Rames SArwat General Manager
Solució par FSHM (II)
Tecnologia d’integració per l’autenticació amb targes intel.ligents 19 de Maig de 2011
• En papeles o junto a la pantalla
• Incluso debajo del teclado Se anotan
• Entre compañeros y amigos
• Entre varios usuarios Se comparten
• Baja complejidad
• Se reutilizan
• Fáciles de averiguar Son vulnerables
• Numerosas contraseñas diferentes
• Pérdida de productividad de los usuarios
Son difíciles de recordar
Los problemas de las
contraseñas
¿Porqué afrontar el problema?
• Brecha en la Seguridad • Nos impide cumplir la
legislación vigente
• Frustración y pérdida de
productividad a los
usuarios
• Costes de soporte y
operación.
Autenticación fuerte de Usuarios
Verificar la identidad de los usuarios que acceden a
los sistemas de información de la organización
mediante elementos (o factores) alternativos a las
contraseñas
Mayor eficiencia
operativa y mejora del
nivel de servicio
Garantía de
cumplimiento
legislativo y normativo
Reducción costes
Las claves publica y privada
Son dos números únicos que se encuentran relacionados
entre ellos (matemáticamente).
Cuando ciframos con uno cualquiera de los números, se
puede descifrar sólo con el otro número.
Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234… Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347…
¿Es seguro?
Las claves son números muy largos (> 600 dígitos) imposibles de adivinar
Basado en un algoritmo matemático público (RSA, 1977) que hasta la fecha no se ha conseguido «romper»
Resolver el problema matemático requiere aproximadamente un 1.000.000 de ordenadores funcionando durante más de 10.000 años
El certificado digital
Un certificado digital es un documento
electrónico que asocia un par de claves
aleatorias a una persona.
CERTIFICADO DIGITAL Nombre: SARAH Apellidos : JANE BLOGGS Número ID: 4545676-4555554 Nacionalidad: BRITANICA Valido desde: 1-1-2010 Valido hasta: 31-12-2012 Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234 Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347
Clave pública 36489638468234708923470982734872039487203984702389740982374087230432424234234234234.. Clave privada : 879832749827038482374082739487238470238740827340897238478092374098723094872038472347..
Emisores de certificados
Para emitir un certificado es necesario un conjunto de
servidores y dispositivos que se denomina
Infraestructura de Clave Pública (PKI).
Podemos obtener un certificado de:
Nuestra empresa Un organismos público o
privado dedicado a la
emisión de certificados
reconocidos
Caducidad y Revocación
Un certificado digital se emite por un periodo de tiempo
(meses o años), transcurrido el cual caduca y debe ser
renovado emitiendo un nuevo certificado.
Si nos roban o extraviamos el certificado, podemos
anularlo (revocar) avisando a quien lo ha emitido (de
forma similar a una tarjeta de crédito) para que lo incluya
en una lista llamada Lista de Revocación
Usos de un certificado digital
Tres propósitos principales
Verificar la identidad de un usuario
Asegurar la integridad (no modificación) de un mensaje
Proteger el contenido de un mensaje
Verificar la identidad
De personas cuando acceden a equipos o aplicaciones.
Similar a :
Si disponemos de
las llaves (claves)
podremos acceder
a nuestra casa
(sistema o
aplicación).
«Un usuario demuestra su identidad, demostrando que tiene acceso a la clave privada de un certificado digital y que puede hacer una operación criptográfica con
ella»
Firma electrónica
La firma electrónica nos permite: Identificar unívocamente al firmante (Identidad)
Detectar cambios en el documento o correo posteriores a la firma
(Integridad)
Similar al sello de lacre:
- Identifica al autor o remitente (cada persona tenía un sello propio)
- Evita que el sobre pueda ser abierto sin ser detectado.
Cifrado
Podemos cifrar correos y/o documentos
Debemos identificar el/los destinatario(s) antes de poder cifrar.
Funcionamiento similar a un buzón:
- Cualquiera puede introducir una carta o documento
- Sólo el dueño puede acceder a su contenido mediante su llave (clave)
- Si pierde la llave no podrá acceder a su contenido
Almacenamiento
Podemos guardar un certificado digital en:
El disco duro de
nuestro ordenador
Una tarjeta con chip
o smart card
Un servidor seguro de
almacenamiento de claves
(HSM)
Documento Nacional de Identidad
Electrónico
Documento que acredita física y digitalmente
la identidad personal de su titular
y permite la firma electrónica de documentos
31/12/2012
El chip
El chip
Despegando el chip
Ampliación (un ordenador en miniatura)
31/12/2012
Usuario Domain
displayName
givenName
name
cn homePhone
ipPhone
… Certificado X509 EMISOR
Nº DE SERIE
ASUNTO
VALIDEZ desde/hasta
ALGORITMO FIRMA
USO DE LA CLAVE
PUNTOS DISTRIB. CRLS
HUELLA DIGITAL
CLAVE PÚBLICA
CLAVE PRIVADA
Active Directory
Como relacionar los certificados
con nuestros usuarios
¿Qué es SmartID?
Solución de autenticación de usuarios mediante el uso de tarjetas inteligentes con
certificado digital para empresas y organismos públicos
Smart Card Logon
Extiende Microsoft Windows con SmartID Corporte Logon
Autenticación con cualquier
certificado, incluidos DNIe,
CATCert y FNMT, contenido en una
smartcard
Capacidad de definir relación
certificado-usuario
mediante reglas lógicas.
Posibilidad de asociar múltiples certificados a un mismo usuario
Mayor control del proceso de validación de certificados
Autenticación de usuarios en equipos, en
aplicaciones web, en servidores de
terminales, en conexiones
remotas VPN e infraestructuras
VDI.
Administración
Sencilla e integrada con Directorio Activo, control
granular mediante reglas y políticas GPO y registro
para auditoría mediante eventos del sistema
Reglas lógicas de asociación de certificados
a cuentas
Control de proceso de validación
de certificados
Admón.. Integrada
con Directorio
Activo
Bajo TCO de la solución
No requiere formación al utilizar
las mismas herramientas de
administración de AD
Beneficios
Proporciona una solución de control de acceso
robusta y fiable
Es sencilla de administrar, desplegar y
mantener
No produce impacto en los sistemas actuales
Solución flexible
Soporta todo tipo de lectores, tarjetas y certificados,
incluido el nuevo DNI electrónico.
Funcionalidades
Validación de Certificado mediante protocolo Kerberos contra Directorio Activo de Microsoft.
El usuario obtiene una funcionalidad de Single Sign-On con aplicaciones compatibles con el protocolo Kerberos (Exchange, IIS, etc)
Relación certificado-usuario definible por el administrador mediante reglas
Administración mediante políticas de directorio (GPO)
Consola de Administración MMC
Caché de credenciales para logon desconectado de la red con smartcard
Soporte de Terminal Services/Citrix, Web, VPN y VDI
Plataformas cliente
compatibles
Gràcies!
Tarragona, 19 de Maig de 2011
REUS ● TARRAGONA ● BARCELONA ● VALENCIA
Top Related