Rames SArwat General Manager

Solució par FSHM (II)

Tecnologia d’integració per l’autenticació amb targes intel.ligents 19 de Maig de 2011

• En papeles o junto a la pantalla

• Incluso debajo del teclado Se anotan

• Entre compañeros y amigos

• Entre varios usuarios Se comparten

• Baja complejidad

• Se reutilizan

• Fáciles de averiguar Son vulnerables

• Numerosas contraseñas diferentes

• Pérdida de productividad de los usuarios

Son difíciles de recordar

Los problemas de las

contraseñas

¿Porqué afrontar el problema?

• Brecha en la Seguridad • Nos impide cumplir la

legislación vigente

• Frustración y pérdida de

productividad a los

usuarios

• Costes de soporte y

operación.‏

Autenticación fuerte de Usuarios

Verificar la identidad de los usuarios que acceden a

los sistemas de información de la organización

mediante elementos (o factores) alternativos a las

contraseñas

Mayor eficiencia

operativa y mejora del

nivel de servicio

Garantía de

cumplimiento

legislativo y normativo

Reducción costes

Las claves publica y privada

Son dos números únicos que se encuentran relacionados

entre ellos (matemáticamente).

Cuando ciframos con uno cualquiera de los números, se

puede descifrar sólo con el otro número.

Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234… Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347…

¿Es seguro?

Las claves son números muy largos (> 600 dígitos) imposibles de adivinar

Basado en un algoritmo matemático público (RSA, 1977) que hasta la fecha no se ha conseguido «romper»

Resolver el problema matemático requiere aproximadamente un 1.000.000 de ordenadores funcionando durante más de 10.000 años

El certificado digital

Un certificado digital es un documento

electrónico que asocia un par de claves

aleatorias a una persona.

CERTIFICADO DIGITAL Nombre: SARAH Apellidos : JANE BLOGGS Número ID: 4545676-4555554 Nacionalidad: BRITANICA Valido desde: 1-1-2010 Valido hasta: 31-12-2012 Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234 Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347

Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234.. Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347..

Emisores de certificados

Para emitir un certificado es necesario un conjunto de

servidores y dispositivos que se denomina

Infraestructura de Clave Pública (PKI).

Podemos obtener un certificado de:

Nuestra empresa Un organismos público o

privado dedicado a la

emisión de certificados

reconocidos

Caducidad y Revocación

Un certificado digital se emite por un periodo de tiempo

(meses o años), transcurrido el cual caduca y debe ser

renovado emitiendo un nuevo certificado.

Si nos roban o extraviamos el certificado, podemos

anularlo (revocar) avisando a quien lo ha emitido (de

forma similar a una tarjeta de crédito) para que lo incluya

en una lista llamada Lista de Revocación

Usos de un certificado digital

Tres propósitos principales

Verificar la identidad de un usuario

Asegurar la integridad (no modificación) de un mensaje

Proteger el contenido de un mensaje

Verificar la identidad

De personas cuando acceden a equipos o aplicaciones.

Similar a :

Si disponemos de

las llaves (claves)

podremos acceder

a nuestra casa

(sistema o

aplicación).

«Un usuario demuestra su identidad, demostrando que tiene acceso a la clave privada de un certificado digital y que puede hacer una operación criptográfica con

ella»

Firma electrónica

La firma electrónica nos permite: Identificar unívocamente al firmante (Identidad)

Detectar cambios en el documento o correo posteriores a la firma

(Integridad)

Similar al sello de lacre:

- Identifica al autor o remitente (cada persona tenía un sello propio)

- Evita que el sobre pueda ser abierto sin ser detectado.

Cifrado

Podemos cifrar correos y/o documentos

Debemos identificar el/los destinatario(s) antes de poder cifrar.

Funcionamiento similar a un buzón:

- Cualquiera puede introducir una carta o documento

- Sólo el dueño puede acceder a su contenido mediante su llave (clave)

- Si pierde la llave no podrá acceder a su contenido

Almacenamiento

Podemos guardar un certificado digital en:

El disco duro de

nuestro ordenador

Una tarjeta con chip

o smart card

Un servidor seguro de

almacenamiento de claves

(HSM)

Documento Nacional de Identidad

Electrónico

Documento que acredita física y digitalmente

la identidad personal de su titular

y permite la firma electrónica de documentos

31/12/2012

El chip

El chip

Despegando el chip

Ampliación (un ordenador en miniatura)

31/12/2012

Usuario Domain

displayName

givenName

name

mail

cn homePhone

ipPhone

… Certificado X509 EMISOR

Nº DE SERIE

ASUNTO

VALIDEZ desde/hasta

ALGORITMO FIRMA

USO DE LA CLAVE

PUNTOS DISTRIB. CRLS

HUELLA DIGITAL

CLAVE PÚBLICA

CLAVE PRIVADA

Active Directory

Como relacionar los certificados

con nuestros usuarios

¿Qué es SmartID?

Solución de autenticación de usuarios mediante el uso de tarjetas inteligentes con

certificado digital para empresas y organismos públicos

Smart Card Logon

Extiende Microsoft Windows con SmartID Corporte Logon

Autenticación con cualquier

certificado, incluidos DNIe,

CATCert y FNMT, contenido en una

smartcard

Capacidad de definir relación

certificado-usuario

mediante reglas lógicas.

Posibilidad de asociar múltiples certificados a un mismo usuario

Mayor control del proceso de validación de certificados

Autenticación de usuarios en equipos, en

aplicaciones web, en servidores de

terminales, en conexiones

remotas VPN e infraestructuras

VDI.

Administración

Sencilla e integrada con Directorio Activo, control

granular mediante reglas y políticas GPO y registro

para auditoría mediante eventos del sistema

Reglas lógicas de asociación de certificados

a cuentas

Control de proceso de validación

de certificados

Admón.. Integrada

con Directorio

Activo

Bajo TCO de la solución

No requiere formación al utilizar

las mismas herramientas de

administración de AD

Beneficios

Proporciona una solución de control de acceso

robusta y fiable

Es sencilla de administrar, desplegar y

mantener

No produce impacto en los sistemas actuales

Solución flexible

Soporta todo tipo de lectores, tarjetas y certificados,

incluido el nuevo DNI electrónico.

Funcionalidades

Validación de Certificado mediante protocolo Kerberos contra Directorio Activo de Microsoft.

El usuario obtiene una funcionalidad de Single Sign-On con aplicaciones compatibles con el protocolo Kerberos (Exchange, IIS, etc)

Relación certificado-usuario definible por el administrador mediante reglas

Administración mediante políticas de directorio (GPO)

Consola de Administración MMC

Caché de credenciales para logon desconectado de la red con smartcard

Soporte de Terminal Services/Citrix, Web, VPN y VDI

Plataformas cliente

compatibles

Gràcies!

Tarragona, 19 de Maig de 2011

REUS ● TARRAGONA ● BARCELONA ● VALENCIA