Smartcard Logon en Vista

La funcionalidad de inicio de sesión o logon con smartcard en Windows Vista ha cambiado en varios aspectos clave. Las principales diferencias con respecto a Windows XP son:

• El proceso de logon ya no se activa al insertar la tarjeta en el lector, ahora el usuario debe pulsar la combinación Ctrl-Alt-Supr para iniciar el proceso.
• El proceso enumera todos los certificados válidos en todas las smartcards existentes y se presentan al usuario para su elección.
• Se elimina la restricción de uso del certificado por defecto en la tarjeta y se soportan varios certificados en una misma tarjeta e incluso en varias tarjetas al mismo tiempo. Todos ellos se presentan al usuario en el ventana inicial.
• Se ha reescrito todo el proceso de inicio de sesión (la famosa GINA de Windows) para hacerlo más seguro y más modular. Ahora es posible extender parcialmente el proceso de logon con módulos denominados "Credential Providers". La consecuencia inmedianta de este cambio es la necesidad de reescribir casi todos las aplicaciones que sustituian o interactuaban con la GINA en Windows XP.

Rames.

Una nueva era para el Reconocimiento Facial. Ahora mejor que los humanos

Recientemente se han publicado los resultados del test de empresas reconocimiento facial Face Recognition Vendor Test 2006 organizado por el prestigioso NIST (National Institute of Standards and Technology).

De los resultados publicados, se puede observar que la mejora producida en los algoritmos de reconocimiento facial es impresionante y debería cambiar las actuales percepciones de que esta tecnología no es suficientemente precisa para aplicaciones de verificación individual.

En 1993, con un ratio de falso positivo de 0.001 (permitía el acceso erroneo de una persona de cada 1000 intentos de acceso por parte de un impostor), el ratio de falso negativo FRR (False Reject Rate) (el porcentage de personas rechazadas erroneamente) era de 0,79. En 1997 el FRR cayó a 0,54 y en 2002 a 0,20 mientras que en los últimos tests esta cifra se ha reducido a 0,01 (obtenido por Neven Vision con imagenes estáticas de muy alta resolución y por Visage con imagenes 3D).

Según el NIST, el avance de los algoritmos desde el mismo evento en 2002 (FRVT 2002) y este año (FRVT 2006) se debe principalmente a los avances conseguidos en el diseño de algoritmos, los sensores y la importancia de corrección de la variación lumínica entre imagenes.

Sin embargo el test fue realizado antes de la existencia de la del standard ISO/IEC 19794-5 de imagenes faciales, y por tanto no ha podido realizarse sobre imagenes faciales ICAO como las que se almacenan en los e-Pasaportes. Esto hace que el test no proporcione información predictiva de como se comportarían los algoritmos actuales en entornos reales de inmigración.

Por último, una parte importante del estudio trato de determinar si los algoritmos de reconocimiento facial se comportan mejor que los humanos en esta tarea. Los resultados indicaron que siete algoritmos automáticos de reconocimiento facial fueron comparables o mejores que ciertos humanos en dichas tareas de reconocimiento.

Rames

Proximo evento CIT 2007 en Madrid

En próximo més de Marzo, del 13 al 15 se celebra en Madrid el "10º Congreso y Exposición de Tarjetas y médios de Pago" con una jornada de ponencias dedicadas exclusivamente al "DNI-e como sistemas de identificación electrónica". Participan interesantes ponentes como:

• Julián Inza, Presidente de Albalia Interactiva,
• Juan Crespo de la Dirección General de la Policía y Guardia Civil,
• Luis Cadarso, Presidente de AECE

Sin duda un interesante evento.

Un saludo

La desaparición de las passwords

No es una noticia muy reciente, pero sirve para reflejar que este año y los siguientes probablemente veremos el ocaso de los sistemas de acceso basados en contraseña y el ascenso imparable de los sistemas de autenticación multifactor. Al menos en esto coincido con Bill Gates, que afirmó hace exactamente un año (por San Valentín) en la "RSA Conference 2006" que las passwords desaparecerán en 3 o 4 años para los sistemas empresariales y serán sustituidos por sistemas de autenticación robusta.

"I don't pretend that we are going to move away from passwords overnight, but over three or four years, for corporate systems, this change can and should happen," (Bill Gates, RSA Conference 2006, February 14, 2006).

Fragmento de la Conferencia (inglés, 38s) Video completo de su intervención (inglés, 45min)

Un saludo

El DNI electronico vs otras Smartcards

Quisiera compartir nuestra experiencia con el uso del nuevo DNI electrónico (en adelante DNIe) en un entorno de una gran empresa u organismo público. Quizás no todo el mundo lo sepa, pero el comportamiento del DNIe no es igual al de otras smartcards en el mercado.

Como resumen de sus diferencias principales destaca:

• Para ser utilizado en un equipo es necesario instalar previamente un módulo criptográfico (al igual que otras smartcards) que se responsabiliza de la comunicación con la tarjeta y la realización de ciertas operaciones criptográficas.
• En Windows, existen 2 versiones de dicho módulo: Uno basado en un norma desarrollada por los RSA Labs, denominado PKCS#11 y que emplean casi todos los navegadores excepto Internet Explorer. El otro diseñado por Microsoft dentro de su CryptoAPI denominado CSP (Cryptografic Service Provider) y que utiliza Internet Explorer, y el resto de aplicaciones de Microsoft como Outlook, Outlook Express, Office, IIS, etc.
• La tarjeta contiene almacenados varios elementos entre los que se incluye: 2 certificados uno de firma y otro de autenticación, la fotografía digitalizada del usuario, el patrón de las huellas capturadas, la firma manuscrita digitalizadas, los datos de la persona, etc..
• No es posible almacenar ninguna información en la tarjeta por parte de una aplicación. El PIN del usuario no confiere derechos de escritura.
• Con el PIN del usuario no es posible acceder a la foto, huellas, firma manuscrita ni a los datos de la persona. Esto esta restringido para la policía.
• Al contrario que otras smartcard, la parte pública de los certificados no es accesible sin que el usuario introduzca su PIN, esto es así para asegurar que nadie accede a los certificados sin el consentimiento del usuario, pero tambien tiene muchas implicaciones.
• El CSP del DNIe presenta su propia ventana para solicitar el PIN con el logotipo del DNIe y no permite el paso de un PIN capturado en otra ventana o aplicación, por motivos de seguridad.
• El uso de claves RSA de 2048 bits en los certificados de usuario (frente a las 1024 bits de otras smartcard) hace que las operaciones criptográficas lleven más tiempo. Dado que la progresión no es lineal sino más bien exponencial, algunos tiempos pueden multiplicarse hasta por 6 o 7.
• El CSP del DNIe, es muy sensible a la conexión y desconexión de lectores USB en caliente y es posible que deje de responder ante estos eventos, obligando a reiniciar la maquina para normalizar la situación. Entiendo que esta es una situación transitoria que se corregirá en futuras versiones.

Seguro que me dejo algunas más pero creo que son suficientes para darnos cuenta que no es una smartcard más y que deben tenerse en cuenta estas diferencias a la hora de desarrollar aplicaciones que lo soporten.

El próximo día explicaré las implicaciones de estas diferencias en sus uso dentro de una empresa u organismo público.

Match-on-card

Los mundos de la infraestructura de clave pública y la biometría parecen paralelos. Las empresas implantan sistemas de PKI con smartcards o tokens, o sistemas de acceso biométrico normalmente basado en el reconocimiento de la huella digital. Pero todo esto está cambiando, y aunque ya existían antes del DNI electrónico sistemas que combinaban ambas tecnologías, desde la aparación del DNI, a mi juicio se ha intensificado el interés por productos que combinen ambos mundos.

Una de las aplicaciones más demandadas, es sustituir el factor de "algo que sé" (es decir el PIN de la tarjeta) por el factor "algo que soy" (la huella biométrica). Vamos, en palabras llanas, que pueda usar una smartcard o token sin tener que recordar mi contraseña sino poniendo mi dedo en su lugar.

El sustituir el PIN de acceso a la smartcard o token por una huella tiene implicaciones y trataré de describirlas a continuación. La biometría no es una ciencia exacta y por tanto la representación digital de 2 lecturas de la misma huella no tiene por que ser exactamente igual, ya que depende de múltiples factores (la posición del dedo, la temperatura, la existencia de sudor o grasa, la distorsión del dedo al presionarlo contra el escaner, etc..) . Por ello usar una huella o cualquier otra característica biométrica como sustituto del PIN requiere algo más complejo que una comprobación de igualdad. Es necesario por tanto que la tarjeta implemente internamiento una aplicación que realice la comparación de las "minucias" de la huella leída y el patrón de huella almacenada, indique una probabilidad de que sean iguales y en función de un umbral acepte o rechace el acceso.

Es por tanto que para implementar esta funcionalidad, no basta con tener un escaner o lector de huellas conectado al PC, sino que además las tarjetas debe llevar cargado este applet o programa de matching. Esto se denomina match-on-card y existen algunas implementaciones en el mercado aunque el ejemplo más claro es el nuevo DNI electrónico que permite el acceso a la tarjeta indistintamente mediante el PIN del usuario o la huella. La tarjeta del DNIe según tengo entendido, lleva cargado 2 algoritmos de diferentes fabricante por seguridad. Lamentablemente esta función esta restringida para uso en los terminales o kioskos instalados en las comisarías y no puede ser usada por otras aplicaciones.

De todas fomas, cada vez es más frecuente que se demanden este tipo de características para las empresas y organismos, sobre todo por razones de usabilidad. Claramente es más facil poner la huella que recordar el PIN. En Smart Access trabajamos en desarrollar una versión de nuestros productos con soporte de smarcard con match-on-card para todos aquellos clientes que quieran empezar a usar sistemas más seguros de control de acceso lógico pero a la vez muy usables. Ojalá que haya demanda en este terreno y comencemos a ver más y más productos en este sentido.

Un saludo