Guía de Referencia PKI ePassNG MacroSeguridad Latino América Versión 1.1 Español ePass NG Mayo de 2007 Introducción a la Familia de ePass Token 2 Acerca de MacroSeguridad Latino América MacroSeguridad es un Mayorista exclusivo de Soluciones de Seguridad Informática. Es líder en seguridad digital, proveyendo seguridad para comercio electrónico e Internet desde 1994. MacroSeguridad atiende a clientes en toda Latino América, México, Brasil y Australia. Los productos que MacroSeguridad distribuye incluyen: los dispositivos ePass Token USB para autenticación segura de usuarios, portabilidad, transporte de certificados digitales, y no repudio en comercio electrónico. Entre los mismos se pueden encontrar ePass1000, ePass1000ND, ePass Token USB FT1, ePass Token USB FT12, ePass3000, BioPass Token USB. Los sistemas de protección de software profesional basado en dongles que protegen la propiedad intelectual y los modos de licenciamiento de los desarrolladores como ser Rockey2, Rockey4, Rockey4ND y Rockey6. Soluciones para encriptado de discos, solución para loguearse a la red en forma segura. También se provee seguridad para SAP, como ser de criptografía, logon y autenticación robusta. Así como también soluciones de OTP Tokens (dispositivos generadores de números aleatorios) para aplicaciones de homebanking y de dispositivos token USB llamados mIDentity para portabilidad de la identidad digital de la empresa KOBIL, autenticación robusta para PDA y mobile phones. Macroseguridad Latino América logra el equilibrio entre las necesidades de las empresas y sus soluciones. Para más información puede visitar el sitio web de MacroSeguridad en: www.MacroSeguridad.org Información de contacto Por cualquier consulta, sugerencia o comentario que le surja sobre la utilización del ePass Token USB ó de esta guía en si misma, por favor contacte al soporte técnico de MacroSeguridad Latino América: • Mail: [email protected] • TEL: +54 011 4833-5760 (Líneas Rotativas) • FAX: +54 011 4831-6538 • Web: www.MacroSeguridad.net Guía del ePassNG 3 Copyright y Marcas Registradas COPYRIGHT © 2007 © Este documento es propiedad de Macroseguridad Latino América y todo su contenido se encuentra protegido por las normas nacionales e internacionales de Derecho de Autor (copyright). Se encuentra terminantemente prohibida su reproducción total o parcial con cualquier fin. Las marcas mencionadas a lo largo del presente documento son propiedad de sus respectivos titulares. Para cualquier tipo de uso del mismo fuera de este manual deberá solicitar un permiso escrito de MacroSeguridad Latino América. Introducción a la Familia de ePass Token 4 Acuerdo de Licencia FEITIAN TECHNOLOGIES CO. LTD. Todos los Productos de Feitian Technologies Ltd. (Feitian), que en Latinoamérica son distribuidos por Macroseguridad Latino América (MS Argentina SRL) incluyendo, pero no limitados a, copias de evaluación, diskettes, CD ROMs, hardware y documentación, y todas las órdenes futuras , están sujetas a los términos de este Acuerdo. Si Ud. no está de acuerdo con los términos aquí incluidos, por favor devuélvanos el paquete de evaluación, empaque y contenido prepago, dentro de los siete días de su recepción, y le reembolsaremos a Ud. el precio del producto, con menos los gastos de envío y cargos razonablemente incurridos. 1. Uso Permitido – Ud. puede utilizar este Software con el único propósito de proteger las comunicaciones, firmar documentos, firmar/encriptar emails o encriptar archivos como se describe en esta Guía de Regencia PKI con la licencia de ePass. Puede hacer copias de archivo de este software. Ud. puede fusionar y conectar el Software con otros programas, de manera concordante con los usos descriptos en la Guía para Desarrolladores y de Referencia del ePassNG. Ud. puede hacer copias de archivo del Software. 2. Uso Prohibido – El Software o Hardware de ePass o cualquier otra parte del producto no puede ser copiada, realizada reingeniería, desensamblada, decompilado, revisado, mejorado y/o modificado de alguna otra manera, excepto como específicamente se encuentra admitido en el item 1. Ud. no pude utilizar ingeniería inversa en el Software ni en ninguna otra parte del Producto ni intentar descubrir el código fuente del Software. No puede utilizarse el dispositivo magnético u óptico incluido en el Producto con el propósito de transferir o almacenar datos que no integren una parte original del Producto o una mejora provista en el Producto por Macroseguridad Latino América o Feitian. 3. Garantía – Feitian garantiza que el hardware y Software del medio de almacenaje está sustancialmente libre de defectos significativos en su manufactura o en sus materiales, por un período de doce meses contados desde la fecha de entrega del Producto a Ud. 4. Incumplimiento de la Garantía – Para el caso de incumplimiento de esta garantía, la única obligación de Feitian y/o Macroseguridad Latino América será la de reemplazar o reparar, a discreción de Feitian, cualquiera de los productos libre de cargos. Cualquiera de los productos reemplazados deviene de propiedad de Feitian. El reclamo de la garantía deberá ser realizado por escrito a Feitian o Macroseguridad Latino América mientras dure el período de garantía y dentro de los catorce (14) días posteriores de observado el defecto. Todos los reclamos de garantía deberán ser acompañados por evidencia del defecto que sea considerado satisfactorio a criterio de Feitian y/o Macroseguridad Latino América. Cualquier producto que Ud. devuelva a Feitian o un distribuidor autorizado de Feitian deberá ser remitido con el envío y el seguro prepago. Guía del ePassNG 5 CON EXCEPCION DE LO DISPUESTO EXPRESAMENTE EN EL PRESENTE, NO EXISTE NINGUNA OTRA GARANTIA O REPRESENTACIÓN DEL PRODUCTO, EXPRESA O IMPLÍCITA, INCLUYENDO, PERO NO LIMITADA A, CUALQUIER GARANTIA IMPLICITAS DE COMERCIALIZACIÓN Y/O ADAPTABILIDAD PARA UN PROPÓSITO PARTICULAR. 5. Limitación de la Garantía de Feitian – La responsabilidad total de Feitian frente a cualquier persona o causa, sea contractual como extracontractualmente, incluyendo negligencia o dolo, no podrá exceder el precio de la unidad de producto por Ud. pagado que ha causado el daño o resulta ser el objeto que directa o indirectamente se encuentra relacionado con el hecho dañoso. En ningún caso Feitian y/o Macroseguridad Latino América será responsabilizado por cualquier daño causado por un acto ajeno en el uso del producto, o el incumplimiento de las obligaciones en el presente asumidas, así como tampoco, por la pérdida de cualquier información, ganancia o ahorro, o cualquier otro daño consecuente o incidental, incluso si Feitian y/o Macroseguridad Latino América hubiese sido advertido de la posibilidad de daño, o de cualquier reclamo basado en cualquier reclamo de terceros. 6. Finalización – El acuerdo se considerará terminado frente al incumplimiento de los términos a su cargo. Los items 2, 3, 4 y 5 se mantendrán a pesar de la finalización del acuerdo. Introducción a la Familia de ePass Token 6 Certificaciones y Estándares • Certificado de Aprobación FCC ePass Token USB ha sido probado y es compatible con límites para un dispositivo digital de clase B, de acuerdo a la sección 15 de las normativas FCC. Estos límites están diseñados para asegurar una protección razonable contra interferencias dañinas que pueden ocurrir en una instalación. • CE Compatible ePass Token USB cumple con los requerimientos primordiales para la Directiva EMC (directiva 89/336/EEC respecto a la compatibilidad electromagnética) basado en una prueba voluntaria. Esta declaración se aplica solo a las muestras particulares del producto y a la documentación técnica provista para el testeo y certificación. El detalle de los resultados de las pruebas y todos los estándares usados, asi como el modo de operación se encuentran listados en: Reporte de Pruebas Nº: Estándares de Prueba: 70407310011 EN 55022/1998 EN 55024/1998 Posteriormente a la preparación de la documentación técnica necesaria y de la declaración de conformidad, el logo de CE mostrado puede ser incluido en el equipo, como se establece en el Artículo 10.1 de la Directiva. • USB Este equipo está basado en el estándar USB • Microsoft Windows Logo Program Este dispositivo ha superado las pruebas de Windows HCT, realizadas en los Laboratorios de Pruebas de Hardware de Windows (WHQL), las cuales determinan los productos que alcanzan los requerimientos del Programa de Logos de Windows Compatibilidad de Hardware de Windows Vista: Compatibilidad de Hardware de Windows XP: Guía del ePassNG • 7 CheckPoint OPSEC Partner ePass Token USB ha alcanzado la certificación OPSEC (Open Platform for Security) de Check Point Software Technologies Ltd. (NASDAQ: CHKP), el líder mundial en seguridad a través de Internet. A través de la certificación OPSEC, ePass Token USB se integra transparentemente con las soluciones de Check Point líderes del mercado: VPN-1®, FireWall-1®, Next-Generation®.y superiores. • Entrust Ready Partner Los ePass Token USB han alcanzado la certificación de Entrust Ready. Las soluciones de seguridad de FeiTian, son dispositivos tokens usb criptográficos seguros y portátiles, ideal para Entrust/PKI y otras aplicaciones Smart Card: autenticación por dos factores, encripción de email, sitios seguros SSL, logon VPN y más. Se le ha otorgado a ePass Token el estado de Entrust Ready con el Entrust Entelligence client y Entrust Authority Securtity Manager. • ISO 9001 FeiTian Technologies LTD. Es una compañía certificada ISO 9001 • RoHS (Restriction of the use of certain Hazardous Substances) Los dispositivos ePass Token cumplen con las directivas de la Unión Europea de cuidado del medio ambiente y de la salud humana estipuladas por RoHS, restringiendo el uso de sustancia como Plomo (Pb), Cadmio (Cd), Mercurio (Hg), Cromo hexavalente (Cr (VI)), Bifenil polibrominado (PBB), Éter bifenil polibrominado (PBDE). Introducción a la Familia de ePass Token 8 Tabla de Contenidos Acerca de MacroSeguridad Latino América ...............................................................................2 Información de contacto ...............................................................................................................2 Copyright y Marcas Registradas..................................................................................................3 Acuerdo de Licencia......................................................................................................................4 Certificaciones y Estándares........................................................................................................6 Tabla de Contenidos .....................................................................................................................8 1. Introducción a la Familia de ePass Token.........................................................................10 ¿Qué es ePass? ........................................................................................................................12 Modelos de ePass .....................................................................................................................13 Familia de ePass2000 Token USB ........................................................................................15 Seguridad para Aplicaciones de eBusiness...................................................................15 Aplicaciones ePass 2000: ..............................................................................................16 Aplicaciones E-Business................................................................................................17 Beneficios del ePass Token USB ..................................................................................17 Características del ePass 2000 .....................................................................................18 Especificaciones Técnicas de ePass2000 FT1 Token USB ..........................................19 Familia de ePass1000 Token USB ........................................................................................21 Seguridad para Aplicaciones de eBusiness...................................................................21 Aplicaciones ePass 1000 ...............................................................................................22 Aplicaciones E-Business................................................................................................22 Beneficios del ePass 1000.............................................................................................23 Características del ePass 1000 .....................................................................................23 Especificaciones Técnicas del ePass1000 ....................................................................24 Especificaciones Técnicas de ePass1000ND................................................................26 Familia de ePass 3000 Token USB – BioPass 3000.............................................................27 Descripción del BioPass 3000 Token ............................................................................27 Características del ePass BioPass 3000 Token ............................................................27 Especificaciones Técnicas del ePass BioPass 3000 Token ..........................................28 Características del ePass3000 Token USB ...................................................................29 Especificaciones Técnicas del ePass3000 Token .........................................................30 Guía del ePassNG 2. 9 Introducción a la nueva generación: ePassNG ................................................................ 32 Dispositivos Hardware que soporta ePass NG ......................................................................... 33 Estructura del framework ePassNG .......................................................................................... 33 Características de Framework ePassNG .................................................................................. 36 3. Instalación y Desinstalación del ePassNG ...................................................................... 39 Instalación del ePass Middleware ............................................................................................. 39 Desinstalación ........................................................................................................................... 45 Desinstalación del Middleware .............................................................................................. 46 4. Manual del Administrador .................................................................................................. 49 Requerimientos mínimos........................................................................................................... 50 Interface del Administrador PKI de ePassNG ........................................................................... 50 Información Mostrada Después de Conectar el Token ......................................................... 52 Información Mostrada Cuando No Se Encuentra Conectado el Token................................. 54 Operaciones Básicas del ePass Token..................................................................................... 54 Login...................................................................................................................................... 54 Cambiar el PIN de Usuario.................................................................................................... 55 Consideraciones sobre el PIN ....................................................................................... 57 Cambiar el Nombre del Token .............................................................................................. 58 Formatear ePass Token ........................................................................................................ 59 Desbloquear Token ............................................................................................................... 61 Cambiar SO PIN (Security Officer PIN – PIN del Administrador).......................................... 63 Administración de Información sin Loguearse........................................................................... 64 Administración de Información al estar Logueado .................................................................... 65 Administrando sus Certificados y Claves Personales ............................................................... 67 Importar Certificado............................................................................................................... 67 Exportar Certificado............................................................................................................... 70 Mostrar Información .............................................................................................................. 71 Eliminar Información.............................................................................................................. 73 5. Manual del Usuario .................................................................................................... 74 Introducción a la Familia de ePass Token 10 1. Introducción a la Familia de ePass Token Esta guía de Referencia PKI fue creada para que pueda ser utilizada por un usuario sin conocimientos sobre smartcards ni infraestructura PKI, así como por aquellos responsables de la administración de la seguridad e integridad de datos dentro de una organización. Provee un breve resumen de los beneficios y características de los ePass Tokens USB, e incluye también todo el alcance funcional de los mismos. Se incluyen las siguientes secciones en este capítulo: • “¿Qué es ePass?” Se describe el ePass Token y se listan los mayores beneficios que ePass ofrece a su organización y sus usuarios. • “Modelos de ePass” Se describen los diferentes modelos de ePass que se encuentran disponibles. Guía del ePassNG • 11 “ePass 2000”. Profundiza sobre las características y beneficios del ePass Token USB en relación a los demás productos de autenticación. Los tópicos a tratar en esta sección son los siguientes: ! ! ! ! ! • Descripción Aplicaciones – Aplicaciones eBusiness Beneficios Características Especificaciones Técnicas “ePass 1000” Se trata en detalle las características y beneficios de usar ePass1000 frente a los demás dispositivos de autenticación de usuarios. Se cubren los siguientes temas centrales: ! ! ! ! ! ! ! • Seguridad para Aplicaciones de eBusiness Aplicaciones ePass 1000 Aplicaciones E-Business Beneficios del ePass 1000 Características del ePass 1000 Especificaciones Técnicas del ePass1000 Especificaciones Técnicas de ePass1000ND “ePass 3000 – BioPass” Introduce la nueva tecnología que provee MacroSeguridad Latino América. Trata sobre las características de este nuevo paradigma en autenticación de usuarios: ! ! ! ! ! Descripción del BioToken 3000 Características del ePass BioToken 3000 Especificaciones Técnicas del ePass BioToken 3000 Características del ePass3000 Token USB Especificaciones Técnicas del ePass3000 token 12 Introducción a la Familia de ePass Token ¿Qué es ePass? ePass es un dispositivo de autenticación de usuarios y portabilidad de certificados digitales, plug and play, ligero, portátil, pequeño, que provee la mejor seguridad al menor costo y que se conecta al puerto USB (Universal Serial Bus) de cualquier PC. Para trabajar con ePass no se requiere ninguna fuente de energía adicional, ni se requiere lectora, ni ningún otro tipo de dispositivo. ePass Token USB soporta un procedimiento de seguridad de Autenticación a través de 2 factores: “el ePass” algo que el usuario tiene y “la password” algo que el usuario conoce y necesita para tener acceso a cualquier aplicación, certificado digital o sistema que este validado a través del ePass. Las aplicaciones pueden beneficiarse del chip smartcard que la unidad contiene en forma interna dentro del ePass, proveyendo un mecanismo de challenge/response para servicios de autenticación. Este modelo de autenticación challenge/response es más seguro que el modelo tradicional de nombre y password porque en el modelo de challenge/response utiliza el “secreto compartido” y el mismo nunca se expone durante el proceso de autenticación. Explicaremos a continuación el concepto de “secreto compartido”: En este esquema, ambas partes (el que valida la autenticación y la que desea autenticarse) comparten un secreto en común, por ejemplo una situación conocida por las dos partes, pero que nunca se expone ese conocimiento. La gran diferencia con la autenticación tradicional por password es que la misma es expuesta al solicitarle al usuario ingresarla, y dicha entrada es comparada en una base de datos para corroborar su autenticidad. Con el concepto del Secreto Compartido en este esquema la password nunca es solicitada. En cambio, se realiza algún procesamiento con dicha password y lo que se transmite es el resultado de haber realizado ese procesamiento. De hecho, la respuesta enviada puede nunca ser igual a una enviada anteriormente. Por su parte, la aplicación realiza el mismo procesamiento con la clave que conoce (ya que la clave es compartida), y compara el resultado que obtuvo con el resultado que le envió el cliente. Por ejemplo, supongamos que dos personas quieren confirmar que se conocen por haberse encontrado en alguna ocasión en determinado lugar. En este caso, lo que comparten ambas personas es el hecho de haber estado en el mismo lugar. Si la persona A quiere corroborar que conoce a la persona B de ese lugar particular, podría preguntarle varios detalles diferentes sobre el momento en el que se conocieron, en lugar de preguntarle directamente “de donde te Guía del ePassNG 13 conozco?”. De esta manera, podría preguntarle en que mesa se sentaron, que pidieron para tomar, quién los atendió, como estaba vestido, que hora era, etc. Este proceso de autenticación es siempre distinto, debido a que las respuestas son distintas cada vez, pero se asocian a un mismo secreto compartido que actúa como semilla de todo este proceso de validación. ePass también es la solución ideal para almacenar en forma segura información sensible, como por ejemplo: ! ! ! ! ! Credenciales para el Homebanking Certificados Digitales, Claves Privadas, Passwords, Números de Tarjeta de Crédito y otras credenciales privadas, Todo es guardado en forma segura y conveniente en el ePass y puede ser transportado en su llavero a donde vaya. Modelos de ePass Existen varias familias de dispositivos ePass Token USB: ePass1000, - ePass 1000 8 Kb - ePass 1000 32 Kb - ePass 1000ND 8 Kb ND (Driverless) ePass Token USB - ePass 2000 32 kb - ePass 2000 32 kb Smart Card - ePass 2000 FT11 (Driverless) - ePass 2000 FT12 32 Kb (la mejor relación costo-beneficio) Introducción a la Familia de ePass Token 14 ePass EF Es una solución que se provee bajo requerimiento específico o proyecto. Este tipo de dispositivos combina toda la funcionalidad PKI con el almacenamiento masivo de Información. Si desea interiorizarse sobre estos dispositivos, por favor envíe un correo electrónico a: [email protected] ePass3000 (Únicos con procesador de 32 bits) - BioPass Token 3000 (primer dispositivo que combina la funcionalidad PKI con la Biometría) - ePass 3000 Token USB Guía del ePassNG 15 Familia de ePass2000 Token USB Esta sección cubrirá los productos que conforman la familia de ePass Token USB (smart cards en formato USB). Entre ellos, se encuentran: ePass Token USB FT1 que es el un producto compliance con FIPS 140-2 Level 2, ePass Token USB FT12 y ePass Token USB FT11 (Driverless). Las características, usos y aplicaciones que se tratarán a continuación son idénticas para cada producto de la familia. Seguridad para Aplicaciones de eBusiness Internet se ha convertido en un servicio más que necesario para realizar negocios. Pero el crecimiento de la misma trajo aparejado consigo amenazas para los mismos. Entre ellas hackers; dispositivos de análisis para redes; virus, vulnerabilidades de los sistemas operativos y otras fuentes que son ahora parte de la vida cotidiana en Internet. Estas amenazas han crecido en proporción, haciendo que los negocios por Internet hoy tengan un costo a considerar. El modelo PKI (Public Key Infrastructure) o modelo de Firma Digital, fue desarrollado para posibilitar comunicaciones y transacciones seguras en Internet proveyendo servicios de autenticación, identificación y encripción de datos críticos. ePass Token USB tiene la mejor relación costo beneficio, a su vez mejora considerablemente todo el esquema basado en el modelo PKI, en definitiva es la solución ideal para el tipo de aplicaciones PKI. ePass Token USB es una smart card en formato de token USB; compacto, portátil, seguro. Fue diseñado para ofrecer autenticación; verificación y servicios de encripción de información; encripción de email; firma digital y autenticación para operaciones a través del Standard SSL (como por ej. homebanking) usando Internet Explorer, Firefox, Netscape Communicator, Outlook, Outlook Express, y Thunderbird. Cualquier otro aplicativo basado sobre los estándares MS CAPI o PKCS#11 es soportado, aunque no se encuentre documentado en esta guía. Además, cabe remarcar la versatilidad y robustez del SDK de que provee MacroSeguridad, que permite la creación de muchas otras aplicaciones definidas por el usuario. Introducción a la Familia de ePass Token 16 La familia de Productos ePass Token USB soporta una amplia gama de sistemas operativos: Windows 98/2000/ME/XP y Vista, Windows Server 2003, MAC OS X y Linux. Para visualizar las “Especificaciones Técnicas de ePass Token USB”. ePass Token USB esta basado en la tecnología de las smart cards, soportando múltiples algoritmos de seguridad on board. A su vez, provee un alto rendimiento y trae integrado un chip smartcard para realizar cálculos, del tipo RNG “random number generation” (generación de números aleatorios en el hardware) así como también procesamiento criptográfico on board, permitiendo el almacenamiento de credenciales personales y passwords que reemplazan la memoria EEPROM del dispositivo ePass1000. ePass Token USB es un contenedor seguro para certificados digitales de aplicaciones PKI, que se provee con 32 kb de memoria integrada. Los pares criptográficos de la clave RSA son generados en forma interna, utilizando toda la fortaleza que el chip smartcard provee. La clave privada es almacenada en la smartcard en forma de texto cifrado y nunca puede ser exportada del dispositivo de ninguna forma. Con esta tecnología, la información del propietario del certificado se encuentra más segura que nunca. Posee el mismo diseño de carcasa que ePass1000, es liviano, portátil y seguro, lo que lo convierte en el contenedor ideal para sus certificados digitales. Aplicaciones ePass 2000: • Seguridad en la PC y en la red a través del smartcard logon de Windows 2000 y/o Windows Server 2003 • Firma y encripción de email con Microsoft Outlook / Outlook Express, Internet Explorer y Netscape Messenger, Firefox y Thunderbird. • SSL acceso seguro a la Web a través de Microsoft Internet Explorer, Netscape Navigator y Firefox • Compatibilidad PKI con Windows 98 hasta Windows 2003 en adelante, Microsoft Internet Explorer, Netscape Communicator y Firefox • Network Logon Seguro • Seguridad en la comunicaciones vía email • Autenticación Remota Segura vía Servidor RAS • Acceso seguro a VPN Microsoft, Checkpoint y Cisco entre otras • Acceso Seguro para Extranet e Intranet Guía del ePassNG • 17 Seguridad en su PC (encriptado de archivos & carpetas – protección de booteo) Aplicaciones E-Business • Aplicaciones para HomeBanking • Transacciones B2B, B2C • Transacciones Seguras para Agentes y operadores de Bolsa de Valores • Cuidado de la Salud - HIPAA • Proveedores de Aplicaciones de Servicios (ASP) • Suscripciones On-line para revistas y periódicos • Cobranzas: Tele-ticket, peajes y estacionamiento • Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa, identificación Militar y más Beneficios del ePass Token USB • Generación On board de claves (altamente seguro). ePass Token USB usa tecnología smartcard para permitir la generación de claves públicas y privadas dentro del propio hardware del ePass Token. Las claves privadas nunca están expuestas al ambiente hostil de la PC. • Compatible: ePass Token USB es portátil, Plug and Play y puede ser transportado en un llavero, simplemente desconecte el ePass del puerto USB y llévese consigo la información critica y sus credenciales. • Almacenamiento Seguro: Seguridad en el almacenamiento de datos personales, y credenciales. Los mismos no necesitan ser guardados en el ambiente inseguro de la PC; el sistema seguro de archivos y los mecanismos de autenticación que posee el ePass Token USB aseguran que los datos personales y las credenciales privadas son almacenadas en forma segura dentro del ePass Token USB, lejos del alcance de hackers, virus y otras amenazas. • Bajo Costo: ePass Token USB puede ser usado para reemplazar smartcards en las aplicaciones de tipo PKI existentes, con una ventaja diferencial, el ePass Token USB no requiere de ningún tipo de lector especial. • Facilidad de Uso: A través de su intuitiva interface en castellano. No se requiere ningún tiempo de aprendizaje, ni desarrollo especial o integración compleja para interactuar con el ePass e Internet Explorer, Outlook, Outlook Express, Mozilla, ThunderBird, Firefox y Netscape Communicator. • Fácil de Integrar: No se requiere ningún desarrollo especial o trabajo de integración para aplicaciones estándar con MS CAPI, PKCS #11 o aplicaciones compatibles con PC/SC. • Multi-Uso: ePass puede ser configurado para soportar múltiples claves y aplicaciones. 18 Introducción a la Familia de ePass Token • Dos Factores de Autenticación: la seguridad puede ser incrementada al requerirle al usuario ingresar una password de autenticación cuando necesite acceder al ePass Token USB. • Administración de Password: ePass Token USB puede almacenar muchas passwords; el usuario solo necesita recordar el PIN de autenticación al dispositivo. Características del ePass 2000 • Generación On-board de la clave RSA 1024 bits (la misma no puede exportarse) • Desarrollado para soportar algoritmos RSA, DSA, DES y 3DES, SHA-1, MD5, etc. • Soporta el Standard de aplicaciones Microsoft CAPI • Generación de números aleatorios en el hardware • Poderosa conectividad Plug & Play para aplicaciones PKI • Firma digital realizada en el hardware • Soporta múltiples aplicaciones PKI y smartcard • Soporte para múltiples claves RSA almacenadas en el mismo dispositivo • Interfase Standard USB • Cumple con las certificaciones de CE y FCC • Certificaciones CFCA, OPSEC, Entrust, SECUDE, Dekart, Microsoft y FIPS • Estándares PKCS#11 v2.10, MS CAPI, PC/SC, X.509 v3, SSL v3, IPSec/IKE, ISO 7816 • LED de control de aplicaciones • Carcasa de plástico duro, resistente a golpes • Shell de protección incluido sin costo adicional (tapa para protección del conector USB) • Múltiples opciones de colores e integraciones con terceras partes y posibilidad de personalización de logos • Cumple con las normativas ROHS Guía del ePassNG 19 Especificaciones Técnicas de ePass2000 FT1 Token USB Sistemas operativos Windows: Sistemas Operativos Linux (1) Windows 98 y 98SE, ME Windows 2000, Windows XP Windows Server 2003 Windows Vista Debian 3.1 y superior Redhat 8.0 & 9 y superior RedHat Enterprise 4 Fedora 2.0, 3.0, 4.0 y superior SUSE 9.1, 9.2 & 9.3 y superior Ubuntu 5.04 & 10 y superior Mandrake 10 & 10.1 y superior Sistema Operativo MAC OS MAC OS 8/9 y superior SDK & APIs con soporte para: MSCAPI y PKCS#11 Microsoft, Linux, MAC PKCS#11 v2.11, MS CAPI (Microsoft Crypto API), PC/SC, X.509 v3 Almacenamiento de Certificados, SSL v3, IPSec/IKE, ISO 7816 compatible 8 bit Procesador: 32Kb Tamaño de Memoria (por Modelo): RSA1024, DES, 3DES (triple DES), DSA, Mecanismo de Encripción – Autenticación MD5, SHA-1 en el chip RSA-1024 bits Algoritmos de Seguridad On-Board: FIPS140-2 Nivel 2 Certified Nivel de Seguridad en el Chip G&D STARCOS SPK 2.4 Almacenamiento de datos Encriptados Generación aleatoria de números dentro del chip de Generación de números en el chip: hardware 64 bits ID de Hardware 50x17x7mm Dimensiones (por Modelo): 6 gramos Peso (por Modelo): < 250 mW Disipación de Potencia: 0 a 70 Cº (32 F a 156 F) Temperatura de Operación: -40 a 85 Cº (-40 F a 185 F) Temperatura de Almacenamiento: 0 a 100% sin condensación Humedad: Tipo USB A (Universal Serial Bus) Tipo de Conector: Plástico resistente a golpes, con capuchón para el Carcasa: conector USB a fin de proteger el dispositivo Plástico moldeado de alto impacto, contra rotura. Chasis Mayor a 10 años Retención de datos en la Memoria Como mínimo 500.000 veces Reescritura en la Memoria El ePass Token USB Manager se encuentra disponible en castellano, portugués, chino, japonés e Herramientas de Administración inglés. Setup Multi lenguaje y videos de capacitación Instalación del Middleware No hay costo de licencia de software Licenciamiento Certificaciones y estándares: Introducción a la Familia de ePass Token 20 Actualizaciones No hay costo por actualizaciones de software, las mismas son sin cargo alguno. (1) Otras distribuciones que no se encuentren listadas pueden ser solicitadas y desarrolladas bajo pedido. Opcionales con y sin costo Color Ring Branding El cliente puede definir el color del ePass, dependiendo de la cantidad y la modalidad de adquisición. El cliente puede ordenar el ring para cada uno de los dispositivos. El ePass puede tener un sticker con el logo personalizado, dependiendo del volumen de compra. Guía del ePassNG 21 Familia de ePass1000 Token USB Esta sección tratará sobre la familia de productos de ePass1000. Los productos que pertenecen a esta familia son: ePass1000 (en 2 versiones, ePass1000 8kb y ePass1000 32bk) a su vez otra de las soluciones es el ePass1000ND (Driverless). Las características, usos y aplicaciones descriptas a continuación son iguales para ambos tipos de producto. Seguridad para Aplicaciones de eBusiness El modelo de Infraestructura de Clave Pública y Privada fue desarrollado para posibilitar comunicaciones y transacciones seguras en Internet proveyendo servicios de autenticación, identificación y encripción de datos críticos. ePass1000 es la solución ideal con mejor relación costo beneficio del mercado para aplicaciones PKI. ePass1000 es un token con formato USB; compacto y portátil. ePass1000 fue diseñado para ofrecer autenticación, verificación y servicios de encripción de información; encripción de e-mail; firma digital (Outlook, Outlook Express entre otros) y autenticación de usuarios utilizando SSL en el Internet Explorer, Netscape Communicator, Firefox, Mozilla o cualquier software basado en estándares MS CAPI o PKCS #11. El dispositivo se provee en dos modelos, con diferente capacidad de memoria: 8Kb y 32Kb. Cuenta con un procesador embebido que soporta el algoritmo HMAC-MD5 Hash, un generador de números aleatorios, un robusto y seguro sistema de archivos y un almacenamiento de claves privadas o certificados digitales para autenticar la identidad de un usuario. ePass es un componente crucial en una amplia variedad de aplicaciones, desde un sistema de pago on-line, autenticación a través de 2 factores en redes, hasta administración de licencias de Software, así como también protección de software. Soporta muchas aplicaciones de tarjetas Smart Cards sin requerir de una lectora. Puede ser incorporado a su llavero gracias a su compacto diseño y portabilidad. Es la solución ideal para hacer asegurar aplicaciones de red. ePass1000 soporta los siguientes sistemas operativos, Windows 98/SE, Windows ME, Windows 2000/XP, Windows Server 2003 y Windows Vista, MAC OS 8/9 y superior y Linux. Introducción a la Familia de ePass Token 22 Aplicaciones ePass 1000 • Seguridad en la PC a través del smartcard logon en AD para Windows 2000 / Windows Server 2003 • Firma y encripción de e-mail Standard con Microsoft Outlook / Outlook Express, Internet Explorer, Netscape, Firefox y Mozila Thunderbird • SSL: acceso seguro a la Web a través de Microsoft Internet Explorer y Netscape Navigator, Firefox • Compatibilidad PKI con Windows 98 hasta Windows 2003 en adelante, Microsoft Internet Explorer y Netscape Communicator • Network Logon Seguro • Seguridad en la comunicaciones vía email • Autenticación Remota Segura vía Servidor RAS • Acceso seguro a VPN Microsoft, Checkpoint y CISCO entre otras • Acceso Seguro para Extranets e Intranet • Seguridad en su PC (encriptado de archivos & carpetas – protección de boteo) Aplicaciones E-Business • Aplicaciones para HomeBanking • Transacciones B2B, B2C • Transacciones Seguras para Agentes y operadores de Bolsa de Valores • Cuidado de la Salud - HIPAA • Proveedores de Aplicaciones de Servicios (ASP) • Suscripciones On-line para revistas y periódicos • Cobranzas: Tele-ticket, peajes y estacionamiento • Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa, identificación Militar y más Guía del ePassNG 23 Beneficios del ePass 1000 • Seguro: algoritmo HMAC-MD5 on board, asegura que las credenciales personales son guardadas en forma segura dentro del ePass1000; lejos del alcance de hackers, virus y otras amenazas. • Portabilidad: ePass1000 es Plug and Play y puede ser transportado en un llavero, simplemente desconecte el ePass del puerto USB y llévese consigo la información critica y sus credenciales. • Bajo Costo: ePass1000 puede ser usado para reemplazar smart-cards en aplicaciones de tipo PKI existentes, con la ventaja diferencial que el ePass1000 no requiere ningún tipo de lector especial. • Facilidad de Uso: Interface en castellano. No se requiere ningún desarrollo especial o integración compleja para interactuar con el ePass e Internet Explorer, Outlook, Outlook Express, Mozilla ThunderBird, Firefox y Netscape Communicator • Multi-Uso: ePass puede ser configurado para soportar múltiples claves RSA y diferentes tipos de aplicaciones. • Dos Factores de Autenticación: la seguridad puede ser incrementada al requerirle al usuario ingresar una password de autenticación cuando necesite acceder al ePass1000 Token USB. El concepto Algo que tengo: “el ePass” y algo que conozco: “el PIN del ePass”. • Administración de Password: ePass1000 puede almacenar muchas passwords; el usuario solo necesita recordar el PIN de autenticación al dispositivo. • Integración: los desarrolladores de software pueden usar el módulo del SDK de Feitian (Software Developers Kit) para integrar ePass1000 dentro de las aplicaciones PKI o dentro de sus sistemas ERP y CRM para autenticar a los usuarios que acceden al mismo. Características del ePass 1000 • Autenticación On board HMAC-MD5 challenge-response • Soporta el Standard de aplicaciones Microsoft CAPI • Cumple con las certificaciones CE y FCC • Número serial único de 64-bits • Interfase Standard USB • LED de control de aplicación • Acceso al ePass 1000 basado en Browser vía Controles ActiveX y Java Applets • Tres niveles de seguridad para acceder a los archivos y derechos de administrador • Dos niveles de estructura de archivos de directorio Introducción a la Familia de ePass Token 24 • Carcasa de plástico duro, resistente a golpes • Shell de protección incluido sin costo adicional (tapa de protección) • Múltiples opciones de colores e integraciones con terceras partes y posibilidad de personalización de logos Especificaciones Técnicas del ePass1000 Sistemas operativos Microsoft Sistemas Operativos Linux (2) Sistemas Operativos MAC OS SDK & APIs con soporte para MSCapi y PKCS#11 Certificaciones y estándares: Procesador: Tamaño de Memoria (por Modelo): Mecanismo de encriptación ID de Hardware Algoritmos de Seguridad On-Board: Nivel de Seguridad en el Chip: Dimensiones (por Modelo): Peso (por Modelo): Disipación de Potencia: Temperatura de Operación: Temperatura de Almacenamiento: Humedad: Tipo de Conector: Windows 98 y 98SE Windows ME, Windows 2000, Windows XP, Windows Server 2003. RedHat AS 3.0 & 4.0 RedHat WS 2.0 RedHat 7.3, 8.0 & 9.0 y superior Fedora 2.0, 3.0, 4.0 y superior Mandrake 10.0 & 10.1 Suse 9.1, 9.2, 9.3 Suse 10.0 y superior SlackWare 10.1 & SlackWare 10.2 Ubuntu 5.04 & 5.10 Debian 3.1 RedFlag 4.1 MAC OS 8/9 MAC OS 10 Superior Microsoft Linux MAC PKCS#11 v2.01, MS CAPI (Microsoft Crypto API), PC/SC, X.509 v3 Almacenamiento de Certificados SSL v3, IPSec/IKE, ISO 7816 compatible 8 bit 8Kb y 32Kb RSA 1024, DSA, DES, 3DES, DH, RC2, RC4 64 bits HMAC-MD5 Almacenamiento seguro y encriptado de la información 58x14x7mm (estándar) 8 gramos (estándar) < 250 mW 0 a 70 ºC (32 F a 156 F) -40 a 85 ºC (-40 F a 185 F) 0 a 100% sin condensación Tipo USB A (Universal Serial Bus) (2) Otras distribuciones que no se encuentren listadas pueden ser solicitadas y desarrolladas bajo pedido. Guía del ePassNG Carcasa: Chasis: Retención de Datos en la Memoria: Reescritura en la Memoria: Herramientas de administración Instalación del Middleware Licenciamiento Actualizaciones 25 Plástico resistente a golpes, con capuchón para el conector USB Plástico moldeado de alto impacto, contra rotura. Como mínimo 10 años Mayor a 100.000 veces El ePass1000 Manager se encuentra disponible en inglés, chino y japonés. Setup Multi lenguaje y videos de capacitación. No hay costo de licencia de software. No hay costo por actualizaciones de software, las mismas son sin cargo alguno. Opcionales con y sin costo Color Ring Branding El cliente puede definir el color del ePass, dependiendo de la cantidad y la modalidad de adquisición. El cliente puede ordenar el ring para cada uno de los dispositivos. El ePass puede tener un sticker con el logo personalizado, dependiendo del volumen de compra. 26 Introducción a la Familia de ePass Token Especificaciones Técnicas de ePass1000ND Sistemas operativos Microsoft Soportados: Windows 98 y 98SE Windows ME Windows 2000 Windows XP Windows Server 2003 SDK & APIs con soporte para: MSCAPI y PKCS#11 Microsoft Certificaciones y estándares: PKCS#11 v2.01, MS CAPI, PC/SC, X.509 v3 Almacenamiento de Certificados, SSL v3, IPSec/IKE Procesador 8 bits Tamaño de Memoria 8 Kb Mecanismo de encriptación Algoritmos de Seguridad On-Board: Nivel de Seguridad en el Chip: ID de Hardware Dimensiones (por Modelo): Peso (por Modelo): Disipación de Potencia: Temperatura de Operación: RSA 1024, DSA, DES, 3DES, DH, RC2, RC4 TEA-MD5 Almacenamiento Seguro y encriptado de la información. 64 bits 50x17x7mm (standard) 6 gramos (standard) < 250 mW 0 a 70 Cº (32 F a 156 F) Temperatura de Almacenamiento: -40 a 85 Cº (-40 F a 185 F) Humedad: 0 a 100% sin condensación Tipo de Conector: Carcasa: Chasis: Retención de la información en la Memoria: Sobre escritura de las celdas en la Memoria: Herramientas de Administración Instalación del Middleware Licenciamiento Tipo USB A (Universal Serial Bus) Plástico resistente a golpes, con capuchón para el conector USB a fin de proteger el dispositivo. Plástico moldeado de alto impacto, evidente a la rotura. Mayor a 10 años. Como mínimo 100.000 veces. El ePass1000ND Manager se encuentra en Castellano, Ingles, Portugués, Chino y Japonés. Setup Multi lenguaje y videos de capacitación. No hay costo de licencia de software. Guía del ePassNG 27 Familia de ePass 3000 Token USB – BioPass 3000 En esta sección de la guia describiremos 2 de las soluciones y características de los dispositivos ePass3000, entre los cuales se encuentran ePass3000 y BioPass3000 (híbrido Token USB – dispositivo biométrico). Descripción del BioPass 3000 Token El BioPass3000 Token USB es el primer y único dispositivo a nivel mundial para almacenamiento de Certificados Digitales que ofrece la tecnología de reconocimiento de las huellas dactilares para sustituir la utilización del PIN de acceso al dispositivo criptográfico. Este nuevo concepto busca reforzar la política de seguridad y facilitar el uso de los Tokens USB en el ambiente de los Certificados Digitales. BioPass es un token usb + lector biométrico basado en la tecnología de una smartcard portátil. Combina un módulo sensor de huella dactilar, un módulo de verificación de huella dactilar y un ePass token USB. Con el almacenamiento de las huellas dactilares el BioPass usa una verificación única e inequívoca, alternativa a la verificación tradicional de claves. Características del ePass BioPass 3000 Token • Procesador smartcard de 32-bits con procesamiento de huellas digitales a alta velocidad • 128 kb de memoria on board, 64 K accesible para el usuario a fin de almacenar passwords, certificados digitales, credenciales seguras, etc. • Generación on board del par de claves RSA de 1024-bit en 2 segundos • Sensor de huellas dactilares por desplazamiento, de larga vida útil • Resistente a la abrasión. Soporta más de un millón de deslizamientos. • La información privada no puede ser exportada fuera del dispositivo. • Compatible con PKI, se proveen interfaces CSP (MSCapi) y PKCS#11 • Reintentos de identificación de huella dactilar ilimitados, solo con la huella correcta se puede acceder al dispositivo. 28 Introducción a la Familia de ePass Token Especificaciones Técnicas del ePass BioPass 3000 Token Sistemas Operativos Soportados API & Soporte estándar Algoritmos de Encriptación en Chip Logitud de Clave y tipo Nivel de Seguridad del Chip Voltaje Consumo de Energía Windows 98SE Windows Me Windows 2000 Windows XP Windows 2003 Linux Mac OS PKCS # 11 v2.11, MS CAPI, PC/SC, X.509 v3 Almacén de Certificados, SSL v3, IPSec, ISO 7816 Compatible RSA, DES, 3DES, MD5, SHA-1 RSA 2024 / 1024 / 512 bits on board Datos Encriptados 5V(VIA Puerto USB) 80 - 150mA Temperatura de Operación: 5 ~ 40°C Temperatura de Almacenamiento: 0 ~ 50°C Humedad: 20 ~ 80% Carcasa: Conector (cable - dispositivo) Modo de Importación de Huella Plástico resistente a golpes Puerto USB-Mini USB Deslizamiento Procesador 32 Bits Espacio de Almacenamiento 64 Kb Reescritura en la Memoria: Mayor a 100.000 Veces Memoria de Almacenamiento de Datos Como mínimo 100 Años Vída Útil Sensor 1.000.000 deslizamientos HBM (Modelo Cuerpo Humano) CMOS I/O < 2KV Superficie On ± 16KV Tiempo de Captura de Huella < 1S Tiempo de Identificación < 1S Modo de Encaje Tasa de Falsa Aceptación Tasa de Falso Rechazo Número Máximo de Huellas Dactilares Almacenadas On-chip 1 : 1; 1 : N 0.1% ~ 0.01% 0.01% ~ 0.001% 8 Niveles de Encaje 3 Niveles Reintentos Posibles de Huella Dactilar Ilimitados Indicadores de Estado 2 LEDs Guía del ePassNG 29 Características del ePass3000 Token USB • Único Token USB con un procesador smartcard de 32-bits • Generación on board del par de claves RSA de 1024-bit en 2 segundos • Generación on board del par de claves RSA de 2048-bit • Sistema operativo propietario - FEITIAN COS • Desarrollado para soportar algoritmos RSA, DES, 3DES, SHA-1 y MD5 • Número de serie de hardware único de 64-bits • Generación de números aleatorios en el hardware • 128 kb de memoria on board, 64 Kb accesible para el usuario a fin de almacenar passwords, certificados digitales, credenciales seguras, etc. • Soporte para Smartcard Logon de windows • Compatible con PKI, se proveen interfaces CSP (MSCapi) y PKCS#11 • Se proporcionan interfaces estándares de seguridad para comunicarse con el dispositivo (CSP y PKCS#11) • Soporte para múltiples claves almacenadas en el mismo dispositivo • Firma digital realizada en el hardware • Soporta el estándar de certificados X.509 v3 • Integración inmediata con Internet Explorer, Netscape y Firefox • Accesible mediante controles ActiveX o Java Applet con el explorador. • Dispositivo estándar USB 1.1, soporta la interface para USB 2.0 30 Introducción a la Familia de ePass Token Especificaciones Técnicas del ePass3000 Token Sistemas operativos Windows: Certificaciones y estándares: Procesador: Tamaño de Memoria (por Modelo): Mecanismo de Encripción – Autenticación en el chip Algoritmos de Seguridad On-Board: Tiempo de Generación del Certificado Generación de números en el chip: ID de Hardware Dimensiones (por Modelo): Peso (por Modelo): Disipación de Potencia: Operacion Voltaje Temperatura de Operación: Temperatura de Almacenamiento: Humedad: Tipo de Conector: Tipo de interfaces Carcasa: Chasis Material Retención de datos en la Memoria Reescritura en la Memoria Estandares Herramientas de Administración Instalación del Middleware Licenciamiento Actualizaciones Windows 98SE Windows ME Windows 2000 Windows XP Windows Server 2003 Windows Vista PKCS # 11 v2.11, MS CAPI (Microsoft Crypto API), PC/SC, X.509 v3 Almacenamiento de Certificados, SSL v3, IPSec/IKE, y cumple con la ISO 7816 32 bits 128 kb total 64k (memoria del usuario) RSA, DES, 3DES (triple DES), SHA-1 MD5 y SSF33 RSA 512/1024/2048 bits, DES, 3DES, SHA-1 Menor a 2 segundos aprox. Generación aleatoria de números dentro del chip de hardware 64 bits 58*19*9mm (D1) 10.8g < 500 mW <100mA 5v 0 a 70 Cº (32 F a 156 F) -40 a 85 Cº (-40 F a 185 F) 0 a 100% sin condensación Tipo USB A (Universal Serial Bus) Dispositivo USB 1.1, USB 2.0 Tipo A, tasa de transferencia de la interfaz 12Mbps Plástico resistente a golpes, con capuchón para el conector USB a fin de proteger el dispositivo Plástico moldeado de alto impacto, contra rotura. ABS (colophony) y PC (poli carbonato) Mayor a 10 años Mínimo 500.000 veces Cumple con los estándares CE y FCC El ePass3000 Manager se encuentra disponible en Castellano, Portugués, Chino, Japonés e Ingles. Setup Multi lenguaje y videos de capacitación No hay costo de licencia de software No hay costo por actualizaciones de software, las mismas son sin cargo alguno. Guía del ePassNG 31 Opcionales con y sin costo Color El cliente puede definir el color del ePass, dependiendo de la cantidad y la modalidad de adquisición. Ring El cliente puede ordenar el ring para cada uno de los dispositivos. Branding El ePass puede tener un sticker con el logo personalizado, dependiendo del volumen de compra. Introducción a la nueva generación: ePassNG 32 2. Introducción a la nueva generación: ePassNG ePassNG es la Nueva Generación de productos de seguridad de información, totalmente independiente de la plataforma en la que se instala. Básicamente provee soporte de hardware para las capas superiores, que pertenecen al grupo de aplicaciones PKI. Los certificados, el par de claves y cualquier otra información clasificada se encuentran almacenados en forma segura dentro del ePass Token USB. ePassNG proporciona una interface de programación compatible tanto con PKCS#11 y CryptoAPI de Microsoft, de este modo se garantiza la compatibilidad del producto con la mayoría de las aplicaciones PKI existentes en el mercado. Para los desarrolladores de software “ISVs” (Independent Software Vendors) es muy fácil de usar, y desde ya pueden desarrollar sus aplicaciones con soporte PKI e integrarlas con los dispositivos ePass Token con absoluta sencillez, gracias a la implementación de las interfaces estándar antes mencionadas. Guía del ePassNG 33 Por otra parte, como consecuencia de la simple estructura del framework, los diferentes proveedores de hardware pueden integrar sus productos al framework de ePassNG implementando, lo que denominamos un TSP (Token Service Provider), resultando absolutamente sencillo para integrar en sus soluciones de hardware al framework PKI. Este capítulo tratara los siguientes temas: # # Estructura del framework ePassNG Características y funcionalidades del ePassNG Dispositivos Hardware que soporta ePass NG El Framework ePassNG fue diseñado para soportar diferentes dispositivos hardware, como se explicará en las siguientes secciones. Actualmente, ePassNG soporta los siguientes ePass Tokens USB de Feitian: # # # # ePass1000ND ePass2000 FT11Token USB ePass2000 FT12 Token USB ePass3000 Estructura del framework ePassNG ePassNG proporciona las interfaces de programación para los estándares PKCS#11 y CryptoAPI (la Crypto API de Microsoft) a fin de integrar el hardware de ePass con las aplicaciones PKI. Los desarrolladores de software pueden crear sus propias aplicaciones PKI basándose en cualquiera de estos estándares, y lograrán una robusta integración con los dispositivos ePass Token USB y el framework ePassNG. Además, las interfaces proporcionadas por ePassNG pueden integrarse con cualquier aplicación PKI estándar realizando una pequeña configuración. Introducción a la nueva generación: ePassNG 34 La estructura framework del ePassNG se muestra en la figura 1-1. Figura 1-1 Se puede ver en la figura 1-1 que el framework del ePassNG contiene cinco niveles o capas: capa de hardware, capa de núcleo del driver, capa abstracta de hardware, capa de interface de aplicación y la capa de la aplicación. Guía del ePassNG $ 35 Capa de Hardware Esta capa es la infraestructura del framework. Contiene varios tokens incluyendo sus circuitos de hardware, programas de firmware y cables. Cualquier token compatible con el estándar PC/SC puede ser soportado por esta capa, como por ejemplo: ePass1000, ePass1000ND, ePass Token USB, ePass3000, BioPass Token 3000, combinaciones de otras lectoras, smartcards y dispositivos USB de terceras empresas, etc. La característica común es que los tokens pueden ser controlados y accedidos usando funciones del sistema operativo a través del Administrador de Recursos de la Smart Card. Los tokens también podrían ser dispositivos compatibles con HID (Human Interface Device/Dispositivo de Interface Humana), como por ejemplo el ePass1000ND (non-driver / Token USB lanzado por Feitian que no requiere la instalación de drivers), tokens USB flash disk (ePass EF – Solo producido bajo pedido) y hasta archivos en el disco rígido. Distintas clases de tokens o varios tokens del mismo tipo podrían trabajar todos juntos. $ Capa de Núcleo del Driver La capa del Núcleo del Driver administra la comunicación de datos entre la PC cliente y la capa del hardware, a su vez maneja y administra los pedidos de acceso desde la capa TSP. para los tokens que soportan el estándar PC/SC. Esta capa trabaja como driver para el hardware compatible con PC/SC y para el sistema operativo a través del administrador de recursos de la Smart Card. Para los tokens compatibles con HID, esta capa es reemplazada por los drivers embebidos en el sistema operativo. $ Capa Abstracta de Hardware La capa abstracta del hardware proporciona interfaces abstractas para la capa de la interface de aplicación. Las comunicaciones entre la PC y los diferentes dispositivos (incluyendo tokens) utilizan esta capa. Este diseño oculta eficientemente la diferencias entre hardware. La implementación de software de esta capa se denomina “TSP“(Token Service Provider) $ Capa de Interface de Aplicación La capa de interface de aplicación proporciona las implementaciones estándar de PKCS#11 y CryptoAPI para la capa superior de aplicaciones PKI. También es proporcionada una inteface PC/SC compatible con el estándar de Microsoft®. Los desarrolladores pueden desarrollar aplicaciones con el conjunto de funciones de este estándar con las cuales están familiarizados. Esta interface es independiente de la plataforma y podría ser aplicada a cualquier plataforma que sea compatible con ePassNG Introducción a la nueva generación: ePassNG 36 $ Capa de Aplicación La capa de aplicación incluye las aplicaciones que forman parte del framework de ePassNG y cualquier otra aplicación que utilice el hardware de ePass. Como ePassNG proporciona diferentes tipos de interfaces estándar, ésta es compatible con la mayoría de las aplicaciones existentes y además los desarrolladores pueden usar los conjuntos de interfaces con las que se encuentran familiarizados para diseñar sus propias aplicaciones. Características de Framework ePassNG $ Independiente de la Plataforma En la actualidad ePassNG soporta diferentes sistemas operativos, incluyendo Windows, Redhat, Mandrake, Mac OS X y plataformas Knoppix Linux. Las bibliotecas que integran la solución usan los mismos códigos (a diferencia de algunas otras soluciones que usan diferentes códigos para cada una de las diferentes plataformas) esto es fundamental a la hora de proveer un verdadero producto independiente de la plataforma. Se incorporarán muchas otras plataformas en un futuro próximo. $ Interface Estándar ePassNG proporciona interfaces PKI estándar para las aplicaciones de capa superior, incluyendo RSA PKCS#11 y MS CryptoAPI (aunque esta última interface sólo puede ser utilizada bajo plataformas Microsoft Windows). Todas las aplicaciones que usen cualquiera de las anteriores interfaces podrían utilizar el Framework de ePassNG para almacenar certificados y claves, procesar operaciones de encripción, etc. También se proveen interfaces estándar para la extensión del soporte de hardware de los tokens de fabricantes de terceras partes, de forma que puedan integrar sus soluciones de hardware con el Framework de ePassNG. $ Excelente Compatibilidad ePassNG es totalmente compatible con el hardware de los productos ePass3000, ePass Token USB FT12 y ePass1000ND de Feitian. Además, los certificados generados por ePassNG en una plataforma podrían ser usados en otra plataforma sin ningún problema. Esto les permite a los usuarios usar identificaciones únicas a través de distintas plataformas. $ Soporte para Varios Tokens El diseño abierto de ePassNG permite soportar diferentes clases de tokens, incluso trabajando al mismo tiempo. El usuario puede elegir cualquier token de acuerdo al uso que se le dará. Guía del ePassNG 37 Si se implementa el TSP correspondiente, el ePassNG podría incluso soportar varios tokens virtuales, como ser un disco de almacenamiento flash, un archivo de disco, una disquetera, un CD-ROM, etc. $ Extensibilidad Los fabricantes de terceras partes pueden integrar sus productos al framework de ePassNG tan solo firmando el acuerdo correspondiente con Feitian. Si se usa la interface de desarrollo TSP proporcionada por Feitian, los vendedores sólo necesitan hacer unas pequeñas modificaciones, o incluso nada, para la integración. $ Creciendo Cada Día Los productos de Feitian, ePass3000, ePass Token USB FT12 y ePass1000ND han obtenido varias certificaciones de terceras partes, tanto nacionales como internacionales, incluyendo Check Point, CFCA, etc. Haciendo referencia a las ventajas de aquellos productos exitosos, ePassNG se vuelve más estable y seguro. Obtendrá aún más certificaciones en un futuro próximo. Guía del ePassNG 3. 39 Instalación y Desinstalación del ePassNG Instalación del ePass Middleware ¿Que es el Middleware? Se denomina “Middleware” al instalador de los drivers correspondientes al producto ePass Token USB, es quien le da la compatibilidad a la PC para que la misma pueda trabajar y reconocer el dispositivo criptográfico como es el ePass. El mismo se encuentra en varios idiomas, entre ellos castellano, inglés, portugués, chino y japonés. Esto es un importante beneficio que pesa en la decisión sobre la elección de una herramienta para autenticar usuarios, ya que ePass es el único producto cuyas herramientas se proveen con soporte de habla Hispana. Ningún otro producto ofrece esta característica. Si Ud. tiene en su poder el CD del ePassNG, ejecute el archivo de instalación ubicado en la carpeta “Redistribucion\Usuario Final” del CD. También puede encontrar la versión para el Administrador en la carpeta “Redistribucion\Administrador “. La instalación del middlware varía insignificantemente entre ambas versiones. 40 Instalación y Desinstalación del ePassNG Al hacerlo, se le mostrará la siguiente pantalla en la que debe seleccionar el idioma deseado para la instalación: Si lo desea, cambie el idioma actual seleccionado, eligiendo otro desde la lista desplegable. Haga click en “Aceptar” para confirmar el idioma seleccionado. Haga click en “Siguiente”. En la próxima pantalla de la guía de instalación, lea atentamente el acuerdo de licencia. Guía del ePassNG 41 Seleccione “Acepto el contrato” si está de acuerdo con el mismo y haga click en ”Siguiente” para continuar. 42 Instalación y Desinstalación del ePassNG Seleccione la carpeta en la que desea instalar el contenido de ePassNG. Puede cambiar la ubicación por defecto escribiendo la ruta a la carpeta, o clickeando en “Examinar” para seleccionar la nueva carpeta gráficamente. Una vez que haya elegido la ubicación donde se instalarán las herramientas del ePass token, haga click en “Siguiente” para continuar. Guía del ePassNG 43 Por favor, confirme la selección y haga click en “Instalar”. Tenga en cuenta que al presionar en “Instalar” comenzará el proceso de instalación del Middleware y las herramientas para poder comenzar a utilizar el dispositivo de autenticación y portabilidad de certificados del ePass token. Espere a que el proceso de instalación finalice. 44 Instalación y Desinstalación del ePassNG Ya ha instalado el Middleware y las herramientas necesarias para trabajar con el ePass Token en su sistema. Haga click en “Finalizar” y reinicie en caso de ser necesario (a partir de Windows 2000, no es necesario). En el sistema operativo Windows, concluirá el proceso de instalación cuando conecte un dispositivo en el puerto USB de su PC. Al hacerlo, verá los siguientes recuadros (imágenes capturadas en un Windows XP, dependiendo de su sistema operativo, estas imágenes podrían cambiar o incluso no aparecer). Una vez instalado el middleware del hardware compatible ePassNG en su sistema, al conectar un dispositivo recibirá el siguiente mensaje desde el administrador de certificados en el system tray: Guía del ePassNG 45 Desinstalación Para eliminar todas las herramientas, documentación y demás componentes instalados, inicie el asistente de desinstalación desde “Inicio > Programas > MacroSeguridad > [Nombre del Producto] > Desinstalar” donde [Nombre del Producto] es el nombre que corresponda al hardware instalado. O bien, puede desinstalar el software desde “Agregar o quitar programas”, desde el menú “Panel de Control” > “Agregar o Quitar Programas” como se muestra en la imagen a continuación (en la imagen, el producto instalado es ePass2000 FT12. Ese texto varía de acuerdo al hardware instalado). Seleccione el componente adecuado y haga click en “Quitar”: Presione sobre el botón “Quitar” e inicie el proceso de desinstalación. Se le pedirá confirmar si desea desinstalar el software: 46 Instalación y Desinstalación del ePassNG Presione en “Si”“. Desinstalación del Middleware También podría desinstalar solamente el middleware de ePass, sin eliminar las herramientas para ese producto. Inicie el asistente de desinstalación desde el menú “Panel de Control” Guía del ePassNG 47 Se iniciará el asistente de desinstalación (El nombre del producto varía de acuerdo al hardware instalado. En este caso ePass2000 FT12): Seleccione “Desinstalar” Aguarde mientras se procede a desinstalar el Middleware de ePass. 48 Y finalmente haga click en “Terminar” Le recomendamos reiniciar el Sistema Operativo. Instalación y Desinstalación del ePassNG Guía del ePassNG 49 4. Manual del Administrador La interface de las herramientas de administración de ePassNG y sus métodos de operación son similares bajo las diferentes plataformas para facilitar el trabajo de aprendizaje de los usuarios y administradores. Además, ePass1000ND, ePass Token USB FT11, ePass Token USB FT12, ePass3000 comparten la misma herramienta de administración. Hay dos versiones de la herramienta de administración de ePassNG: la versión para el Usuario Final y la versión del Administrador. La versión del administrador proporciona mayores funcionalidades, entre ellas las de “Formatear el ePass Token”, “Desbloquear PIN” y “Cambiar SO PIN”. En este capítulo explicaremos en detalle la utilización de la versión para el administrador de la herramienta de ePassNG con el producto ePass3000 bajo el Sistema Operativo Windows XP con Service Pack 2.® % Formateo del ePass Token (Sólo disponible para la versión del administrador) % Desbloquear PIN de Usuario (Sólo disponible para la versión del administrador) % Cambiar el PIN del SO (Security Officer) (Sólo disponible para la versión del administrador) Manual del Administrador 50 % Autenticarse al Administrador del ePassNG mediante el Login (Verificar el PIN del usuario) % Visualizar la información del Slot y del Token % Cambiar el PIN del usuario del ePass Token % Cambiar el nombre del ePass Token % Administrar la información contenida dentro del ePass Token Requerimientos mínimos Para trabajar con los dispositivos de autenticación ePass, Ud deberá contar con los siguientes requerimientos mínimos: • Una PC con al menos 15 MB de espacio libre en disco • Windows 98/98SE, ME, 2000, XP, Windows Server 2003 y Windows Vista • Internet Explorer 5.0 o superior • Al menos un puerto USB, con soporte USB habilitado en el BIOS. • Un dispositivo ePass, en formato de Token USB o Smartcard (en el último caso, necesitará también un lector Smartcard) Como la herramienta de administración del ePassNG está basada en el middleware del ePass (el middleware instala los drivers que le dan la compatibilidad al sistema operativo para poder operar con los tokens ePass) y se accede al hardware del token, antes de usar el GUI de la herramienta deberá verificar que los productos de ePassNG (incluyendo el middleware y el driver del hardware) hayan sido debidamente instalados. De no ser así por favor contacte a su administrador. Interface del Administrador PKI de ePassNG Ejecute la herramienta de administración. El sistema mostrará la interface como en la figura 4-1. Guía del ePassNG 51 La columna de la izquierda muestra los slots soportados. El panel de la derecha muestra la información básica de cada uno de estos slots. Figura 4-1 Interface sin Token conectado Si conecta un Token USB con el nombre de “ePass Token” en el puerto USB de la PC la herramienta reconocerá la información básica del token y mostrará la interface como se muestra en la figura 4-2. Manual del Administrador 52 Figura 4-2 Interface con el Token conectado En la imagen anterior, puede verse en el panel de la izquierda que en el slot “0”, ahora se encuentra conectado un dispositivo. El nombre de este dispositivo se encuentra entre corchetes, y facilita la identificación del token. En este caso, el ePass3000 conectado tiene el nombre “ePass Token”. Información Mostrada Después de Conectar el Token Haga Click sobre cualquier slot que contenga un dispositivo ePass token, su información y las posibles operaciones se mostrarán en el lado derecho, como se puede ver en la figura 5-3 La información mostrada a la derecha incluye el estado del slot, la información detallada del token y los botones de operaciones posibles. Tenga en cuenta que la información mostrada puede variar según el tipo de dispositivo conectado. Así, por ejemplo, se tendrá una pantalla similar a la de la figura 4.3a para el dispositivo ePass3000, o como la 4.3b para ePass Token USB FT12. Los botones de operación le brindan una nueva vía de acceso a las operaciones que pueden realizarse sobre cualquier ePass Token. Guía del ePassNG Figura 4-3a Información mostrada después de conectar un ePass3000 Figura 4-3b Información mostrada después de conectar un ePass Token USB FT12 53 Manual del Administrador 54 Información Mostrada Cuando No Se Encuentra Conectado el Token Si hace click sobre alguno de los slots vacíos, también obtendrá información relativa a ese slot como ser versión de hardware y firmware, descripción, etc, como muestra la figura 4-4 Figura 4-4 Información mostrada cuando no está conectado el Token Operaciones Básicas del ePass Token A continuación se enumeran las diferentes operaciones aplicables a los dispositivos ePass Token USB. Puede acceder a estas operaciones desde el menú “Operación”, desde el menú contextual (haciendo click derecho sobre algún ePass Token en la lista de la izquierda), con los botones de la parte inferior del panel derecho de la aplicación cuando haya seleccionado algún ePass de la lista del panel izquierdo, o utilizando una combinación de teclas particular. Login Antes de loguearse, el usuario sólo puede ver los objetos públicos del token (certificado y clave pública). Los objetos privados sólo podrán ser accedidos luego de que el usuario haya ingresado correctamente el PIN en la operación de Login. Seleccione la opción de Login por cualquiera de los medios posibles, y el sistema mostrará la ventana correspondiente, como se ve en la Figura 4-5. & NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + L Guía del ePassNG 55 FIgura 4-5 Ventana de Login Luego de ingresar el PIN correcto, haga click sobre el botón “Login” para poder terminar exitosamente el proceso de autenticación. Al loguearse, la aplicación lo llevará directamente a la sección de Administración de Certificados, donde podrá ver la información almacenada en la memoria del chip smartcard, como ser certificados, claves públicas y privadas. El botón Login de las operaciones del usuario no de deshabilita en ningún momento, aunque el usuario ya se haya logueado. En caso de que el usuario ya esté logueado e intente hacerlo de nuevo, la aplicación sólo cambiará la pantalla al estado de información de los slots (figura 5-2). & NOTA: si se ingresa en forma incorrecta el PIN 10 veces consecutivas, el dispositivo se bloqueará y no podrá ser accedido aunque el usuario ingrese correctamente el PIN. Sólo podrá ser desbloqueado por el administrador (ver sección Desbloquear PIN de Usuario). Cambiar el PIN de Usuario Por seguridad, se le recomienda al usuario que cambie el PIN periódicamente. Para realizar el cambio del PIN o password de acceso al dispositivo, seleccione la operación “Cambiar PIN de Usuario” por cualquiera de las vías posibles. El sistema mostrará una ventana como la de la figura 4-6. El usuario puede cambiar el PIN tantas veces como quiera. & NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + P Manual del Administrador 56 Figura 4-6 Cambio del PIN de Usuario. Cuando se quiera cambiar el PIN del usuario, el mismo tendrá que ingresar primero el PIN actual, luego ingresar el nuevo PIN y finalmente confirmarlo, ingresándolo nuevamente. Haga click sobre el botón “Aceptar” para que la operación sea procesada. Cambio de PIN exitoso & NOTA: El PIN por defecto del ePass es “12345678”. Al finalizar la operación, el usuario quedará logueado automáticamente. Guía del ePassNG 57 Consideraciones sobre el PIN La password (o PIN) del dispositivo es la medida de seguridad más importante para mantener la información tanto sea personal (homebanking, certificados digitales, etc.) o de su compañía de la forma más segura. Entonces, elegir una password que sea efectiva resulta una acción crítica. Muchas veces se eligen passwords fáciles de memorizar, fecha de cumpleaños, números de teléfonos conocidos, nombres propios, la combinación de las primeras letras de los integrantes de la familia, etc. Para combatir esta práctica, muchas compañías utilizan como política de seguridad interna, usar passwords complejas, de más de 10 caracteres. Los usuarios entonces, para recordarlas, las anotan y las pegan sobre el monitor o debajo del teclado, rompiendo de esta forma el alto nivel de seguridad que pretendía alcanzarse. También es importante poder elegir caracteres que no se encuentren en una posición relativamente cercana en el teclado, y que no tengan un orden determinado. Ejemplos de passwords que no deben utilizarse en este sentido serían “Abcde…”, “asdf…”, “ñlkj…”, “0987poiu”, etc. por ser muy cercanas en el teclado, o por contener secuencias de caracteres previsibles. Las mejores passwords son de al menos 8 caracteres, y deben tener una combinación de letras (mayúsculas y minúsculas), números en un orden aleatorio, símbolos de puntuación, etc. Una buena práctica es partir de una palabra conocida, e ir modificándola de acuerdo a ciertas reglas de apreciación. Por ejemplo, cambiar una “i” por un “1”, una “o” por un “0” o una “a” por “@”. O elegir los caracteres ASCII que se formen utilizando su fecha de nacimiento. Por ejemplo, si su fecha de nacimiento es el 11-7-1960, se podrían utilizar los caracteres ASCII 111 – 107 – 119 – 160, formándose la secuencia: “okwá”.A esto se le pueden agregar los separadores correspondientes “o-k/wá” Podemos partir del siguiente ejemplo: Macroseguridad M@cRosegur1dad M@cR0Se9ur1dad Manual del Administrador 58 Y reemplazar algunos caracteres que no serán difíciles de olvidar M@cR0Se9ur1da/ Con nuestras sugerencias le aseguramos que obtendrá una password con un grado de complejidad que será prácticamente imposible de ser atacada por medio de la fuerza bruta. Cambiar el Nombre del Token Los tokens, generalmente, se distinguen entre sí mediante su número de serie. Sin embargo los números de serie son difíciles de recordar. Por esta razón, puede usarse un nombre elegido por el usuario para identificarlo. Haga click sobre el botón “Cambiar Nombre del Token” y se le mostrará una ventana como la de la figura 4-7. & NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + P Figura 4-7 Cambiar Nombre del Token Tenga en cuenta que lo que Ud. establezca como nombre del ePass no puede superar los 32 caracteres. Ingrese el nombre que desea para el token y presione el botón “Aceptar”. Para cambiar el nombre del token se le pedirá que ingrese el PIN del usuario. Ingréselo y presione nuevamente “Aceptar”. Una ventana de confirmación aparecerá (figura X), presione “Aceptar” y el sistema se actualizará y mostrará el nuevo nombre del token entre corchetes, en la lista de slots de la izquierda. Guía del ePassNG 59 Login para confirmación de cambio de nombre Cambio de nombre finalizado Formatear ePass Token & NOTA: Al procesar esta operación, TODA la información dentro del token, incluyendo certificados PKI, claves públicas y privadas e información del usuario serán totalmente eliminadas. Si desea eliminar toda la información del dispositivo y reestablecer la funcionalidad PKI, seleccione la operación “Formatear ePass Token”. El sistema mostrará una ventana como la de la figura 4-9. & NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + I Manual del Administrador 60 Figura 4-9 Formatear ePass Token El proceso de inicialización del token necesita que el administrador ingrese el SO PIN (por defecto es “12345678” – para mayor información contacte a su Administrador de Sistemas). El PIN del usuario y el nombre del token deberán ser restablecidos y toda la información del token será borrada. Si la operación fue exitosa, se le mostrará un mensaje como el siguiente: También podrá ver la confirmación en el system tray: Guía del ePassNG 61 Luego que la inicialización se complete, el sistema se actualizará y cambiará el estado del token, a un estado en el que el usuario se encuentra logueado. Desbloquear Token Si el usuario se equivoca al ingresar el PIN 10 veces consecutivas, el mismo será bloqueado. A partir de entonces, aunque el usuario ingrese correctamente el PIN, no podrá acceder al ePass Token. El administrador deberá desbloquear el ePass a través de la operación “Desbloquear el ePass”. El sistema mostrará una pantalla como la que se muestra a continuación. & NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + B Desbloquear Token Para desbloquear el PIN del usuario, se deberá ingresar el SO PIN (contacte a su administrador en caso de necesitar asistencia), un nuevo PIN de usuario y la confirmación del último. Haga 62 Manual del Administrador click sobre el botón “Aceptar” para desbloquear el token. Si el proceso es correcto, se le mostrará la siguiente ventana: Luego de desbloquear el dispositivo, el usuario se encuentra logueado. En adelante, el usuario sólo podrá loguearse al token con el PIN que acaba de establecerse hasta que cambie la password por una de su elección. Al volver a conectar el dispositivo, se le presentará una ventana como la que se muestra a continuación. Es recomendable que el usuario cambie el PIN apenas se le presenta esta advertencia. De ser posible, el Administrador debe estar presente para confirmar que el PIN por defecto ya no es válido. Guía del ePassNG 63 Cambiar SO PIN (Security Officer PIN – PIN del Administrador) Los dispositivos ePass token son provistos con una password por defecto para el Security Officer: “12345678”. Se recomienda que el administrador o responsable de sistemas cambie este password por defecto tan pronto como tenga el ePass Token en su poder. Seleccione la operación “Cambiar SO PIN” y el sistema mostrará la siguiente ventana . & NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + M Cambiar SO PIN Cuando se quiere cambiar el SO PIN (Security Officer), se deberá ingresar el SO PIN actual, ingresar el nuevo SO PIN y luego confirmarlo ingresándolo nuevamente. Para procesar la operación haga click en “Aceptar”. Se le mostrará una ventana como la siguiente si el proceso ha sido exitoso. Manual del Administrador 64 & NOTA: al igual que con el PIN del usuario, el ingreso del SO PIN tiene una cantidad limitada de reintentos antes que el dispositivo se bloquee. En este caso son 5 los reintentos posibles. Para desbloquearlo necesitará formatear el dispositivo con una herramienta especialmente desarrollada para ello. En tal caso deberá ponerse en contacto con su reseller autorizado o bien con MacroSeguridad. & El SO PIN (PIN de Administrador) por defecto es “12345678” Administración de Información sin Loguearse En el panel izquierdo de la herramienta de administración, cada token posee una función para administrar la información interna. Si se hace click sobre “Administración de Certificados” sin estar autenticado frente al dispositivo, el sistema mostrará la información pública del token y las operaciones que se pueden realizar con esa información en el lado derecho de la ventana, como se muestra a continuación. Guía del ePassNG 65 Administración de Información sin estar Logueado Administración de Información al estar Logueado Luego de autenticarse al ePass, la inteface que permite la administración de datos se verá como en la figura 4-10. Manual del Administrador 66 Figura 4-10 Administración de Información al estar Logueado A diferencia de la interface presentada cuando el usuario NO está logueado, ahora podrá verse tanto la información pública como la privada. El botón “Importar” sólo se encontrará habilitado luego de que el usuario se haya autenticado. El botón “Exportar” se habilitará cuando un certificado sea seleccionado. El botón “Ver” siempre se encuentra habilitado salvo cuando se seleccione el nombre del token. El botón “Eliminar” está habilitado sólo luego de autenticarse. El usuario quedará automáticamente autenticado luego de realizar alguna de las siguientes operaciones: 1. login del usuario, 2. formateo del ePass, 3. cambio el PIN del usuario 4. desbloqueo del ePass, Guía del ePassNG 67 Administrando sus Certificados y Claves Personales Importar Certificado Usted puede importar certificados al ePass Token desde esta herramienta, lo que le permite llevarlos a todos lados. Aparte de ser práctico, una ventaja muy importante de llevar el certificado en el ePass token es que una vez que el certificado se encuentre en el dispositivo, su clave privada nunca podrá extraerse, manteniéndola segura. Para importar certificados al USB token simplemente clickee en el botón Importar en la sección inferior de la aplicación. Este botón solo estará habilitado si Ud. se ha logueado al dispositivo previamente. El sistema mostrará una ventana como la de la figura siguiente. Importar Certificado Ingrese la ruta donde se encuentra su archivo de certificado, o haga click en el botón “...” para buscarlo entre sus carpetas. 68 Manual del Administrador Los certificados PKCS#12 (con extensión pfx, p12) pueden necesitar una contraseña para acceder al certificado. Al importar otro tipo de certificados, el sistema deshabilitará el ingreso de la contraseña. Ingrese el password del certificado (en caso de que esté protegido) y haga click en “Aceptar”. Podrá ver el progreso de la importación en las siguientes imágenes: Guía del ePassNG 69 El certificado ya ha sido importado como se muestra en el ePass Manager. En el ePass3000 Ud. podrá importar certificados con claves RSA de hasta 2048 bits. En cambio en el ePass2000 FT12 solo podrá importar claves de 1024 bits. Interface de Administración de Información luego de Importar un Certificado 70 Manual del Administrador Exportar Certificado También puede exportar un certificado del ePass token a la PC. Esto sirve para mantener un backup del certificado y de la clave pública en la computadora. Recuerde que la clave privada nunca puede extraerse del dispositivo debido a la seguridad que poseen los ePass tokens. Para exportar un certificado selecciónelo en el panel derecho y haga click sobre el botón “Exportar” ubicado en la parte inferior del mismo. A continuación se mostrará una ventana como la siguiente: Clikee el botón “...” para elegir el directorio donde quiere que sea exportado el certificado. Haga click en “Aceptar” para confirmar la operación. Si el proceso fue exitoso una ventana de confirmación como la siguiente se lo comunicará. Guía del ePassNG 71 Mostrar Información Cuando desee ver la información detallada de certificados, claves públicas, claves privadas u otros datos, el usuario debe seleccionar el ítem que desee y presionar el botón “Ver” ubicado en la parte inferior del panel derecho. Dependiendo del elemento seleccionado, la información mostrada cambiará. En el caso de un certificado el sistema mostrará una ventana como la de la figura a continuación. Ver Información de Certificado El botón “Ver Certificado” aparecerá sólo cuando se este viendo el contenido de un certificado. Haga click sobre el mismo y el sistema mostrará la información como en la siguiente figura. Manual del Administrador 72 Contenido de Ver Certificado El botón “Instalar certificado” iniciará un asistente para instalar ese certificado en el repositorio local del sistema operativo. En el caso de que el elemento sea una clave pública, la ventana se vera de la siguiente forma: Ver Información de Clave Pública Guía del ePassNG 73 Haga click sobre cualquier atributo y su información aparecerá en la parte inferior de la ventana. El caso de una clave privada, la información mostrada es muy semejante a la pública. Eliminar Información Cuando el usuario quiera eliminar información o certificados del ePass token USB, luego de loguearse, seleccione la información que desee eliminar y presione el botón “Eliminar” (este botón sólo esta disponible en la versión para administrador de la herramienta de administración). El sistema mostrará una ventana como la de la imagen a continuación preguntando si está seguro de que quiere eliminar ese elemento. Eliminar Datos Si está seguro que lo quiere eliminar, haga click en “Sí”. Una vez que el dato sea eliminado, le aparecerá una ventana de confirmación: & NOTA: Los Datos no pueden recuperarse luego de ser eliminados Manual del Usuario 74 5. Manual del Usuario Al instalar el middleware y herramienta para el usuario final (desde Redistribución\Usuario Final), la herramienta que se utilizará será mas restringida. No poseerá las opciones de Cambiar SO PIN, Desbloquear PIN, Formatear ePass ni Eliminar Certificados (en la sección de Administración de Información) Sin embargo, brinda las funcionalidades suficientes para el usuario final, es decir: ! Cambiar Nombre: se procede de la misma manera que en la sección Operaciones Básicas del ePass Token – Cambiar Nombre ! Cambiar PIN: se procede de la misma manera que en la sección Operaciones Básicas del ePass Token – Cambiar PIN ! Importar Certificados: Se procede de la misma manera que en la sección Importar Certificado, del Administrador ! Exportar Certificados se procede de la misma manera que en la sección Exportar Certificado, del Administrador ! Mostrar Información: se procede de la misma manera que en la sección Mostrar Información, del Administrador