Este documento describe cómo las organizaciones pueden mejorar la seguridad de acceso a sus sistemas implementando el uso del DNIe electrónico. Se explican dos opciones técnicas para lograr el acceso único con DNIe: la verificación de credenciales y envío de usuario/contraseña, o la autenticación mediante firma digital. Finalmente, se describen dos productos de SmartAccess, SmartID Corporate Logon y IDOne Professional, que permiten implementar estas opciones de acceso con DNIe sin modificar la estructura del Active Directory.
2. Imaginemos el siguiente escenario…
Una empresa u organismo público con unos
cientos de empleados
Los puestos tienen Windows
Directorio Activo instalado
Los usuarios tienen todos una cuenta en AD
PUBLIC Página 2
3. ¿ Es perfecto?
Casi, pero :
• los usuarios comparten sus contraseñas,
• las apuntan
• utilizan contraseñas como: password o 1234
Las aplicaciones no están integradas a nivel
de seguridad y vuelven a pedirnos de nuevo
usuario y contraseña.
PUBLIC Página 3
4. ¿Que deberíamos hacer?
Implementar un mecanismo más seguro de
las contraseñas para que los usuarios
accedan a sus puestos y a sus aplicaciones.
Implementar un mecanismo de acceso único
a todos los sistemas y aplicaciones (Single
Sign-On)
PUBLIC Página 4
5. Y, ¿qué opciones tengo?
De menor a mayor nivel de seguridad
• Usar sistemas de passwords de un solo uso
OTP : One Time Password
• Usar algún sistema biométrico
• Usar smartcards con certificados digitales
Todos estos sistemas requieren cierta
inversión en hardware y por supuesto en
software.
PUBLIC Página 5
6. Vale, pero ¿que hago?
No todo el mundo necesita el mayor nivel de
seguridad. Depende de lo que protegemos
Las smartcards con certificado nos ayudan a
introducir la firma electrónica en la
organización.
Además, el DNIe nos puede evitar la
adquisición de smartcards y la emisión de
certificados digitales.
PUBLIC Página 6
7. Logon con smartcard
¿Lo hemos inventado nosotros?
• NO, existe desde hace mas de 9 años.
• Con validación con AD existe desde el
lanzamiento de Windows 2000.
Necesito:
• una smartcard con "driver" (middleware) para
Windows que contenga un certificado digital con
ciertas características.
PUBLIC Página 7
8. ¿Que es eso del middleware?
Es un software asociado a una smartcard o tarjeta
criptográfica que contiene:
• Un API y driver para aplicaciones Windows, llamado CSP
• Otro API para sistemas no Windows, llamado PKCS#11
• Utilidades de gestión de la tarjeta: inicialización, cambio
de PIN, desboqueo, carga de certificados, aviso de
caducidad, etc.
En las tarjetas comerciales suele tener un
coste aparte. En el DNIe y las tarjetas de la
FNMT se descarga gartuitamente.
PUBLIC Página 8
9. Para hacer logon con el DNIe,
¿qué hace falta?
Que mi sistema operativo sepa comunicarse
con el DNIe. Instalación del "driver" (mejor
llamado middleware)
Poder relacionar de alguna forma los
certificados del DNIe con la cuenta del
usuario en el Directorio Activo
Poder comprobar que el certificado no ha
sido revocado. Esto se hace mediante una
conexión con un servicio prporcionado por el
emisor del certificado, accesible por Internet.
PUBLIC Página 9
10. Dos posibilidades tecnicas:
Verificación de credencial y envío de
usuario/contraseña.
Autenticación mediante firma digital.
PUBLIC Página 10
11. Verificación de credenciales y …
Inyección de usuario y contraseña
• Un usuario presenta su DNIe y su PIN ante la
aplicación
• La aplicación recupera el usuario y contraseña
guardadas de forma segura
• Se envía el usuario y contraseña al sistema.
Ventaja: mayor simplicidad y compatibilidad
Desventajas: Afectado por caducidad de contraseñas,
bloqueos, etc.
.
PUBLIC Página 11
12. Autenticación mediante firma
• El servidor envía un desafío aleatorio y el cliente lo firma con su clave privada
(si el certicado no está caducado).
• El cliente envía al servidor la firma y la parte pública del certificado
• El servidor valida la firma y comprueba que el certificado no ha sido revocado
• El servidor requiere de un certificado para autenticarse y cifrar la
comunicación
• Si todo va bien, el servidor emite un ticket kerberos.
• El protocolo de autenticación es na extensión de Kerberos para smartcard
llamada PKINIT. Propuesto para su estandarización.
• El usuario y contraseña no afectan en todo el proceso. Se requiere conocer
previamente el dominio y el login name del usuario. Bien porque está incluido
en el certificado, bién porque soy capaz de establecer reglas de asociación.
PUBLIC Página 12
13. ¿Cuál utiliza SmartAccess?
Implementamos ambas técnicas en 2
diferentes productos
• SmartID Corporate Logon - Autenticación
mediante firma
• IDOne Professional – Verificación de credenciales
y envío de usuario/contraseña
Ambos se integran con Active Directory, sin
realizar ningún cambio en su estructura.
Cualquier AD sirve.
PUBLIC Página 13
14. SmartID Corporate Logon
Funciona con cualquier smartcard, cualquier certificado
digital y cualquier lector.Condiciones:
• Smartcard - disponer de CSP "driver"
• Certificado Digital - cumplir el estandar X509v3
• Lector smartcard - cumplir la especificación PC/SC
No modifica la GINA (2000, XP) ni modificar el esquema
del Active Directory
Requiere instalar software en todos los clientes que
requieran realizar logon y en todos los servidores
controladores de dominio de un site o un forest.
Se instala en un par de horas.
PUBLIC Página 14
15. IDOne Professional
Amplía la GINA (2000, XP) mediante un wrapper.
• En Vista y Windos 7 es un Credential Provider.
Arquitectura cliente/servidor
Múltiples repositorios de credenciales: local, master ,
AD, LDAP , BBDD
Menores requisitos técnicos que SmartID Coporate
Logon
• No necesito certificados de servidor
• No requiere certificados en la smartcard
Soporta también reconocimiento biométrico de la huella
dactilar y elementos de proximidad RFID (tarjetas,
pulseras, llaveros, etc.)
PUBLIC Página 15
16. Pero tiene más usos…
Autenticación
• Acceso al puesto remoto (TS/Citrix/VDI)
• Teletrabajo seguro (VPN)
• Colaboración con clientes y proveedores (Web)
Mejorar el servicio al público
Navegación segura por Internet
Verificación de la identidad
PUBLIC Página 16
18. Si quieres probarlo…
No te molestamos. Te lo descargas de la web
sin compromiso ni registro en:
• www.smartaccess.es (Descargas)
Pero si quieres consultarnos algo:
• soporte@smartaccess.es
• Tlf: 902.907.365 / 915.560.042
PUBLIC Página 18