de hardware,
capa de núcleo del driver,
capa abstracta de hardware,
capa de interface de aplicación y
la capa de la aplicación.
Guía del ePassNG
$
35
Capa de Hardware
Esta capa es la infraestructura del framework. Contiene varios tokens incluyendo sus circuitos de
hardware, programas de firmware y cables. Cualquier token compatible con el estándar PC/SC
puede ser soportado por esta capa, como por ejemplo: ePass1000, ePass1000ND, ePass Token
USB, ePass3000, BioPass Token 3000, combinaciones de otras lectoras, smartcards y
dispositivos USB de terceras empresas, etc. La característica común es que los tokens pueden
ser controlados y accedidos usando funciones del sistema operativo a través del Administrador
de Recursos de la Smart Card. Los tokens también podrían ser dispositivos compatibles con HID
(Human Interface Device/Dispositivo de Interface Humana), como por ejemplo el ePass1000ND
(non-driver / Token USB lanzado por Feitian que no requiere la instalación de drivers), tokens
USB flash disk (ePass EF – Solo producido bajo pedido) y hasta archivos en el disco rígido.
Distintas clases de tokens o varios tokens del mismo tipo podrían trabajar todos juntos.
$
Capa de Núcleo del Driver
La capa del Núcleo del Driver administra la comunicación de datos entre la PC cliente y la capa
del hardware, a su vez maneja y administra los pedidos de acceso desde la capa TSP. para los
tokens que soportan el estándar PC/SC.
Esta capa trabaja como driver para el hardware
compatible con PC/SC y para el sistema operativo a través del administrador de recursos de la
Smart Card. Para los tokens compatibles con HID, esta capa es reemplazada por los drivers
embebidos en el sistema operativo.
$
Capa Abstracta de Hardware
La capa abstracta del hardware proporciona interfaces abstractas para la capa de la interface de
aplicación. Las comunicaciones entre la PC y los diferentes dispositivos (incluyendo tokens)
utilizan esta capa. Este diseño oculta eficientemente la diferencias entre hardware. La
implementación de software de esta capa se denomina “TSP“(Token Service Provider)
$
Capa de Interface de Aplicación
La capa de interface de aplicación proporciona las implementaciones estándar de PKCS#11 y
CryptoAPI para la capa superior de aplicaciones PKI.
También es proporcionada una inteface PC/SC compatible con el estándar de Microsoft®. Los
desarrolladores pueden desarrollar aplicaciones con el conjunto de funciones de este estándar
con las cuales están familiarizados. Esta interface es independiente de la plataforma y podría
ser aplicada a cualquier plataforma que sea compatible con ePassNG
Introducción a la nueva generación: ePassNG
36
$
Capa de Aplicación
La capa de aplicación incluye las aplicaciones que forman parte del framework de ePassNG y
cualquier otra aplicación que utilice el hardware de ePass.
Como ePassNG proporciona
diferentes tipos de interfaces estándar, ésta es compatible con la mayoría de las aplicaciones
existentes y además los desarrolladores pueden usar los conjuntos de interfaces con las que se
encuentran familiarizados para diseñar sus propias aplicaciones.
Características de Framework ePassNG
$
Independiente de la Plataforma
En la actualidad ePassNG soporta diferentes sistemas operativos, incluyendo Windows, Redhat,
Mandrake, Mac OS X y plataformas Knoppix Linux. Las bibliotecas que integran la solución usan
los mismos códigos (a diferencia de algunas otras soluciones que usan diferentes códigos para
cada una de las diferentes plataformas) esto es fundamental a la hora de proveer un verdadero
producto independiente de la plataforma.
Se incorporarán muchas otras plataformas en un futuro próximo.
$
Interface Estándar
ePassNG proporciona interfaces PKI estándar para las aplicaciones de capa superior, incluyendo
RSA PKCS#11 y MS CryptoAPI (aunque esta última interface sólo puede ser utilizada bajo
plataformas Microsoft Windows). Todas las aplicaciones que usen cualquiera de las anteriores
interfaces podrían utilizar el Framework de ePassNG para almacenar certificados y claves,
procesar operaciones de encripción, etc.
También se proveen interfaces estándar para la
extensión del soporte de hardware de los tokens de fabricantes de terceras partes, de forma que
puedan integrar sus soluciones de hardware con el Framework de ePassNG.
$
Excelente Compatibilidad
ePassNG es totalmente compatible con el hardware de los productos ePass3000, ePass Token
USB FT12 y ePass1000ND de Feitian. Además, los certificados generados por ePassNG en una
plataforma podrían ser usados en otra plataforma sin ningún problema. Esto les permite a los
usuarios usar identificaciones únicas a través de distintas plataformas.
$
Soporte para Varios Tokens
El diseño abierto de ePassNG permite soportar diferentes clases de tokens, incluso trabajando al
mismo tiempo. El usuario puede elegir cualquier token de acuerdo al uso que se le dará.
Guía del ePassNG
37
Si se implementa el TSP correspondiente, el ePassNG podría incluso soportar varios tokens
virtuales, como ser un disco de almacenamiento flash, un archivo de disco, una disquetera, un
CD-ROM, etc.
$
Extensibilidad
Los fabricantes de terceras partes pueden integrar sus productos al framework de ePassNG tan
solo firmando el acuerdo correspondiente con Feitian. Si se usa la interface de desarrollo TSP
proporcionada por Feitian, los vendedores sólo necesitan hacer unas pequeñas modificaciones,
o incluso nada, para la integración.
$
Creciendo Cada Día
Los productos de Feitian, ePass3000, ePass Token USB FT12 y ePass1000ND han obtenido
varias certificaciones de terceras partes, tanto nacionales como internacionales, incluyendo
Check Point, CFCA, etc.
Haciendo referencia a las ventajas de aquellos productos exitosos, ePassNG se vuelve más
estable y seguro. Obtendrá aún más certificaciones en un futuro próximo.
Guía del ePassNG
3.
39
Instalación y Desinstalación
del ePassNG
Instalación del ePass Middleware
¿Que es el Middleware?
Se denomina “Middleware” al instalador de los drivers correspondientes al producto ePass Token
USB, es quien le da la compatibilidad a la PC para que la misma pueda trabajar y reconocer el
dispositivo criptográfico como es el ePass.
El mismo se encuentra en varios idiomas, entre ellos castellano, inglés, portugués, chino y
japonés. Esto es un importante beneficio que pesa en la decisión sobre la elección de una
herramienta para autenticar usuarios, ya que ePass es el único producto cuyas herramientas se
proveen con soporte de habla Hispana. Ningún otro producto ofrece esta característica.
Si Ud. tiene en su poder el CD del ePassNG, ejecute el archivo de instalación ubicado en la
carpeta “Redistribucion\Usuario Final” del CD.
También puede encontrar la versión para el
Administrador en la carpeta “Redistribucion\Administrador “. La instalación del middlware varía
insignificantemente entre ambas versiones.
40
Instalación y Desinstalación
del ePassNG
Al hacerlo, se le mostrará la siguiente pantalla en la que debe seleccionar el idioma deseado
para la instalación:
Si lo desea, cambie el idioma actual seleccionado, eligiendo otro desde la lista desplegable.
Haga click en “Aceptar” para confirmar el idioma seleccionado.
Haga click en “Siguiente”.
En la próxima pantalla de la guía de instalación, lea atentamente el acuerdo de licencia.
Guía del ePassNG
41
Seleccione “Acepto el contrato” si está de acuerdo con el mismo y haga click en ”Siguiente” para
continuar.
42
Instalación y Desinstalación
del ePassNG
Seleccione la carpeta en la que desea instalar el contenido de ePassNG. Puede cambiar la
ubicación por defecto escribiendo la ruta a la carpeta, o clickeando en “Examinar” para
seleccionar la nueva carpeta gráficamente.
Una vez que haya elegido la ubicación donde se instalarán las herramientas del ePass token,
haga click en “Siguiente” para continuar.
Guía del ePassNG
43
Por favor, confirme la selección y haga click en “Instalar”. Tenga en cuenta que al presionar en
“Instalar” comenzará el proceso de instalación del Middleware y las herramientas para poder
comenzar a utilizar el dispositivo de autenticación y portabilidad de certificados del ePass token.
Espere a que el proceso de instalación finalice.
44
Instalación y Desinstalación
del ePassNG
Ya ha instalado el Middleware y las herramientas necesarias para trabajar con el ePass Token
en su sistema. Haga click en “Finalizar” y reinicie en caso de ser necesario (a partir de Windows
2000, no es necesario).
En el sistema operativo Windows, concluirá el proceso de instalación cuando conecte un
dispositivo en el puerto USB de su PC. Al hacerlo, verá los siguientes recuadros (imágenes
capturadas en un Windows XP, dependiendo de su sistema operativo, estas imágenes podrían
cambiar o incluso no aparecer).
Una vez instalado el middleware del hardware compatible ePassNG en su sistema, al conectar
un dispositivo recibirá el siguiente mensaje desde el administrador de certificados en el system
tray:
Guía del ePassNG
45
Desinstalación
Para eliminar todas las herramientas, documentación y demás componentes instalados, inicie el
asistente de desinstalación desde “Inicio > Programas > MacroSeguridad > [Nombre del
Producto] > Desinstalar” donde [Nombre del Producto] es el nombre que corresponda al
hardware instalado. O bien, puede desinstalar el software desde “Agregar o quitar programas”,
desde el menú “Panel de Control” > “Agregar o Quitar Programas” como se muestra en la
imagen a continuación (en la imagen, el producto instalado es ePass2000 FT12. Ese texto varía
de acuerdo al hardware instalado).
Seleccione el componente adecuado y haga click en “Quitar”:
Presione sobre el botón “Quitar” e inicie el proceso de desinstalación. Se le pedirá confirmar si
desea desinstalar el software:
46
Instalación y Desinstalación
del ePassNG
Presione en “Si”“.
Desinstalación del Middleware
También podría desinstalar solamente el middleware de ePass, sin eliminar las herramientas
para ese producto. Inicie el asistente de desinstalación desde el menú “Panel de Control”
Guía del ePassNG
47
Se iniciará el asistente de desinstalación (El nombre del producto varía de acuerdo al hardware
instalado. En este caso ePass2000 FT12):
Seleccione “Desinstalar”
Aguarde mientras se procede a desinstalar el Middleware de ePass.
48
Y finalmente haga click en “Terminar”
Le recomendamos reiniciar el Sistema Operativo.
Instalación y Desinstalación
del ePassNG
Guía del ePassNG
49
4.
Manual del Administrador
La interface de las herramientas de administración de ePassNG y sus métodos de operación son
similares bajo las diferentes plataformas para facilitar el trabajo de aprendizaje de los usuarios y
administradores. Además, ePass1000ND, ePass Token USB FT11, ePass Token USB FT12,
ePass3000 comparten la misma herramienta de administración.
Hay dos versiones de la herramienta de administración de ePassNG: la versión para el Usuario
Final y la versión del Administrador.
La versión del administrador proporciona mayores funcionalidades, entre ellas las de “Formatear
el ePass Token”, “Desbloquear PIN” y “Cambiar SO PIN”.
En este capítulo explicaremos en detalle la utilización de la versión para el administrador de la
herramienta de ePassNG con el producto ePass3000 bajo el Sistema Operativo Windows XP con
Service Pack 2.®
%
Formateo del ePass Token (Sólo disponible para la versión del administrador)
%
Desbloquear PIN de Usuario (Sólo disponible para la versión del administrador)
%
Cambiar el PIN del SO (Security Officer) (Sólo disponible para la versión del
administrador)
Manual del Administrador
50
%
Autenticarse al Administrador del ePassNG mediante el Login (Verificar el PIN del
usuario)
%
Visualizar la información del Slot y del Token
%
Cambiar el PIN del usuario del ePass Token
%
Cambiar el nombre del ePass Token
%
Administrar la información contenida dentro del ePass Token
Requerimientos mínimos
Para trabajar con los dispositivos de autenticación ePass, Ud deberá contar con los siguientes
requerimientos mínimos:
•
Una PC con al menos 15 MB de espacio libre en disco
•
Windows 98/98SE, ME, 2000, XP, Windows Server 2003 y Windows Vista
•
Internet Explorer 5.0 o superior
•
Al menos un puerto USB, con soporte USB habilitado en el BIOS.
•
Un dispositivo ePass, en formato de Token USB o Smartcard (en el último caso,
necesitará también un lector Smartcard)
Como la herramienta de administración del ePassNG está basada en el middleware del ePass (el
middleware instala los drivers que le dan la compatibilidad al sistema operativo para poder operar
con los tokens ePass) y se accede al hardware del token, antes de usar el GUI de la herramienta
deberá verificar que los productos de ePassNG (incluyendo el middleware y el driver del
hardware) hayan sido debidamente instalados.
De no ser así por favor contacte a su administrador.
Interface del Administrador PKI de ePassNG
Ejecute la herramienta de administración. El sistema mostrará la interface como en la figura 4-1.
Guía del ePassNG
51
La columna de la izquierda muestra los slots soportados.
El panel de la derecha muestra la información básica de cada uno de estos slots.
Figura 4-1
Interface sin Token conectado
Si conecta un Token USB con el nombre de “ePass Token” en el puerto USB de la PC la
herramienta reconocerá la información básica del token y mostrará la interface como se muestra
en la figura 4-2.
Manual del Administrador
52
Figura 4-2 Interface con el Token conectado
En la imagen anterior, puede verse en el panel de la izquierda que en el slot “0”, ahora se
encuentra conectado un dispositivo. El nombre de este dispositivo se encuentra entre corchetes,
y facilita la identificación del token. En este caso, el ePass3000 conectado tiene el nombre
“ePass Token”.
Información Mostrada Después de Conectar el Token
Haga Click sobre cualquier slot que contenga un dispositivo ePass token, su información y las
posibles operaciones se mostrarán en el lado derecho, como se puede ver en la figura 5-3
La información mostrada a la derecha incluye el estado del slot, la información detallada del
token y los botones de operaciones posibles. Tenga en cuenta que la información mostrada
puede variar según el tipo de dispositivo conectado. Así, por ejemplo, se tendrá una pantalla
similar a la de la figura 4.3a para el dispositivo ePass3000, o como la 4.3b para ePass Token
USB FT12. Los botones de operación le brindan una nueva vía de acceso a las operaciones que
pueden realizarse sobre cualquier ePass Token.
Guía del ePassNG
Figura 4-3a Información mostrada después de conectar un ePass3000
Figura 4-3b Información mostrada después de conectar un ePass Token USB FT12
53
Manual del Administrador
54
Información Mostrada Cuando No Se Encuentra Conectado el Token
Si hace click sobre alguno de los slots vacíos, también obtendrá información relativa a ese slot
como ser versión de hardware y firmware, descripción, etc, como muestra la figura 4-4
Figura 4-4 Información mostrada cuando no está conectado el Token
Operaciones Básicas del ePass Token
A continuación se enumeran las diferentes operaciones aplicables a los dispositivos ePass
Token USB. Puede acceder a estas operaciones desde el menú “Operación”, desde el menú
contextual (haciendo click derecho sobre algún ePass Token en la lista de la izquierda), con los
botones de la parte inferior del panel derecho de la aplicación cuando haya seleccionado algún
ePass de la lista del panel izquierdo, o utilizando una combinación de teclas particular.
Login
Antes de loguearse, el usuario sólo puede ver los objetos públicos del token (certificado y clave
pública). Los objetos privados sólo podrán ser accedidos luego de que el usuario haya ingresado
correctamente el PIN en la operación de Login. Seleccione la opción de Login por cualquiera de
los medios posibles, y el sistema mostrará la ventana correspondiente, como se ve en la Figura
4-5.
&
NOTA: Si lo desea, puede realizar esta operación con la combinación de
teclas ALT + L
Guía del ePassNG
55
FIgura 4-5 Ventana de Login
Luego de ingresar el PIN correcto, haga click sobre el botón “Login” para poder terminar
exitosamente el proceso de autenticación.
Al loguearse, la aplicación lo llevará directamente a la sección de Administración de Certificados,
donde podrá ver la información almacenada en la memoria del chip smartcard, como ser
certificados, claves públicas y privadas.
El botón Login de las operaciones del usuario no de deshabilita en ningún momento, aunque el
usuario ya se haya logueado. En caso de que el usuario ya esté logueado e intente hacerlo de
nuevo, la aplicación sólo cambiará la pantalla al estado de información de los slots (figura 5-2).
&
NOTA: si se ingresa en forma incorrecta el PIN 10 veces consecutivas,
el dispositivo se bloqueará y no podrá ser accedido aunque el
usuario ingrese correctamente el PIN. Sólo podrá ser desbloqueado
por el administrador (ver sección Desbloquear PIN de Usuario).
Cambiar el PIN de Usuario
Por seguridad, se le recomienda al usuario que cambie el PIN periódicamente. Para realizar el
cambio del PIN o password de acceso al dispositivo, seleccione la operación “Cambiar PIN de
Usuario” por cualquiera de las vías posibles. El sistema mostrará una ventana como la de la
figura 4-6. El usuario puede cambiar el PIN tantas veces como quiera.
&
NOTA: Si lo desea, puede realizar esta operación con la combinación de
teclas ALT + P
Manual del Administrador
56
Figura 4-6 Cambio del PIN de Usuario.
Cuando se quiera cambiar el PIN del usuario, el mismo tendrá que ingresar primero el PIN
actual, luego ingresar el nuevo PIN y finalmente confirmarlo, ingresándolo nuevamente. Haga
click sobre el botón “Aceptar” para que la operación sea procesada.
Cambio de PIN exitoso
&
NOTA: El PIN por defecto del ePass es “12345678”.
Al finalizar la operación, el usuario quedará logueado automáticamente.
Guía del ePassNG
57
Consideraciones sobre el PIN
La password (o PIN) del dispositivo es la medida de seguridad más importante para mantener la
información tanto sea personal (homebanking, certificados digitales, etc.) o de su compañía de la
forma más segura. Entonces, elegir una password que sea efectiva resulta una acción crítica.
Muchas veces se eligen passwords fáciles de memorizar, fecha de cumpleaños, números de
teléfonos conocidos, nombres propios, la combinación de las primeras letras de los integrantes
de la familia, etc.
Para combatir esta práctica, muchas compañías utilizan como política de seguridad interna, usar
passwords complejas, de más de 10 caracteres. Los usuarios entonces, para recordarlas, las
anotan y las pegan sobre el monitor o debajo del teclado, rompiendo de esta forma el alto nivel
de seguridad que pretendía alcanzarse. También es importante poder elegir caracteres que no
se encuentren en una posición relativamente cercana en el teclado, y que no tengan un orden
determinado. Ejemplos de passwords que no deben utilizarse en este sentido serían “Abcde…”,
“asdf…”, “ñlkj…”, “0987poiu”, etc. por ser muy cercanas en el teclado, o por contener secuencias
de caracteres previsibles.
Las mejores passwords son de al menos 8 caracteres, y deben tener una combinación de letras
(mayúsculas y minúsculas), números en un orden aleatorio, símbolos de puntuación, etc.
Una buena práctica es partir de una palabra conocida, e ir modificándola de acuerdo a ciertas
reglas de apreciación. Por ejemplo, cambiar una “i” por un “1”, una “o” por un “0” o una “a” por
“@”. O elegir los caracteres ASCII que se formen utilizando su fecha de nacimiento. Por ejemplo,
si su fecha de nacimiento es el 11-7-1960, se podrían utilizar los caracteres ASCII 111 – 107 –
119 – 160, formándose la secuencia: “okwá”.A esto se le pueden agregar los separadores
correspondientes “o-k/wá”
Podemos partir del siguiente ejemplo:
Macroseguridad
M@cRosegur1dad
M@cR0Se9ur1dad
Manual del Administrador
58
Y reemplazar algunos caracteres que no serán difíciles de olvidar
M@cR0Se9ur1da/
Con nuestras sugerencias le aseguramos que obtendrá una password con un grado de
complejidad que será prácticamente imposible de ser atacada por medio de la fuerza bruta.
Cambiar el Nombre del Token
Los tokens, generalmente, se distinguen entre sí mediante su número de serie. Sin embargo los
números de serie son difíciles de recordar. Por esta razón, puede usarse un nombre elegido por
el usuario para identificarlo. Haga click sobre el botón “Cambiar Nombre del Token” y se le
mostrará una ventana como la de la figura 4-7.
&
NOTA: Si lo desea, puede realizar esta operación con la combinación
de teclas ALT + P
Figura 4-7 Cambiar Nombre del Token
Tenga en cuenta que lo que Ud. establezca como nombre del ePass no puede superar los 32
caracteres. Ingrese el nombre que desea para el token y presione el botón “Aceptar”. Para
cambiar el nombre del token se le pedirá que ingrese el PIN del usuario. Ingréselo y presione
nuevamente “Aceptar”. Una ventana de confirmación aparecerá (figura X), presione “Aceptar” y el
sistema se actualizará y mostrará el nuevo nombre del token entre corchetes, en la lista de slots
de la izquierda.
Guía del ePassNG
59
Login para confirmación de cambio de nombre
Cambio de nombre finalizado
Formatear ePass Token
&
NOTA: Al procesar esta operación, TODA la información dentro del
token, incluyendo certificados PKI, claves públicas y privadas e
información del usuario serán totalmente eliminadas.
Si desea eliminar toda la información del dispositivo y reestablecer la funcionalidad PKI,
seleccione la operación “Formatear ePass Token”. El sistema mostrará una ventana como la de
la figura 4-9.
&
NOTA: Si lo desea, puede realizar esta operación con la combinación de
teclas ALT + I
Manual del Administrador
60
Figura 4-9 Formatear ePass Token
El proceso de inicialización del token necesita que el administrador ingrese el SO PIN (por
defecto es “12345678” – para mayor información contacte a su Administrador de Sistemas). El
PIN del usuario y el nombre del token deberán ser restablecidos y toda la información del token
será borrada. Si la operación fue exitosa, se le mostrará un mensaje como el siguiente:
También podrá ver la confirmación en el system tray:
Guía del ePassNG
61
Luego que la inicialización se complete, el sistema se actualizará y cambiará el estado del token,
a un estado en el que el usuario se encuentra logueado.
Desbloquear Token
Si el usuario se equivoca al ingresar el PIN 10 veces consecutivas, el mismo será bloqueado. A
partir de entonces, aunque el usuario ingrese correctamente el PIN, no podrá acceder al ePass
Token. El administrador deberá desbloquear el ePass a través de la operación “Desbloquear el
ePass”. El sistema mostrará una pantalla como la que se muestra a continuación.
&
NOTA: Si lo desea, puede realizar esta operación con la combinación de
teclas ALT + B
Desbloquear Token
Para desbloquear el PIN del usuario, se deberá ingresar el SO PIN (contacte a su administrador
en caso de necesitar asistencia), un nuevo PIN de usuario y la confirmación del último. Haga
62
Manual del Administrador
click sobre el botón “Aceptar” para desbloquear el token. Si el proceso es correcto, se le mostrará
la siguiente ventana:
Luego de desbloquear el dispositivo, el usuario se encuentra logueado. En adelante, el usuario
sólo podrá loguearse al token con el PIN que acaba de establecerse hasta que cambie la
password por una de su elección.
Al volver a conectar el dispositivo, se le presentará una ventana como la que se muestra a
continuación.
Es recomendable que el usuario cambie el PIN apenas se le presenta esta advertencia. De ser
posible, el Administrador debe estar presente para confirmar que el PIN por defecto ya no es
válido.
Guía del ePassNG
63
Cambiar SO PIN (Security Officer PIN – PIN del Administrador)
Los dispositivos ePass token son provistos con una password por defecto para el Security
Officer: “12345678”. Se recomienda que el administrador o responsable de sistemas cambie
este password por defecto tan pronto como tenga el ePass Token en su poder.
Seleccione la operación “Cambiar SO PIN” y el sistema mostrará la siguiente ventana .
&
NOTA: Si lo desea, puede realizar esta operación con la combinación de
teclas ALT + M
Cambiar SO PIN
Cuando se quiere cambiar el SO PIN (Security Officer), se deberá ingresar el SO PIN actual,
ingresar el nuevo SO PIN y luego confirmarlo ingresándolo nuevamente. Para procesar la
operación haga click en “Aceptar”. Se le mostrará una ventana como la siguiente si el proceso ha
sido exitoso.
Manual del Administrador
64
&
NOTA: al igual que con el PIN del usuario, el ingreso del SO PIN tiene
una cantidad limitada de reintentos antes que el dispositivo se
bloquee. En este caso son 5 los reintentos posibles. Para
desbloquearlo
necesitará
formatear
el
dispositivo
con
una
herramienta especialmente desarrollada para ello. En tal caso deberá
ponerse en contacto con su reseller autorizado o bien con
MacroSeguridad.
&
El SO PIN (PIN de Administrador) por defecto es “12345678”
Administración de Información sin Loguearse
En el panel izquierdo de la herramienta de administración, cada token posee una función para
administrar la información interna. Si se hace click sobre “Administración de Certificados” sin
estar autenticado frente al dispositivo, el sistema mostrará la información pública del token y las
operaciones que se pueden realizar con esa información en el lado derecho de la ventana, como
se muestra a continuación.
Guía del ePassNG
65
Administración de Información sin estar Logueado
Administración de Información al estar Logueado
Luego de autenticarse al ePass, la inteface que permite la administración de datos se verá como
en la figura 4-10.
Manual del Administrador
66
Figura 4-10 Administración de Información al estar Logueado
A diferencia de la interface presentada cuando el usuario NO está logueado, ahora podrá verse
tanto la información pública como la privada. El botón “Importar” sólo se encontrará habilitado
luego de que el usuario se haya autenticado. El botón “Exportar” se habilitará cuando un
certificado sea seleccionado. El botón “Ver” siempre se encuentra habilitado salvo cuando se
seleccione el nombre del token. El botón “Eliminar” está habilitado sólo luego de autenticarse.
El usuario quedará automáticamente autenticado luego de realizar alguna de las siguientes
operaciones:
1. login del usuario,
2. formateo del ePass,
3. cambio el PIN del usuario
4. desbloqueo del ePass,
Guía del ePassNG
67
Administrando sus Certificados y Claves Personales
Importar Certificado
Usted puede importar certificados al ePass Token desde esta herramienta, lo que le permite
llevarlos a todos lados. Aparte de ser práctico, una ventaja muy importante de llevar el certificado
en el ePass token es que una vez que el certificado se encuentre en el dispositivo, su clave
privada nunca podrá extraerse, manteniéndola segura.
Para importar certificados al USB token simplemente clickee en el botón Importar en la sección
inferior de la aplicación. Este botón solo estará habilitado si Ud. se ha logueado al dispositivo
previamente. El sistema mostrará una ventana como la de la figura siguiente.
Importar Certificado
Ingrese la ruta donde se encuentra su archivo de certificado, o haga click en el botón “...” para
buscarlo entre sus carpetas.
68
Manual del Administrador
Los certificados PKCS#12 (con extensión pfx, p12) pueden necesitar una contraseña para
acceder al certificado. Al importar otro tipo de certificados, el sistema deshabilitará el ingreso de
la contraseña. Ingrese el password del certificado (en caso de que esté protegido) y haga click en
“Aceptar”. Podrá ver el progreso de la importación en las siguientes imágenes:
Guía del ePassNG
69
El certificado ya ha sido importado como se muestra en el ePass Manager.
En el ePass3000 Ud. podrá importar certificados con claves RSA de hasta 2048 bits. En cambio
en el ePass2000 FT12 solo podrá importar claves de 1024 bits.
Interface de Administración de Información luego de Importar un Certificado
70
Manual del Administrador
Exportar Certificado
También puede exportar un certificado del ePass token a la PC. Esto sirve para mantener un
backup del certificado y de la clave pública en la computadora. Recuerde que la clave privada
nunca puede extraerse del dispositivo debido a la seguridad que poseen los ePass tokens.
Para exportar un certificado selecciónelo en el panel derecho y haga click sobre el botón
“Exportar” ubicado en la parte inferior del mismo. A continuación se mostrará una ventana como
la siguiente:
Clikee el botón “...” para elegir el directorio donde quiere que sea exportado el certificado.
Haga click en “Aceptar” para confirmar la operación. Si el proceso fue exitoso una ventana de
confirmación como la siguiente se lo comunicará.
Guía del ePassNG
71
Mostrar Información
Cuando desee ver la información detallada de certificados, claves públicas, claves privadas u
otros datos, el usuario debe seleccionar el ítem que desee y presionar el botón “Ver” ubicado en
la parte inferior del panel derecho. Dependiendo del elemento seleccionado, la información
mostrada cambiará. En el caso de un certificado el sistema mostrará una ventana como la de la
figura a continuación.
Ver Información de Certificado
El botón “Ver Certificado” aparecerá sólo cuando se este viendo el contenido de un certificado.
Haga click sobre el mismo y el sistema mostrará la información como en la siguiente figura.
Manual del Administrador
72
Contenido de Ver Certificado
El botón “Instalar certificado” iniciará un asistente para instalar ese certificado en el repositorio
local del sistema operativo.
En el caso de que el elemento sea una clave pública, la ventana se vera de la siguiente forma:
Ver Información de Clave Pública
Guía del ePassNG
73
Haga click sobre cualquier atributo y su información aparecerá en la parte inferior de la ventana.
El caso de una clave privada, la información mostrada es muy semejante a la pública.
Eliminar Información
Cuando el usuario quiera eliminar información o certificados del ePass token USB, luego de
loguearse, seleccione la información que desee eliminar y presione el botón “Eliminar” (este
botón sólo esta disponible en la versión para administrador de la herramienta de administración).
El sistema mostrará una ventana como la de la imagen a continuación preguntando si está
seguro de que quiere eliminar ese elemento.
Eliminar Datos
Si está seguro que lo quiere eliminar, haga click en “Sí”. Una vez que el dato sea eliminado, le
aparecerá una ventana de confirmación:
&
NOTA: Los Datos no pueden recuperarse luego de ser eliminados
Manual del Usuario
74
5.
Manual del Usuario
Al instalar el middleware y herramienta para el usuario final (desde Redistribución\Usuario Final),
la herramienta que se utilizará será mas restringida. No poseerá las opciones de Cambiar SO
PIN, Desbloquear PIN, Formatear ePass ni Eliminar Certificados (en la sección de Administración
de Información)
Sin embargo, brinda las funcionalidades suficientes para el usuario final, es decir:
!
Cambiar Nombre: se procede de la misma manera que en la sección Operaciones
Básicas del ePass Token – Cambiar Nombre
!
Cambiar PIN: se procede de la misma manera que en la sección Operaciones
Básicas del ePass Token – Cambiar PIN
!
Importar Certificados: Se procede de la misma manera que en la sección Importar
Certificado, del Administrador
!
Exportar Certificados se procede de la misma manera que en la sección Exportar
Certificado, del Administrador
!
Mostrar Información: se procede de la misma manera que en la sección Mostrar
Información, del Administrador
Descargar