Guía de Referencia PKI
ePassNG
MacroSeguridad Latino América
Versión 1.1 Español ePass NGAcerca de MacroSeguridad Latino América
MacroSeguridad es un Mayorista exclusivo de Soluciones de Seguridad Informática. Es líder en seguridad digital, proveyendo seguridad para comercio electrónico e Internet desde 1994. MacroSeguridad atiende a clientes en toda Latino América, México, Brasil y Australia.
Los productos que MacroSeguridad distribuye incluyen: los dispositivos ePass Token USB para autenticación segura de usuarios, portabilidad, transporte de certificados digitales, y no repudio en comercio electrónico. Entre los mismos se pueden encontrar ePass1000, ePass1000ND, ePass Token USB FT1, ePass Token USB FT12, ePass3000, BioPass Token USB. Los sistemas de protección de software profesional basado en dongles que protegen la propiedad intelectual y los modos de licenciamiento de los desarrolladores como ser Rockey2, Rockey4, Rockey4ND y Rockey6. Soluciones para encriptado de discos, solución para loguearse a la red en forma segura. También se provee seguridad para SAP, como ser de criptografía, logon y autenticación robusta. Así como también soluciones de OTP Tokens (dispositivos generadores de números aleatorios) para aplicaciones de homebanking y de dispositivos token USB llamados
mIDentity para portabilidad de la identidad digital de la empresa KOBIL, autenticación robusta para PDA y mobile phones.
Macroseguridad Latino América logra el equilibrio entre las necesidades de las empresas y sus soluciones. Para más información puede visitar el sitio web de MacroSeguridad en:
www.MacroSeguridad.org
Información de contacto
Por cualquier consulta, sugerencia o comentario que le surja sobre la utilización del ePass Token USB ó de esta guía en si misma, por favor contacte al soporte técnico de MacroSeguridad Latino América: Mail: [email protected] • • • •
TEL: +54 011 4833-5760 (Líneas Rotativas) FAX: +54 011 4831-6538
Copyright y Marcas Registradas
COPYRIGHT © 2007© Este documento es propiedad de Macroseguridad Latino América y todo su contenido se encuentra protegido por las normas nacionales e internacionales de Derecho de Autor (copyright). Se encuentra terminantemente prohibida su reproducción total o parcial con cualquier fin. Las marcas mencionadas a lo largo del presente documento son propiedad de sus respectivos titulares. Para cualquier tipo de uso del mismo fuera de este manual deberá solicitar un permiso escrito de MacroSeguridad Latino América.
Acuerdo de Licencia
FEITIAN TECHNOLOGIES CO. LTD.
Todos los Productos de Feitian Technologies Ltd. (Feitian), que en Latinoamérica son distribuidos por Macroseguridad Latino América (MS Argentina SRL) incluyendo, pero no limitados a, copias de evaluación, diskettes, CD ROMs, hardware y documentación, y todas las órdenes futuras , están sujetas a los términos de este Acuerdo. Si Ud. no está de acuerdo con los términos aquí incluidos, por favor devuélvanos el paquete de evaluación, empaque y contenido prepago, dentro de los siete días de su recepción, y le reembolsaremos a Ud. el precio del producto, con menos los gastos de envío y cargos razonablemente incurridos.
1. Uso Permitido – Ud. puede utilizar este Software con el único propósito de proteger las comunicaciones, firmar documentos, firmar/encriptar emails o encriptar archivos como se describe en esta Guía de Regencia PKI con la licencia de ePass. Puede hacer copias de archivo de este software. Ud. puede fusionar y conectar el Software con otros programas, de manera concordante con los usos descriptos en la Guía para Desarrolladores y de Referencia del ePassNG. Ud. puede hacer copias de archivo del Software.
2. Uso Prohibido – El Software o Hardware de ePass o cualquier otra parte del producto no puede ser copiada, realizada reingeniería, desensamblada, decompilado, revisado, mejorado y/o modificado de alguna otra manera, excepto como específicamente se encuentra admitido en el item 1. Ud. no pude utilizar ingeniería inversa en el Software ni en ninguna otra parte del Producto ni intentar descubrir el código fuente del Software. No puede utilizarse el dispositivo magnético u óptico incluido en el Producto con el propósito de transferir o almacenar datos que no integren una parte original del Producto o una mejora provista en el Producto por Macroseguridad Latino América o Feitian.
3. Garantía – Feitian garantiza que el hardware y Software del medio de almacenaje está sustancialmente libre de defectos significativos en su manufactura o en sus materiales, por un período de doce meses contados desde la fecha de entrega del Producto a Ud. 4. Incumplimiento de la Garantía – Para el caso de incumplimiento de esta garantía, la
única obligación de Feitian y/o Macroseguridad Latino América será la de reemplazar o reparar, a discreción de Feitian, cualquiera de los productos libre de cargos. Cualquiera de los productos reemplazados deviene de propiedad de Feitian.
El reclamo de la garantía deberá ser realizado por escrito a Feitian o Macroseguridad Latino América mientras dure el período de garantía y dentro de los catorce (14) días posteriores de observado el defecto. Todos los reclamos de garantía deberán ser acompañados por evidencia del defecto que sea considerado satisfactorio a criterio de Feitian y/o Macroseguridad Latino América. Cualquier producto que Ud. devuelva a Feitian o un distribuidor autorizado de Feitian deberá ser remitido con el envío y el seguro prepago.
CON EXCEPCION DE LO DISPUESTO EXPRESAMENTE EN EL PRESENTE, NO EXISTE NINGUNA OTRA GARANTIA O REPRESENTACIÓN DEL PRODUCTO, EXPRESA O IMPLÍCITA, INCLUYENDO, PERO NO LIMITADA A, CUALQUIER GARANTIA IMPLICITAS DE COMERCIALIZACIÓN Y/O ADAPTABILIDAD PARA
UN PROPÓSITO PARTICULAR.
5. Limitación de la Garantía de Feitian – La responsabilidad total de Feitian frente a cualquier persona o causa, sea contractual como extracontractualmente, incluyendo negligencia o dolo, no podrá exceder el precio de la unidad de producto por Ud. pagado que ha causado el daño o resulta ser el objeto que directa o indirectamente se encuentra relacionado con el hecho dañoso. En ningún caso Feitian y/o Macroseguridad Latino América será responsabilizado por cualquier daño causado por un acto ajeno en el uso del producto, o el incumplimiento de las obligaciones en el presente asumidas, así como tampoco, por la pérdida de cualquier información, ganancia o ahorro, o cualquier otro daño consecuente o incidental, incluso si Feitian y/o Macroseguridad Latino América hubiese sido advertido de la posibilidad de daño, o de cualquier reclamo basado en cualquier reclamo de terceros.
6. Finalización – El acuerdo se considerará terminado frente al incumplimiento de los términos a su cargo. Los items 2, 3, 4 y 5 se mantendrán a pesar de la finalización del acuerdo.
Certificaciones y Estándares
• Certificado de Aprobación FCCePass Token USB ha sido probado y es compatible con límites para un dispositivo digital de clase B, de acuerdo a la sección 15 de las normativas FCC. Estos límites están diseñados para asegurar una protección razonable contra interferencias dañinas que pueden ocurrir en una instalación.
• CE Compatible
ePass Token USB cumple con los requerimientos primordiales para la Directiva EMC (directiva 89/336/EEC respecto a la compatibilidad electromagnética) basado en una prueba voluntaria.
Esta declaración se aplica solo a las muestras particulares del producto y a la documentación técnica provista para el testeo y certificación. El detalle de los resultados de las pruebas y todos los estándares usados, asi como el modo de operación se encuentran listados en:
Reporte de Pruebas Nº: 70407310011
Estándares de Prueba: EN 55022/1998 EN 55024/1998
Posteriormente a la preparación de la documentación técnica necesaria y de la declaración de conformidad, el logo de CE mostrado puede ser incluido en el equipo, como se establece en el Artículo 10.1 de la Directiva.
• USB
Este equipo está basado en el estándar USB
• Microsoft Windows Logo Program
Este dispositivo ha superado las pruebas de Windows HCT, realizadas en los Laboratorios de Pruebas de Hardware de Windows (WHQL), las cuales determinan los productos que alcanzan los requerimientos del Programa de Logos de Windows Compatibilidad de Hardware de Windows Vista: Compatibilidad de Hardware de Windows XP:
• CheckPoint OPSEC Partner
ePass Token USB ha alcanzado la certificación OPSEC (Open Platform for Security) de Check Point Software Technologies Ltd. (NASDAQ: CHKP), el líder mundial en seguridad a través de Internet. A través de la certificación OPSEC, ePass Token USB se integra transparentemente con las soluciones de Check Point líderes del mercado: VPN-1®, FireWall-1®, Next-Generation®.y superiores.
• Entrust Ready Partner
Los ePass Token USB han alcanzado la certificación de Entrust Ready. Las soluciones de seguridad de FeiTian, son dispositivos tokens usb criptográficos seguros y portátiles, ideal para Entrust/PKI y otras aplicaciones Smart Card: autenticación por dos factores, encripción de email, sitios seguros SSL, logon VPN y más. Se le ha otorgado a ePass Token el estado de Entrust Ready con el Entrust Entelligence client y Entrust Authority Securtity Manager.
• ISO 9001
FeiTian Technologies LTD. Es una compañía certificada ISO 9001
• RoHS (Restriction of the use of certain Hazardous Substances)
Los dispositivos ePass Token cumplen con las directivas de la Unión Europea de cuidado del medio ambiente y de la salud humana estipuladas por RoHS, restringiendo el uso de sustancia como Plomo (Pb), Cadmio (Cd), Mercurio (Hg), Cromo hexavalente (Cr (VI)), Bifenil polibrominado (PBB), Éter bifenil polibrominado (PBDE).
Tabla de Contenidos
Acerca de MacroSeguridad Latino América ...2
Información de contacto ...2
Copyright y Marcas Registradas...3
Acuerdo de Licencia...4
Certificaciones y Estándares...6
Tabla de Contenidos ...8
1. Introducción a la Familia de ePass Token...10
¿Qué es ePass? ...12
Modelos de ePass ...13
Familia de ePass2000 Token USB ...15
Seguridad para Aplicaciones de eBusiness...15
Aplicaciones ePass 2000: ...16
Aplicaciones E-Business...17
Beneficios del ePass Token USB ...17
Características del ePass 2000 ...18
Especificaciones Técnicas de ePass2000 FT1 Token USB ...19
Familia de ePass1000 Token USB ...21
Seguridad para Aplicaciones de eBusiness...21
Aplicaciones ePass 1000 ...22
Aplicaciones E-Business...22
Beneficios del ePass 1000...23
Características del ePass 1000 ...23
Especificaciones Técnicas del ePass1000 ...24
Especificaciones Técnicas de ePass1000ND...26
Familia de ePass 3000 Token USB – BioPass 3000...27
Descripción del BioPass 3000 Token ...27
Características del ePass BioPass 3000 Token ...27
Especificaciones Técnicas del ePass BioPass 3000 Token ...28
Características del ePass3000 Token USB ...29
2. Introducción a la nueva generación: ePassNG ... 32
Dispositivos Hardware que soporta ePass NG ... 33
Estructura del framework ePassNG ... 33
Características de Framework ePassNG ... 36
3. Instalación y Desinstalación del ePassNG ... 39
Instalación del ePass Middleware ... 39
Desinstalación ... 45
Desinstalación del Middleware ... 46
4. Manual del Administrador ... 49
Requerimientos mínimos... 50
Interface del Administrador PKI de ePassNG ... 50
Información Mostrada Después de Conectar el Token ... 52
Información Mostrada Cuando No Se Encuentra Conectado el Token... 54
Operaciones Básicas del ePass Token... 54
Login... 54
Cambiar el PIN de Usuario... 55
Consideraciones sobre el PIN ... 57
Cambiar el Nombre del Token ... 58
Formatear ePass Token ... 59
Desbloquear Token ... 61
Cambiar SO PIN (Security Officer PIN – PIN del Administrador)... 63
Administración de Información sin Loguearse... 64
Administración de Información al estar Logueado ... 65
Administrando sus Certificados y Claves Personales ... 67
Importar Certificado ... 67
Exportar Certificado... 70
Mostrar Información ... 71
Eliminar Información... 73
1.
Introducción a la Familia de
ePass Token
Esta guía de Referencia PKI fue creada para que pueda ser utilizada por un usuario sin conocimientos sobre smartcards ni infraestructura PKI, así como por aquellos responsables de la administración de la seguridad e integridad de datos dentro de una organización.
Provee un breve resumen de los beneficios y características de los ePass Tokens USB, e incluye también todo el alcance funcional de los mismos.
Se incluyen las siguientes secciones en este capítulo:
• “¿Qué es ePass?” Se describe el ePass Token y se listan los mayores beneficios que ePass ofrece a su organización y sus usuarios.
• “Modelos de ePass” Se describen los diferentes modelos de ePass que se encuentran disponibles.
• “ePass 2000”. Profundiza sobre las características y beneficios del ePass Token USB en relación a los demás productos de autenticación. Los tópicos a tratar en esta sección son los siguientes:
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
DescripciónAplicaciones – Aplicaciones eBusiness Beneficios
Características
Especificaciones Técnicas
• “ePass 1000” Se trata en detalle las características y beneficios de usar ePass1000 frente a los demás dispositivos de autenticación de usuarios. Se cubren los siguientes temas centrales:
Seguridad para Aplicaciones de eBusiness Aplicaciones ePass 1000
Aplicaciones E-Business Beneficios del ePass 1000 Características del ePass 1000
Especificaciones Técnicas del ePass1000 Especificaciones Técnicas de ePass1000ND
• “ePass 3000 – BioPass” Introduce la nueva tecnología que provee MacroSeguridad Latino América. Trata sobre las características de este nuevo paradigma en autenticación de usuarios:
Descripción del BioToken 3000
Características del ePass BioToken 3000
Especificaciones Técnicas del ePass BioToken 3000 Características del ePass3000 Token USB
¿Qué es ePass?
ePass es un dispositivo de autenticación de usuarios y portabilidad de certificados digitales, plug and play, ligero, portátil, pequeño, que provee la mejor seguridad al menor costo y que se conecta al puerto USB (Universal Serial Bus) de cualquier PC. Para trabajar con ePass no se requiere ninguna fuente de energía adicional, ni se requiere lectora, ni ningún otro tipo de dispositivo.
ePass Token USB soporta un procedimiento de seguridad de Autenticación a través de 2 factores: “el ePass” algo que el usuario tiene y “la password” algo que el usuario conoce y necesita para tener acceso a cualquier aplicación, certificado digital o sistema que este validado a través del ePass. Las aplicaciones pueden beneficiarse del chip smartcard que la unidad contiene en forma interna dentro del ePass, proveyendo un mecanismo de challenge/response para servicios de autenticación. Este modelo de autenticación challenge/response es más seguro que el modelo tradicional de nombre y password porque en el modelo de challenge/response utiliza el “secreto compartido” y el mismo nunca se expone durante el proceso de autenticación.
Explicaremos a continuación el concepto de “secreto compartido”:
En este esquema, ambas partes (el que valida la autenticación y la que desea autenticarse) comparten un secreto en común, por ejemplo una situación conocida por las dos partes, pero que nunca se expone ese conocimiento. La gran diferencia con la autenticación tradicional por password es que la misma es expuesta al solicitarle al usuario ingresarla, y dicha entrada es comparada en una base de datos para corroborar su autenticidad.
Con el concepto del Secreto Compartido en este esquema la password nunca es solicitada. En cambio, se realiza algún procesamiento con dicha password y lo que se transmite es el resultado de haber realizado ese procesamiento. De hecho, la respuesta enviada puede nunca ser igual a una enviada anteriormente. Por su parte, la aplicación realiza el mismo procesamiento con la clave que conoce (ya que la clave es compartida), y compara el resultado que obtuvo con el resultado que le envió el cliente.
Por ejemplo, supongamos que dos personas quieren confirmar que se conocen por haberse encontrado en alguna ocasión en determinado lugar. En este caso, lo que comparten ambas personas es el hecho de haber estado en el mismo lugar. Si la persona A quiere corroborar que conoce a la persona B de ese lugar particular, podría preguntarle varios detalles diferentes sobre el momento en el que se conocieron, en lugar de preguntarle directamente “de donde te
conozco?”. De esta manera, podría preguntarle en que mesa se sentaron, que pidieron para tomar, quién los atendió, como estaba vestido, que hora era, etc. Este proceso de autenticación es siempre distinto, debido a que las respuestas son distintas cada vez, pero se asocian a un mismo secreto compartido que actúa como semilla de todo este proceso de validación.
ePass también es la solución ideal para almacenar en forma segura información sensible, como por ejemplo:
!
!
!
!
!
Credenciales para el Homebanking Certificados Digitales,
Claves Privadas, Passwords,
Números de Tarjeta de Crédito y otras credenciales privadas,
Todo es guardado en forma segura y conveniente en el ePass y puede ser transportado en su llavero a donde vaya.
Modelos de ePass
Existen varias familias de dispositivos ePass Token USB: ePass1000,
- ePass 1000 8 Kb - ePass 1000 32 Kb
- ePass 1000ND 8 Kb ND (Driverless)
ePass Token USB
- ePass 2000 32 kb
- ePass 2000 32 kb Smart Card - ePass 2000 FT11 (Driverless)
ePass EF
Es una solución que se provee bajo requerimiento específico o proyecto. Este tipo de dispositivos combina toda la funcionalidad PKI con el almacenamiento masivo de Información. Si desea interiorizarse sobre estos dispositivos, por favor envíe un correo
electrónico a:
ePass3000 (Únicos con procesador de 32 bits)
- BioPass Token 3000 (primer dispositivo que combina la funcionalidad PKI con la Biometría)
Familia de ePass2000 Token USB
Esta sección cubrirá los productos que conforman la familia de ePass Token USB (smart cards en formato USB). Entre ellos, se encuentran: ePass Token USB FT1 que es el un producto compliance con FIPS 140-2 Level 2, ePass Token USB FT12 y ePass Token USB FT11 (Driverless). Las características, usos y aplicaciones que se tratarán a continuación son idénticas para cada producto de la familia.
Seguridad para Aplicaciones de eBusiness
Internet se ha convertido en un servicio más que necesario para realizar negocios. Pero el crecimiento de la misma trajo aparejado consigo amenazas para los mismos. Entre ellas hackers; dispositivos de análisis para redes; virus,
vulnerabilidades de los sistemas operativos y otras fuentes que son ahora parte de la vida cotidiana en Internet. Estas amenazas han crecido en proporción, haciendo que los negocios por Internet hoy tengan un costo a considerar.
El modelo PKI (Public Key Infrastructure) o modelo de Firma Digital, fue desarrollado para posibilitar comunicaciones y transacciones seguras en Internet proveyendo servicios de autenticación, identificación y encripción de datos críticos. ePass Token USB tiene la mejor relación costo beneficio, a su vez mejora considerablemente todo el esquema basado
en el modelo PKI, en definitiva es la solución ideal para el tipo de aplicaciones PKI.
ePass Token USB es una smart card en formato de token USB; compacto, portátil, seguro. Fue diseñado para ofrecer autenticación; verificación y servicios de encripción de información; encripción de email; firma digital y autenticación para operaciones a través del Standard SSL (como por ej. homebanking) usando Internet Explorer, Firefox, Netscape Communicator, Outlook, Outlook Express, y Thunderbird.
Cualquier otro aplicativo basado sobre los estándares MS CAPI o PKCS#11 es soportado, aunque no se encuentre documentado en esta guía.
Además, cabe remarcar la versatilidad y robustez del SDK de que provee MacroSeguridad, que permite la creación de muchas otras aplicaciones definidas por el usuario.
La familia de Productos ePass Token USB soporta una amplia gama de sistemas operativos: Windows 98/2000/ME/XP y Vista, Windows Server 2003, MAC OS X y Linux. Para visualizar las “Especificaciones Técnicas de ePass Token USB”.
ePass Token USB esta basado en la tecnología de las smart cards, soportando múltiples algoritmos de seguridad on board. A su vez, provee un alto rendimiento y trae integrado un chip smartcard para realizar cálculos, del tipo RNG “random number generation” (generación de números aleatorios en el hardware) así como también procesamiento criptográfico on board, permitiendo el almacenamiento de credenciales personales y passwords que reemplazan la memoria EEPROM del dispositivo ePass1000.
ePass Token USB es un contenedor seguro para certificados digitales de aplicaciones PKI, que se provee con 32 kb de memoria integrada. Los pares criptográficos de la clave RSA son generados en forma interna, utilizando toda la fortaleza que el chip smartcard provee. La clave privada es almacenada en la smartcard en forma de texto cifrado y nunca puede ser exportada del dispositivo de ninguna forma. Con esta tecnología, la información del propietario del certificado se encuentra más segura que nunca.
Posee el mismo diseño de carcasa que ePass1000, es liviano, portátil y seguro, lo que lo convierte en el contenedor ideal para sus certificados digitales.
Aplicaciones ePass 2000:
• Seguridad en la PC y en la red a través del smartcard logon de Windows 2000 y/o Windows Server 2003
• Firma y encripción de email con Microsoft Outlook / Outlook Express, Internet Explorer y Netscape Messenger, Firefox y Thunderbird.
• SSL acceso seguro a la Web a través de Microsoft Internet Explorer, Netscape Navigator y Firefox
• Compatibilidad PKI con Windows 98 hasta Windows 2003 en adelante, Microsoft Internet Explorer, Netscape Communicator y Firefox
• Network Logon Seguro
• Seguridad en la comunicaciones vía email • Autenticación Remota Segura vía Servidor RAS
• Acceso seguro a VPN Microsoft, Checkpoint y Cisco entre otras • Acceso Seguro para Extranet e Intranet
• Seguridad en su PC (encriptado de archivos & carpetas – protección de booteo)
Aplicaciones E-Business
• Aplicaciones para HomeBanking • Transacciones B2B, B2C
• Transacciones Seguras para Agentes y operadores de Bolsa de Valores • Cuidado de la Salud - HIPAA
• Proveedores de Aplicaciones de Servicios (ASP) • Suscripciones On-line para revistas y periódicos • Cobranzas: Tele-ticket, peajes y estacionamiento
• Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa, identificación Militar y más
Beneficios del ePass Token USB
• Generación On board de claves (altamente seguro). ePass Token USB usa tecnología smartcard para permitir la generación de claves públicas y privadas dentro del propio hardware del ePass Token. Las claves privadas nunca están expuestas al ambiente hostil de la PC.
• Compatible: ePass Token USB es portátil, Plug and Play y puede ser transportado en un llavero, simplemente desconecte el ePass del puerto USB y llévese consigo la información critica y sus credenciales.
• Almacenamiento Seguro: Seguridad en el almacenamiento de datos personales, y credenciales. Los mismos no necesitan ser guardados en el ambiente inseguro de la PC; el sistema seguro de archivos y los mecanismos de autenticación que posee el ePass Token USB aseguran que los datos personales y las credenciales privadas son almacenadas en forma segura dentro del ePass Token USB, lejos del alcance de hackers, virus y otras amenazas.
• Bajo Costo: ePass Token USB puede ser usado para reemplazar smartcards en las aplicaciones de tipo PKI existentes, con una ventaja diferencial, el ePass Token USB no requiere de ningún tipo de lector especial.
• Facilidad de Uso: A través de su intuitiva interface en castellano. No se requiere ningún tiempo de aprendizaje, ni desarrollo especial o integración compleja para interactuar con el ePass e Internet Explorer, Outlook, Outlook Express, Mozilla, ThunderBird, Firefox y Netscape Communicator.
• Fácil de Integrar: No se requiere ningún desarrollo especial o trabajo de integración para aplicaciones estándar con MS CAPI, PKCS #11 o aplicaciones compatibles con PC/SC. • Multi-Uso: ePass puede ser configurado para soportar múltiples claves y aplicaciones.
• Dos Factores de Autenticación: la seguridad puede ser incrementada al requerirle al usuario ingresar una password de autenticación cuando necesite acceder al ePass Token USB.
• Administración de Password: ePass Token USB puede almacenar muchas passwords; el usuario solo necesita recordar el PIN de autenticación al dispositivo.
Características del ePass 2000
• Generación On-board de la clave RSA 1024 bits (la misma no puede exportarse) • Desarrollado para soportar algoritmos RSA, DSA, DES y 3DES, SHA-1, MD5, etc. • Soporta el Standard de aplicaciones Microsoft CAPI
• Generación de números aleatorios en el hardware
• Poderosa conectividad Plug & Play para aplicaciones PKI • Firma digital realizada en el hardware
• Soporta múltiples aplicaciones PKI y smartcard
• Soporte para múltiples claves RSA almacenadas en el mismo dispositivo • Interfase Standard USB
• Cumple con las certificaciones de CE y FCC
• Certificaciones CFCA, OPSEC, Entrust, SECUDE, Dekart, Microsoft y FIPS
• Estándares PKCS#11 v2.10, MS CAPI, PC/SC, X.509 v3, SSL v3, IPSec/IKE, ISO 7816 • LED de control de aplicaciones
• Carcasa de plástico duro, resistente a golpes
• Shell de protección incluido sin costo adicional (tapa para protección del conector USB) • Múltiples opciones de colores e integraciones con terceras partes y posibilidad de
personalización de logos
Especificaciones Técnicas de ePass2000 FT1 Token USB
Sistemas operativos Windows:
Windows 98 y 98SE, ME Windows 2000, Windows XP
Windows Server 2003 Windows Vista
Sistemas Operativos Linux (1)
Debian 3.1 y superior Redhat 8.0 & 9 y superior
RedHat Enterprise 4 Fedora 2.0, 3.0, 4.0 y superior SUSE 9.1, 9.2 & 9.3 y superior Ubuntu 5.04 & 10 y superior Mandrake 10 & 10.1 y superior Sistema Operativo MAC OS MAC OS 8/9 y superior SDK & APIs con soporte para:
MSCAPI y PKCS#11 Microsoft, Linux, MAC
Certificaciones y estándares: PC/SC, X.509 v3 Almacenamiento de Certificados, PKCS#11 v2.11, MS CAPI (Microsoft Crypto API), SSL v3, IPSec/IKE, ISO 7816 compatible Procesador: 8 bit
Tamaño de Memoria (por Modelo): 32Kb Mecanismo de Encripción – Autenticación
en el chip RSA1024, DES, 3DES (triple DES), DSA, MD5, SHA-1 Algoritmos de Seguridad On-Board: RSA-1024 bits
Nivel de Seguridad en el Chip
FIPS140-2 Nivel 2 Certified
G&D STARCOS SPK 2.4
Almacenamiento de datos Encriptados Generación de números en el chip: Generación aleatoria de números dentro del chip de
hardware ID de Hardware 64 bits Dimensiones (por Modelo): 50x17x7mm
Peso (por Modelo): 6 gramos Disipación de Potencia: < 250 mW Temperatura de Operación: 0 a 70 Cº (32 F a 156 F) Temperatura de Almacenamiento: -40 a 85 Cº (-40 F a 185 F)
Humedad: 0 a 100% sin condensación Tipo de Conector: Tipo USB A (Universal Serial Bus)
Carcasa: Plástico resistente a golpes, con capuchón para el conector USB a fin de proteger el dispositivo Chasis Plástico moldeado de alto impacto, contra rotura. Retención de datos en la Memoria Mayor a 10 años
Reescritura en la Memoria Como mínimo 500.000 veces
Herramientas de Administración disponible en castellano, portugués, chino, japonés e El ePass Token USB Manager se encuentra inglés.
Instalación del Middleware Setup Multi lenguaje y videos de capacitación Licenciamiento No hay costo de licencia de software
Actualizaciones No hay costo por actualizaciones de software, las mismas son sin cargo alguno.
(1) Otras distribuciones que no se encuentren listadas pueden ser solicitadas y desarrolladas bajo pedido.
Opcionales con y sin costo
Color dependiendo de la cantidad y la modalidad de El cliente puede definir el color del ePass, adquisición.
Ring El cliente puede ordenar el ring para cada uno de los dispositivos.
Branding El ePass puede tener un sticker con el logo personalizado, dependiendo del volumen de compra.
Familia de ePass1000 Token USB
Esta sección tratará sobre la familia de productos de ePass1000. Los productos que pertenecen a esta familia son: ePass1000 (en 2 versiones, ePass1000 8kb y ePass1000 32bk) a su vez otra de las soluciones es el ePass1000ND (Driverless). Las características, usos y aplicaciones descriptas a continuación son iguales para ambos tipos de producto.
Seguridad para Aplicaciones de eBusiness
El modelo de Infraestructura de Clave Pública y Privada fue desarrollado para posibilitar comunicaciones y transacciones seguras en
Internet proveyendo servicios de autenticación, identificación y encripción de datos críticos. ePass1000 es la solución ideal con mejor relación costo beneficio del mercado para aplicaciones PKI.
ePass1000 es un token con formato USB; compacto y portátil. ePass1000 fue diseñado para ofrecer autenticación, verificación y servicios de encripción de información; encripción de e-mail; firma digital (Outlook, Outlook Express entre otros) y autenticación de usuarios utilizando SSL en el Internet Explorer, Netscape Communicator, Firefox, Mozilla o cualquier software basado en estándares MS CAPI o PKCS #11.
El dispositivo se provee en dos modelos, con diferente capacidad de memoria: 8Kb y 32Kb. Cuenta con un procesador embebido que soporta el algoritmo HMAC-MD5 Hash, un generador de números aleatorios, un robusto y seguro sistema de archivos y un almacenamiento de claves privadas o certificados digitales para autenticar la identidad de un usuario.
ePass es un componente crucial en una amplia variedad de aplicaciones, desde un sistema de pago on-line, autenticación a través de 2 factores en redes, hasta administración de licencias de Software, así como también protección de software. Soporta muchas aplicaciones de tarjetas Smart Cards sin requerir de una lectora.
Puede ser incorporado a su llavero gracias a su compacto diseño y portabilidad. Es la solución ideal para hacer asegurar aplicaciones de red.
ePass1000 soporta los siguientes sistemas operativos, Windows 98/SE, Windows ME, Windows 2000/XP, Windows Server 2003 y Windows Vista, MAC OS 8/9 y superior y Linux.
Aplicaciones ePass 1000
• Seguridad en la PC a través del smartcard logon en AD para Windows 2000 / Windows Server 2003
• Firma y encripción de e-mail Standard con Microsoft Outlook / Outlook Express, Internet Explorer, Netscape, Firefox y Mozila Thunderbird
• SSL: acceso seguro a la Web a través de Microsoft Internet Explorer y Netscape Navigator, Firefox
• Compatibilidad PKI con Windows 98 hasta Windows 2003 en adelante, Microsoft Internet Explorer y Netscape Communicator
• Network Logon Seguro
• Seguridad en la comunicaciones vía email • Autenticación Remota Segura vía Servidor RAS
• Acceso seguro a VPN Microsoft, Checkpoint y CISCO entre otras • Acceso Seguro para Extranets e Intranet
• Seguridad en su PC (encriptado de archivos & carpetas – protección de boteo)
Aplicaciones E-Business
• Aplicaciones para HomeBanking • Transacciones B2B, B2C
• Transacciones Seguras para Agentes y operadores de Bolsa de Valores • Cuidado de la Salud - HIPAA
• Proveedores de Aplicaciones de Servicios (ASP) • Suscripciones On-line para revistas y periódicos • Cobranzas: Tele-ticket, peajes y estacionamiento
• Gobierno On-line; Licencias de conducir, Registro Vehicular, Identificación; Visa, identificación Militar y más
Beneficios del ePass 1000
• Seguro: algoritmo HMAC-MD5 on board, asegura que las credenciales personales son guardadas en forma segura dentro del ePass1000; lejos del alcance de hackers, virus y otras amenazas.
• Portabilidad: ePass1000 es Plug and Play y puede ser transportado en un llavero, simplemente desconecte el ePass del puerto USB y llévese consigo la información critica y sus credenciales.
• Bajo Costo: ePass1000 puede ser usado para reemplazar smart-cards en aplicaciones de tipo PKI existentes, con la ventaja diferencial que el ePass1000 no requiere ningún tipo de lector especial.
• Facilidad de Uso: Interface en castellano. No se requiere ningún desarrollo especial o integración compleja para interactuar con el ePass e Internet Explorer, Outlook, Outlook Express, Mozilla ThunderBird, Firefox y Netscape Communicator
• Multi-Uso: ePass puede ser configurado para soportar múltiples claves RSA y diferentes tipos de aplicaciones.
• Dos Factores de Autenticación: la seguridad puede ser incrementada al requerirle al usuario ingresar una password de autenticación cuando necesite acceder al ePass1000 Token USB. El concepto Algo que tengo: “el ePass” y algo que conozco: “el PIN del ePass”.
• Administración de Password: ePass1000 puede almacenar muchas passwords; el usuario solo necesita recordar el PIN de autenticación al dispositivo.
• Integración: los desarrolladores de software pueden usar el módulo del SDK de Feitian (Software Developers Kit) para integrar ePass1000 dentro de las aplicaciones PKI o dentro de sus sistemas ERP y CRM para autenticar a los usuarios que acceden al mismo.
Características del ePass 1000
• Autenticación On board HMAC-MD5 challenge-response • Soporta el Standard de aplicaciones Microsoft CAPI • Cumple con las certificaciones CE y FCC
• Número serial único de 64-bits • Interfase Standard USB • LED de control de aplicación
• Acceso al ePass 1000 basado en Browser vía Controles ActiveX y Java Applets • Tres niveles de seguridad para acceder a los archivos y derechos de administrador • Dos niveles de estructura de archivos de directorio
• Carcasa de plástico duro, resistente a golpes
• Shell de protección incluido sin costo adicional (tapa de protección)
• Múltiples opciones de colores e integraciones con terceras partes y posibilidad de personalización de logos
Especificaciones Técnicas del ePass1000
Sistemas operativos Microsoft
Windows 98 y 98SE Windows ME, Windows 2000,
Windows XP, Windows Server 2003.
Sistemas Operativos Linux (2)
RedHat AS 3.0 & 4.0 RedHat WS 2.0
RedHat 7.3, 8.0 & 9.0 y superior Fedora 2.0, 3.0, 4.0 y superior
Mandrake 10.0 & 10.1 Suse 9.1, 9.2, 9.3 Suse 10.0 y superior SlackWare 10.1 & SlackWare 10.2
Ubuntu 5.04 & 5.10 Debian 3.1 RedFlag 4.1 Sistemas Operativos MAC OS MAC OS 8/9
MAC OS 10 Superior SDK & APIs con soporte para MSCapi y
PKCS#11
Microsoft Linux MAC
Certificaciones y estándares:
PKCS#11 v2.01, MS CAPI (Microsoft Crypto API), PC/SC, X.509 v3 Almacenamiento de Certificados
SSL v3, IPSec/IKE, ISO 7816 compatible
Procesador: 8 bit
Tamaño de Memoria (por Modelo): 8Kb y 32Kb
Mecanismo de encriptación RSA 1024, DSA, DES, 3DES, DH, RC2, RC4 ID de Hardware 64 bits
Algoritmos de Seguridad
On-Board: HMAC-MD5
Nivel de Seguridad en el Chip: Almacenamiento seguro y encriptado de la información
Dimensiones (por Modelo): 58x14x7mm (estándar) Peso (por Modelo): 8 gramos (estándar) Disipación de Potencia: < 250 mW Temperatura de Operación: 0 a 70 ºC (32 F a 156 F) Temperatura de Almacenamiento: -40 a 85 ºC (-40 F a 185 F) Humedad: 0 a 100% sin condensación Tipo de Conector: Tipo USB A (Universal Serial Bus) (2) Otras distribuciones que no se encuentren listadas pueden ser solicitadas y desarrolladas bajo pedido.
Carcasa: Plástico resistente a golpes, con capuchón para el conector USB
Chasis: Plástico moldeado de alto impacto, contra rotura.
Retención de Datos en la Memoria: Como mínimo 10 años Reescritura en la Memoria: Mayor a 100.000 veces
Herramientas de administración El ePass1000 Manager se encuentra disponible en inglés, chino y japonés.
Instalación del Middleware Setup Multi lenguaje y videos de capacitación. Licenciamiento No hay costo de licencia de software. Actualizaciones No hay costo por actualizaciones de software, las
mismas son sin cargo alguno.
Opcionales con y sin costo Color
El cliente puede definir el color del ePass, dependiendo de la cantidad y la modalidad de adquisición.
Ring
El cliente puede ordenar el ring para cada uno de los dispositivos.
Branding El ePass puede tener un sticker con el logo personalizado, dependiendo del volumen de compra.
Especificaciones Técnicas de ePass1000ND
Sistemas operativos Microsoft Soportados: Windows 98 y 98SE Windows ME Windows 2000 Windows XP Windows Server 2003 SDK & APIs con soporte para:MSCAPI y PKCS#11 Microsoft
Certificaciones y estándares: PKCS#11 v2.01, MS CAPI, PC/SC, X.509 v3 Almacenamiento de Certificados, SSL v3, IPSec/IKE
Procesador 8 bits
Tamaño de Memoria 8 Kb
Mecanismo de encriptación RSA 1024, DSA, DES, 3DES, DH, RC2, RC4 Algoritmos de Seguridad
On-Board: TEA-MD5
Nivel de Seguridad en el Chip: Almacenamiento Seguro y encriptado de la información.
ID de Hardware 64 bits
Dimensiones (por Modelo): 50x17x7mm (standard) Peso (por Modelo): 6 gramos (standard) Disipación de Potencia: < 250 mW Temperatura de Operación: 0 a 70 Cº (32 F a 156 F) Temperatura de Almacenamiento: -40 a 85 Cº (-40 F a 185 F) Humedad: 0 a 100% sin condensación Tipo de Conector: Tipo USB A (Universal Serial Bus)
Carcasa: Plástico resistente a golpes, con capuchón para el conector USB a fin de proteger el dispositivo.
Chasis: Plástico moldeado de alto impacto, evidente a la
rotura.
Retención de la información en la Memoria: Mayor a 10 años. Sobre escritura de las celdas en la
Memoria: Como mínimo 100.000 veces. Herramientas de Administración El ePass1000ND Manager se encuentra en
Castellano, Ingles, Portugués, Chino y Japonés. Instalación del Middleware Setup Multi lenguaje y videos de capacitación. Licenciamiento No hay costo de licencia de software.
Familia de ePass 3000 Token USB – BioPass 3000
En esta sección de la guia describiremos 2 de las soluciones y características de los dispositivos ePass3000, entre los cuales se encuentran ePass3000 y BioPass3000 (híbrido Token USB – dispositivo biométrico).
Descripción del BioPass 3000 Token
El BioPass3000 Token USB es el primer y único dispositivo a nivel mundial para almacenamiento de Certificados Digitales que ofrece la tecnología de reconocimiento de las huellas dactilares para sustituir la utilización del PIN de acceso al dispositivo
criptográfico.
Este nuevo concepto busca reforzar la política de seguridad y facilitar el uso de los Tokens USB en el ambiente de los Certificados Digitales.
BioPass es un token usb +lector biométrico basado en la tecnología de una smartcard portátil. Combina un módulo sensor de huella dactilar, un módulo de verificación de huell
Con el almacenamiento de las huellas dactilares el BioPass usa una verificación única e inequívoca, alternativa a la verificación tradicional de claves.
a dactilar y un ePass token USB.
Características del ePass BioPass 3000 Token
• Procesador smartcard de 32-bits con procesamiento de huellas digitales a alta velocidad • 128 kb de memoria on board, 64 K accesible para el usuario a fin de almacenar
passwords, certificados digitales, credenciales seguras, etc.
• Generación on board del par de claves RSA de 1024-bit en 2 segundos • Sensor de huellas dactilares por desplazamiento, de larga vida útil • Resistente a la abrasión. Soporta más de un millón de deslizamientos. • La información privada no puede ser exportada fuera del dispositivo. • Compatible con PKI, se proveen interfaces CSP (MSCapi) y PKCS#11
• Reintentos de identificación de huella dactilar ilimitados, solo con la huella correcta se puede acceder al dispositivo.
Especificaciones Técnicas del ePass BioPass 3000 Token
Sistemas Operativos Soportados
Windows 98SE Windows Me Windows 2000 Windows XP Windows 2003 Linux Mac OS
API & Soporte estándar PKCS # 11 v2.11, MS CAPI, PC/SC, X.509 v3 Almacén de Certificados, SSL v3, IPSec, ISO 7816 Compatible
Algoritmos de Encriptación en Chip RSA, DES, 3DES, MD5, SHA-1 Logitud de Clave y tipo RSA 2024 / 1024 / 512 bits on board Nivel de Seguridad del Chip Datos Encriptados
Voltaje 5V(VIA Puerto USB) Consumo de Energía 80 - 150mA Temperatura de Operación: 5 ~ 40°C Temperatura de Almacenamiento: 0 ~ 50°C
Humedad: 20 ~ 80%
Carcasa: Plástico resistente a golpes Conector (cable - dispositivo) Puerto USB-Mini USB Modo de Importación de Huella Deslizamiento
Procesador 32 Bits
Espacio de Almacenamiento 64 Kb
Reescritura en la Memoria: Mayor a 100.000 Veces Memoria de Almacenamiento de Datos Como mínimo 100 Años Vída Útil Sensor 1.000.000 deslizamientos HBM (Modelo Cuerpo Humano) CMOS I/O < 2KV
Superficie On ± 16KV
Tiempo de Captura de Huella < 1S Tiempo de Identificación < 1S Modo de Encaje 1 : 1; 1 : N Tasa de Falsa Aceptación 0.1% ~ 0.01% Tasa de Falso Rechazo 0.01% ~ 0.001% Número Máximo de Huellas Dactilares
Almacenadas On-chip 8 Niveles de Encaje 3 Niveles Reintentos Posibles de Huella Dactilar Ilimitados Indicadores de Estado 2 LEDs
Características del ePass3000 Token USB
• Único Token USB con un procesador smartcard de Generación
32-bits • on board del par de claves RSA de
• el par de claves RSA de
• perativo propietario - FEITIAN COS DES,
• rdware único de 64-bits
re o a fin de almacenar passwords, • SP (MSCapi) y PKCS#11 con el dispositivo 9 v3 etscape y Firefox rador. 1024-bit en 2 segundos Generación on board d 2048-bit Sistema o
• Desarrollado para soportar algoritmos RSA, 3DES, SHA-1 y MD5
Número de serie de ha
• Generación de números aleatorios en el hardwa • 128 kb de memoria on board, 64 Kb accesible para
el usuari
certificados digitales, credenciales seguras, etc. Soporte para Smartcard Logon de windows • Compatible con PKI, se proveen interfaces C
• Se proporcionan interfaces estándares de seguridad para comunicarse (CSP y PKCS#11)
• Soporte para múltiples claves almacenadas en el mismo dispositivo • Firma digital realizada en el hardware
• Soporta el estándar de certificados X.50 • Integración inmediata con Internet Explorer, N
• Accesible mediante controles ActiveX o Java Applet con el explo • Dispositivo estándar USB 1.1, soporta la interface para USB 2.0
Especificaciones Técnicas del ePass3000 Token
Sistemas operativos Windows: Windows 98SE Windows ME Windows 2000
Windows XP Windows Server 2003
Windows Vista
Certificaciones y estándares: PKCS # 11 v2.11, MS CAPI (Microsoft Crypto API), PC/SC, X.509 v3 Almacenamiento de Certificados,
SSL v3, IPSec/IKE, y cumple con la ISO 7816
Procesador: 32 bits
Tamaño de Memoria (por Modelo): 128 kb total 64k (memoria del usuario) Mecanismo de Encripción – Autenticación
en el chip RSA, DES, 3DES (triple DES), SHA-1 MD5 y SSF33 Algoritmos de Seguridad
On-Board: RSA 512/1024/2048 bits, DES, 3DES, SHA-1 Tiempo de Generación del Certificado Menor a 2 segundos aprox.
Generación de números en el chip: Generación aleatoria de números dentro del chip de hardware
ID de Hardware 64 bits Dimensiones (por Modelo): 58*19*9mm (D1) Peso (por Modelo): 10.8g Disipación de Potencia: < 500 mW
Operacion <100mA
Voltaje 5v
Temperatura de Operación: 0 a 70 Cº (32 F a 156 F) Temperatura de Almacenamiento: -40 a 85 Cº (-40 F a 185 F) Humedad: 0 a 100% sin condensación Tipo de Conector: Tipo USB A (Universal Serial Bus) Tipo de interfaces Dispositivo USB 1.1, USB 2.0 Tipo A, tasa de
transferencia de la interfaz 12Mbps
Carcasa: Plástico resistente a golpes, con capuchón para el conector USB a fin de proteger el dispositivo Chasis Plástico moldeado de alto impacto, contra rotura. Material ABS (colophony) y PC (poli carbonato) Retención de datos en la Memoria Mayor a 10 años
Reescritura en la Memoria Mínimo 500.000 veces
Estandares Cumple con los estándares CE y FCC Herramientas de Administración El ePass3000 Manager se encuentra disponible en
Castellano, Portugués, Chino, Japonés e Ingles. Instalación del Middleware Setup Multi lenguaje y videos de capacitación Licenciamiento No hay costo de licencia de software Actualizaciones No hay costo por actualizaciones de software, las
Opcionales con y sin costo
Color El cliente puede definir el color del ePass, dependiendo de la cantidad y la modalidad de adquisición.
Ring El cliente puede ordenar el ring para cada uno de los dispositivos.
Branding El ePass puede tener un sticker con el logo personalizado, dependiendo del volumen de compra.
2.
Introducción a la nueva
generación: ePassNG
ePassNG es la Nueva Generación de productos de seguridad de información, totalmente independiente de la plataforma en la que se instala.
Básicamente provee soporte de hardware para las capas superiores, que pertenecen al grupo de aplicaciones PKI. Los certificados, el par de claves y cualquier otra información clasificada se encuentran almacenados en forma segura dentro del ePass Token USB.
ePassNG proporciona una interface de programación compatible tanto con PKCS#11 y CryptoAPI de Microsoft, de este modo se garantiza la compatibilidad del producto con la mayoría de las aplicaciones PKI existentes en el mercado.
Para los desarrolladores de software “ISVs” (Independent Software Vendors) es muy fácil de usar, y desde ya pueden desarrollar sus aplicaciones con soporte PKI e integrarlas con los dispositivos ePass Token con absoluta sencillez, gracias a la implementación de las interfaces estándar antes mencionadas.
Por otra parte, como consecuencia de la simple estructura del framework, los diferentes proveedores de hardware pueden integrar sus productos al framework de ePassNG implementando, lo que denominamos un TSP (Token Service Provider), resultando absolutamente sencillo para integrar en sus soluciones de hardware al framework PKI.
Este capítulo tratara los siguientes temas:
#
#
#
#
#
#
Estructura del framework ePassNG
Características y funcionalidades del ePassNG
Dispositivos Hardware que soporta ePass NG
El Framework ePassNG fue diseñado para soportar diferentes dispositivos hardware, como se explicará en las siguientes secciones.
Actualmente, ePassNG soporta los siguientes ePass Tokens USB de Feitian:
ePass1000ND
ePass2000 FT11Token USB ePass2000 FT12 Token USB ePass3000
Estructura del framework ePassNG
ePassNG proporciona las interfaces de programación para los estándares PKCS#11 y CryptoAPI (la Crypto API de Microsoft) a fin de integrar el hardware de ePass con las aplicaciones PKI. Los desarrolladores de software pueden crear sus propias aplicaciones PKI basándose en cualquiera de estos estándares, y lograrán una robusta integración con los dispositivos ePass Token USB y el framework ePassNG.
Además, las interfaces proporcionadas por ePassNG pueden integrarse con cualquier aplicación PKI estándar realizando una pequeña configuración.
La estructura framework del ePassNG se muestra en la figura 1-1.
Figura 1-1
Se puede ver en la figura 1-1 que el framework del ePassNG contiene cinco niveles o capas:
capa de hardware,
capa de núcleo del driver, capa abstracta de hardware, capa de interface de aplicación y la capa de la aplicación.
$
Capa de Hardware
Esta capa es la infraestructura del framework. Contiene varios tokens incluyendo sus circuitos de hardware, programas de firmware y cables. Cualquier token compatible con el estándar PC/SC puede ser soportado por esta capa, como por ejemplo: ePass1000, ePass1000ND, ePass Token USB, ePass3000, BioPass Token 3000, combinaciones de otras lectoras, smartcards y dispositivos USB de terceras empresas, etc. La característica común es que los tokens pueden ser controlados y accedidos usando funciones del sistema operativo a través del Administrador de Recursos de la Smart Card. Los tokens también podrían ser dispositivos compatibles con HID (Human Interface Device/Dispositivo de Interface Humana), como por ejemplo el ePass1000ND (non-driver / Token USB lanzado por Feitian que no requiere la instalación de drivers), tokens USB flash disk (ePass EF – Solo producido bajo pedido) y hasta archivos en el disco rígido. Distintas clases de tokens o varios tokens del mismo tipo podrían trabajar todos juntos.
$
Capa de Núcleo del Driver
La capa del Núcleo del Driver administra la comunicación de datos entre la PC cliente y la capa del hardware, a su vez maneja y administra los pedidos de acceso desde la capa TSP. para los tokens que soportan el estándar PC/SC. Esta capa trabaja como driver para el hardware compatible con PC/SC y para el sistema operativo a través del administrador de recursos de la Smart Card. Para los tokens compatibles con HID, esta capa es reemplazada por los drivers embebidos en el sistema operativo.
$
Capa Abstracta de Hardware
La capa abstracta del hardware proporciona interfaces abstractas para la capa de la interface de aplicación. Las comunicaciones entre la PC y los diferentes dispositivos (incluyendo tokens) utilizan esta capa. Este diseño oculta eficientemente la diferencias entre hardware. La implementación de software de esta capa se denomina “TSP“(Token Service Provider)
$
Capa de Interface de Aplicación
La capa de interface de aplicación proporciona las implementaciones estándar de PKCS#11 y CryptoAPI para la capa superior de aplicaciones PKI.
También es proporcionada una inteface PC/SC compatible con el estándar de Microsoft®. Los desarrolladores pueden desarrollar aplicaciones con el conjunto de funciones de este estándar con las cuales están familiarizados. Esta interface es independiente de la plataforma y podría ser aplicada a cualquier plataforma que sea compatible con ePassNG
$
Capa de Aplicación
La capa de aplicación incluye las aplicaciones que forman parte del framework de ePassNG y cualquier otra aplicación que utilice el hardware de ePass. Como ePassNG proporciona diferentes tipos de interfaces estándar, ésta es compatible con la mayoría de las aplicaciones existentes y además los desarrolladores pueden usar los conjuntos de interfaces con las que se encuentran familiarizados para diseñar sus propias aplicaciones.
Características de Framework ePassNG
$
Independiente de la Plataforma
En la actualidad ePassNG soporta diferentes sistemas operativos, incluyendo Windows, Redhat, Mandrake, Mac OS X y plataformas Knoppix Linux. Las bibliotecas que integran la solución usan los mismos códigos (a diferencia de algunas otras soluciones que usan diferentes códigos para cada una de las diferentes plataformas) esto es fundamental a la hora de proveer un verdadero producto independiente de la plataforma.
Se incorporarán muchas otras plataformas en un futuro próximo.
$
Interface Estándar
ePassNG proporciona interfaces PKI estándar para las aplicaciones de capa superior, incluyendo RSA PKCS#11 y MS CryptoAPI (aunque esta última interface sólo puede ser utilizada bajo plataformas Microsoft Windows). Todas las aplicaciones que usen cualquiera de las anteriores interfaces podrían utilizar el Framework de ePassNG para almacenar certificados y claves, procesar operaciones de encripción, etc. También se proveen interfaces estándar para la extensión del soporte de hardware de los tokens de fabricantes de terceras partes, de forma que puedan integrar sus soluciones de hardware con el Framework de ePassNG.
$
Excelente Compatibilidad
ePassNG es totalmente compatible con el hardware de los productos ePass3000, ePass Token USB FT12 y ePass1000ND de Feitian. Además, los certificados generados por ePassNG en una plataforma podrían ser usados en otra plataforma sin ningún problema. Esto les permite a los usuarios usar identificaciones únicas a través de distintas plataformas.
$
Soporte para Varios Tokens
El diseño abierto de ePassNG permite soportar diferentes clases de tokens, incluso trabajando al mismo tiempo. El usuario puede elegir cualquier token de acuerdo al uso que se le dará.
Si se implementa el TSP correspondiente, el ePassNG podría incluso soportar varios tokens virtuales, como ser un disco de almacenamiento flash, un archivo de disco, una disquetera, un CD-ROM, etc.
$
Extensibilidad
Los fabricantes de terceras partes pueden integrar sus productos al framework de ePassNG tan solo firmando el acuerdo correspondiente con Feitian. Si se usa la interface de desarrollo TSP proporcionada por Feitian, los vendedores sólo necesitan hacer unas pequeñas modificaciones, o incluso nada, para la integración.
$
Creciendo Cada Día
Los productos de Feitian, ePass3000, ePass Token USB FT12 y ePass1000ND han obtenido varias certificaciones de terceras partes, tanto nacionales como internacionales, incluyendo Check Point, CFCA, etc.
Haciendo referencia a las ventajas de aquellos productos exitosos, ePassNG se vuelve más estable y seguro. Obtendrá aún más certificaciones en un futuro próximo.
3.
Instalación y Desinstalación
del ePassNG
Instalación del ePass Middleware
¿Que es el Middleware?
Se denomina “Middleware” al instalador de los drivers correspondientes al producto ePass Token USB, es quien le da la compatibilidad a la PC para que la misma pueda trabajar y reconocer el dispositivo criptográfico como es el ePass.
El mismo se encuentra en varios idiomas, entre ellos castellano, inglés, portugués, chino y japonés. Esto es un importante beneficio que pesa en la decisión sobre la elección de una herramienta para autenticar usuarios, ya que ePass es el único producto cuyas herramientas se proveen con soporte de habla Hispana. Ningún otro producto ofrece esta característica.
Si Ud. tiene en su poder el CD del ePassNG, ejecute el archivo de instalación ubicado en la carpeta “Redistribucion\Usuario Final” del CD. También puede encontrar la versión para el Administrador en la carpeta “Redistribucion\Administrador “. La instalación del middlware varía insignificantemente entre ambas versiones.
Al hacerlo, se le mostrará la siguiente pantalla en la que debe seleccionar el idioma deseado para la instalación:
Si lo desea, cambie el idioma actual seleccionado, eligiendo otro desde la lista desplegable. Haga click en “Aceptar” para confirmar el idioma seleccionado.
Haga click en “Siguiente”.
Seleccione “Acepto el contrato” si está de acuerdo con el mismo y haga click en ”Siguiente” para continuar.
Seleccione la carpeta en la que desea instalar el contenido de ePassNG. Puede cambiar la ubicación por defecto escribiendo la ruta a la carpeta, o clickeando en “Examinar” para seleccionar la nueva carpeta gráficamente.
Una vez que haya elegido la ubicación donde se instalarán las herramientas del ePass token, haga click en “Siguiente” para continuar.
Por favor, confirme la selección y haga click en “Instalar”. Tenga en cuenta que al presionar en
“Instalar” comenzará el proceso de instalación del Middleware y las herramientas para poder comenzar a utilizar el dispositivo de autenticación y portabilidad de certificados del ePass token.
Ya ha instalado el Middleware y las herramientas necesarias para trabajar con el ePass Token en su sistema. Haga click en “Finalizar” y reinicie en caso de ser necesario (a partir de Windows 2000, no es necesario).
En el sistema operativo Windows, concluirá el proceso de instalación cuando conecte un dispositivo en el puerto USB de su PC. Al hacerlo, verá los siguientes recuadros (imágenes capturadas en un Windows XP, dependiendo de su sistema operativo, estas imágenes podrían cambiar o incluso no aparecer).
Una vez instalado el middleware del hardware compatible ePassNG en su sistema, al conectar un dispositivo recibirá el siguiente mensaje desde el administrador de certificados en el system tray:
Desinstalación
Para eliminar todas las herramientas, documentación y demás componentes instalados, inicie el asistente de desinstalación desde “Inicio > Programas > MacroSeguridad > [Nombre del Producto] > Desinstalar” donde [Nombre del Producto] es el nombre que corresponda al hardware instalado. O bien, puede desinstalar el software desde “Agregar o quitar programas”, desde el menú “Panel de Control” > “Agregar o Quitar Programas” como se muestra en la imagen a continuación (en la imagen, el producto instalado es ePass2000 FT12. Ese texto varía de acuerdo al hardware instalado).
Seleccione el componente adecuado y haga click en “Quitar”:
Presione sobre el botón “Quitar” e inicie el proceso de desinstalación. Se le pedirá confirmar si desea desinstalar el software:
Presione en “Si”“.
Desinstalación del Middleware
También podría desinstalar solamente el middleware de ePass, sin eliminar las herramientas para ese producto. Inicie el asistente de desinstalación desde el menú “Panel de Control”
Se iniciará el asistente de desinstalación (El nombre del producto varía de acuerdo al hardware instalado. En este caso ePass2000 FT12):
Seleccione “Desinstalar”
Y finalmente haga click en “Terminar”
4.
Manual del Administrador
La interface de las herramientas de administración de ePassNG y sus métodos de operación son similares bajo las diferentes plataformas para facilitar el trabajo de aprendizaje de los usuarios y administradores. Además, ePass1000ND, ePass Token USB FT11, ePass Token USB FT12, ePass3000 comparten la misma herramienta de administración.
Hay dos versiones de la herramienta de administración de ePassNG: la versión para el Usuario Final y la versión del Administrador.
La versión del administrador proporciona mayores funcionalidades, entre ellas las de “Formatear el ePass Token”, “Desbloquear PIN” y “Cambiar SO PIN”.
En este capítulo explicaremos en detalle la utilización de la versión para el administrador de la herramienta de ePassNG con el producto ePass3000 bajo el Sistema Operativo Windows XP con Service Pack 2.®
% Formateo del ePass Token (Sólo disponible para la versión del administrador) % Desbloquear PIN de Usuario (Sólo disponible para la versión del administrador)
% Cambiar el PIN del SO (Security Officer) (Sólo disponible para la versión del administrador)
% Autenticarse al Administrador del ePassNG mediante el Login (Verificar el PIN del usuario)
% Visualizar la información del Slot y del Token % Cambiar el PIN del usuario del ePass Token % Cambiar el nombre del ePass Token
% Administrar la información contenida dentro del ePass Token
Requerimientos mínimos
Para trabajar con los dispositivos de autenticación ePass, Ud deberá contar con los siguientes requerimientos mínimos:
• Una PC con al menos 15 MB de espacio libre en disco
• Windows 98/98SE, ME, 2000, XP, Windows Server 2003 y Windows Vista • Internet Explorer 5.0 o superior
• Al menos un puerto USB, con soporte USB habilitado en el BIOS.
• Un dispositivo ePass, en formato de Token USB o Smartcard (en el último caso, necesitará también un lector Smartcard)
Como la herramienta de administración del ePassNG está basada en el middleware del ePass (el middleware instala los drivers que le dan la compatibilidad al sistema operativo para poder operar con los tokens ePass) y se accede al hardware del token, antes de usar el GUI de la herramienta deberá verificar que los productos de ePassNG (incluyendo el middleware y el driver del hardware) hayan sido debidamente instalados.
De no ser así por favor contacte a su administrador.
Interface del Administrador PKI de ePassNG
La columna de la izquierda muestra los slots soportados.
El panel de la derecha muestra la información básica de cada uno de estos slots.
Figura 4-1 Interface sin Token conectado
Si conecta un Token USB con el nombre de “ePass Token” en el puerto USB de la PC la herramienta reconocerá la información básica del token y mostrará la interface como se muestra en la figura 4-2.
Figura 4-2 Interface con el Token conectado
En la imagen anterior, puede verse en el panel de la izquierda que en el slot “0”, ahora se encuentra conectado un dispositivo. El nombre de este dispositivo se encuentra entre corchetes, y facilita la identificación del token. En este caso, el ePass3000 conectado tiene el nombre “ePass Token”.
Información Mostrada Después de Conectar el Token
Haga Click sobre cualquier slot que contenga un dispositivo ePass token, su información y las posibles operaciones se mostrarán en el lado derecho, como se puede ver en la figura 5-3
La información mostrada a la derecha incluye el estado del slot, la información detallada del token y los botones de operaciones posibles. Tenga en cuenta que la información mostrada puede variar según el tipo de dispositivo conectado. Así, por ejemplo, se tendrá una pantalla similar a la de la figura 4.3a para el dispositivo ePass3000, o como la 4.3b para ePass Token USB FT12. Los botones de operación le brindan una nueva vía de acceso a las operaciones que pueden realizarse sobre cualquier ePass Token.
Figura 4-3a Información mostrada después de conectar un ePass3000
Información Mostrada Cuando No Se Encuentra Conectado el Token
Si hace click sobre alguno de los slots vacíos, también obtendrá información relativa a ese slot como ser versión de hardware y firmware, descripción, etc, como muestra la figura 4-4
Figura 4-4 Información mostrada cuando no está conectado el Token
Operaciones Básicas del ePass Token
A continuación se enumeran las diferentes operaciones aplicables a los dispositivos ePass Token USB. Puede acceder a estas operaciones desde el menú “Operación”, desde el menú contextual (haciendo click derecho sobre algún ePass Token en la lista de la izquierda), con los botones de la parte inferior del panel derecho de la aplicación cuando haya seleccionado algún ePass de la lista del panel izquierdo, o utilizando una combinación de teclas particular.
Login
Antes de loguearse, el usuario sólo puede ver los objetos públicos del token (certificado y clave pública). Los objetos privados sólo podrán ser accedidos luego de que el usuario haya ingresado correctamente el PIN en la operación de Login. Seleccione la opción de Login por cualquiera de los medios posibles, y el sistema mostrará la ventana correspondiente, como se ve en la Figura 4-5.
&
NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + LFIgura 4-5 Ventana de Login
Luego de ingresar el PIN correcto, haga click sobre el botón “Login” para poder terminar exitosamente el proceso de autenticación.
Al loguearse, la aplicación lo llevará directamente a la sección de Administración de Certificados, donde podrá ver la información almacenada en la memoria del chip smartcard, como ser certificados, claves públicas y privadas.
El botón Login de las operaciones del usuario no de deshabilita en ningún momento, aunque el usuario ya se haya logueado. En caso de que el usuario ya esté logueado e intente hacerlo de nuevo, la aplicación sólo cambiará la pantalla al estado de información de los slots (figura 5-2).
&
NOTA: si se ingresa en forma incorrecta el PIN 10 veces consecutivas, el dispositivo se bloqueará y no podrá ser accedido aunque el usuario ingrese correctamente el PIN. Sólo podrá ser desbloqueado por el administrador (ver secciónDesbloquear PIN de Usuario).Cambiar el PIN de Usuario
Por seguridad, se le recomienda al usuario que cambie el PIN periódicamente. Para realizar el cambio del PIN o password de acceso al dispositivo, seleccione la operación “Cambiar PIN de Usuario” por cualquiera de las vías posibles. El sistema mostrará una ventana como la de la figura 4-6. El usuario puede cambiar el PIN tantas veces como quiera.
&
NOTA: Si lo desea, puede realizar esta operación con la combinación de teclas ALT + PFigura 4-6 Cambio del PIN de Usuario.
Cuando se quiera cambiar el PIN del usuario, el mismo tendrá que ingresar primero el PIN actual, luego ingresar el nuevo PIN y finalmente confirmarlo, ingresándolo nuevamente. Haga click sobre el botón “Aceptar” para que la operación sea procesada.
Cambio de PIN exitoso
