- Julián Inza, Presidente de Albalia Interactiva,
- Juan Crespo de la Dirección General de la Policía y Guardia Civil,
- Luis Cadarso, Presidente de AECE
Sin duda un interesante evento.
Un saludo
lunes, 12 de febrero de 2007
Proximo evento CIT 2007 en Madrid
En próximo més de Marzo, del 13 al 15 se celebra en Madrid el "10º Congreso y Exposición de Tarjetas y médios de Pago" con una jornada de ponencias dedicadas exclusivamente al "DNI-e como sistemas de identificación electrónica". Participan interesantes ponentes como:
domingo, 4 de febrero de 2007
La desaparición de las passwords
No es una noticia muy reciente, pero sirve para reflejar que este año y los siguientes probablemente veremos el ocaso de los sistemas de acceso basados en contraseña y el ascenso imparable de los sistemas de autenticación multifactor. Al menos en esto coincido con Bill Gates, que afirmó hace exactamente un año (por San Valentín) en la "RSA Conference 2006" que las passwords desaparecerán en 3 o 4 años para los sistemas empresariales y serán sustituidos por sistemas de autenticación robusta.
"I don't pretend that we are going to move away from passwords overnight, but over three or four years, for corporate systems, this change can and should happen," (Bill Gates, RSA Conference 2006, February 14, 2006).
Fragmento de la Conferencia (inglés, 38s) Video completo de su intervención (inglés, 45min)
Un saludo
"I don't pretend that we are going to move away from passwords overnight, but over three or four years, for corporate systems, this change can and should happen," (Bill Gates, RSA Conference 2006, February 14, 2006).
Fragmento de la Conferencia (inglés, 38s) Video completo de su intervención (inglés, 45min)
Un saludo
viernes, 2 de febrero de 2007
El DNI electronico vs otras Smartcards
Quisiera compartir nuestra experiencia con el uso del nuevo DNI electrónico (en adelante DNIe) en un entorno de una gran empresa u organismo público. Quizás no todo el mundo lo sepa, pero el comportamiento del DNIe no es igual al de otras smartcards en el mercado.
Como resumen de sus diferencias principales destaca:
Como resumen de sus diferencias principales destaca:
- Para ser utilizado en un equipo es necesario instalar previamente un módulo criptográfico (al igual que otras smartcards) que se responsabiliza de la comunicación con la tarjeta y la realización de ciertas operaciones criptográficas.
- En Windows, existen 2 versiones de dicho módulo: Uno basado en un norma desarrollada por los RSA Labs, denominado PKCS#11 y que emplean casi todos los navegadores excepto Internet Explorer. El otro diseñado por Microsoft dentro de su CryptoAPI denominado CSP (Cryptografic Service Provider) y que utiliza Internet Explorer, y el resto de aplicaciones de Microsoft como Outlook, Outlook Express, Office, IIS, etc.
- La tarjeta contiene almacenados varios elementos entre los que se incluye: 2 certificados uno de firma y otro de autenticación, la fotografía digitalizada del usuario, el patrón de las huellas capturadas, la firma manuscrita digitalizadas, los datos de la persona, etc..
- No es posible almacenar ninguna información en la tarjeta por parte de una aplicación. El PIN del usuario no confiere derechos de escritura.
- Con el PIN del usuario no es posible acceder a la foto, huellas, firma manuscrita ni a los datos de la persona. Esto esta restringido para la policía.
- Al contrario que otras smartcard, la parte pública de los certificados no es accesible sin que el usuario introduzca su PIN, esto es así para asegurar que nadie accede a los certificados sin el consentimiento del usuario, pero tambien tiene muchas implicaciones.
- El CSP del DNIe presenta su propia ventana para solicitar el PIN con el logotipo del DNIe y no permite el paso de un PIN capturado en otra ventana o aplicación, por motivos de seguridad.
- El uso de claves RSA de 2048 bits en los certificados de usuario (frente a las 1024 bits de otras smartcard) hace que las operaciones criptográficas lleven más tiempo. Dado que la progresión no es lineal sino más bien exponencial, algunos tiempos pueden multiplicarse hasta por 6 o 7.
- El CSP del DNIe, es muy sensible a la conexión y desconexión de lectores USB en caliente y es posible que deje de responder ante estos eventos, obligando a reiniciar la maquina para normalizar la situación. Entiendo que esta es una situación transitoria que se corregirá en futuras versiones.
Seguro que me dejo algunas más pero creo que son suficientes para darnos cuenta que no es una smartcard más y que deben tenerse en cuenta estas diferencias a la hora de desarrollar aplicaciones que lo soporten.
El próximo día explicaré las implicaciones de estas diferencias en sus uso dentro de una empresa u organismo público.
jueves, 1 de febrero de 2007
Match-on-card
Los mundos de la infraestructura de clave pública y la biometría parecen paralelos. Las empresas implantan sistemas de PKI con smartcards o tokens, o sistemas de acceso biométrico normalmente basado en el reconocimiento de la huella digital. Pero todo esto está cambiando, y aunque ya existían antes del DNI electrónico sistemas que combinaban ambas tecnologías, desde la aparación del DNI, a mi juicio se ha intensificado el interés por productos que combinen ambos mundos.
Una de las aplicaciones más demandadas, es sustituir el factor de "algo que sé" (es decir el PIN de la tarjeta) por el factor "algo que soy" (la huella biométrica). Vamos, en palabras llanas, que pueda usar una smartcard o token sin tener que recordar mi contraseña sino poniendo mi dedo en su lugar.
El sustituir el PIN de acceso a la smartcard o token por una huella tiene implicaciones y trataré de describirlas a continuación. La biometría no es una ciencia exacta y por tanto la representación digital de 2 lecturas de la misma huella no tiene por que ser exactamente igual, ya que depende de múltiples factores (la posición del dedo, la temperatura, la existencia de sudor o grasa, la distorsión del dedo al presionarlo contra el escaner, etc..) . Por ello usar una huella o cualquier otra característica biométrica como sustituto del PIN requiere algo más complejo que una comprobación de igualdad. Es necesario por tanto que la tarjeta implemente internamiento una aplicación que realice la comparación de las "minucias" de la huella leída y el patrón de huella almacenada, indique una probabilidad de que sean iguales y en función de un umbral acepte o rechace el acceso.
Es por tanto que para implementar esta funcionalidad, no basta con tener un escaner o lector de huellas conectado al PC, sino que además las tarjetas debe llevar cargado este applet o programa de matching. Esto se denomina match-on-card y existen algunas implementaciones en el mercado aunque el ejemplo más claro es el nuevo DNI electrónico que permite el acceso a la tarjeta indistintamente mediante el PIN del usuario o la huella. La tarjeta del DNIe según tengo entendido, lleva cargado 2 algoritmos de diferentes fabricante por seguridad. Lamentablemente esta función esta restringida para uso en los terminales o kioskos instalados en las comisarías y no puede ser usada por otras aplicaciones.
De todas fomas, cada vez es más frecuente que se demanden este tipo de características para las empresas y organismos, sobre todo por razones de usabilidad. Claramente es más facil poner la huella que recordar el PIN. En Smart Access trabajamos en desarrollar una versión de nuestros productos con soporte de smarcard con match-on-card para todos aquellos clientes que quieran empezar a usar sistemas más seguros de control de acceso lógico pero a la vez muy usables. Ojalá que haya demanda en este terreno y comencemos a ver más y más productos en este sentido.
Un saludo
Una de las aplicaciones más demandadas, es sustituir el factor de "algo que sé" (es decir el PIN de la tarjeta) por el factor "algo que soy" (la huella biométrica). Vamos, en palabras llanas, que pueda usar una smartcard o token sin tener que recordar mi contraseña sino poniendo mi dedo en su lugar.
El sustituir el PIN de acceso a la smartcard o token por una huella tiene implicaciones y trataré de describirlas a continuación. La biometría no es una ciencia exacta y por tanto la representación digital de 2 lecturas de la misma huella no tiene por que ser exactamente igual, ya que depende de múltiples factores (la posición del dedo, la temperatura, la existencia de sudor o grasa, la distorsión del dedo al presionarlo contra el escaner, etc..) . Por ello usar una huella o cualquier otra característica biométrica como sustituto del PIN requiere algo más complejo que una comprobación de igualdad. Es necesario por tanto que la tarjeta implemente internamiento una aplicación que realice la comparación de las "minucias" de la huella leída y el patrón de huella almacenada, indique una probabilidad de que sean iguales y en función de un umbral acepte o rechace el acceso.
Es por tanto que para implementar esta funcionalidad, no basta con tener un escaner o lector de huellas conectado al PC, sino que además las tarjetas debe llevar cargado este applet o programa de matching. Esto se denomina match-on-card y existen algunas implementaciones en el mercado aunque el ejemplo más claro es el nuevo DNI electrónico que permite el acceso a la tarjeta indistintamente mediante el PIN del usuario o la huella. La tarjeta del DNIe según tengo entendido, lleva cargado 2 algoritmos de diferentes fabricante por seguridad. Lamentablemente esta función esta restringida para uso en los terminales o kioskos instalados en las comisarías y no puede ser usada por otras aplicaciones.
De todas fomas, cada vez es más frecuente que se demanden este tipo de características para las empresas y organismos, sobre todo por razones de usabilidad. Claramente es más facil poner la huella que recordar el PIN. En Smart Access trabajamos en desarrollar una versión de nuestros productos con soporte de smarcard con match-on-card para todos aquellos clientes que quieran empezar a usar sistemas más seguros de control de acceso lógico pero a la vez muy usables. Ojalá que haya demanda en este terreno y comencemos a ver más y más productos en este sentido.
Un saludo
Suscribirse a:
Entradas (Atom)