Hoy le diremos cómo configurar rápida y fácilmente la autenticación de dos factores y cifrar datos importantes, incluso con la posibilidad de utilizar datos biométricos. La solución será relevante para pequeñas empresas o solo para una computadora personal o portátil. Es importante que para esto no necesitemos una infraestructura de clave pública (PKI), un servidor con la función de una autoridad de certificación (Servicios de certificados) o incluso un dominio (Active Directory). Todos los requisitos del sistema se reducirán al sistema operativo Windows y a la presencia del usuario de una clave electrónica, y en caso de autenticación biométrica, también un lector de huellas digitales, que, por ejemplo, ya puede estar integrado en su computadora portátil.
Para la autenticación, utilizaremos el software de nuestro desarrollo: JaCarta SecurLogon y la clave electrónica JaCarta PKI como autenticador. La herramienta de cifrado será Windows EFS normal, el acceso a los archivos cifrados también se realizará a través de la clave JaCarta PKI (la misma utilizada para la autenticación).
Recuerde que JaCarta SecurLogon es una solución de software y hardware certificada por Aladdin R.D. certificada por el FSTEC de Rusia, que permite una transición simple y rápida de la autenticación de un solo factor basada en un par de nombre de usuario / contraseña a la autenticación de dos factores en el sistema operativo utilizando tokens USB o tarjetas inteligentes. La esencia de la solución es bastante simple: JSL genera una contraseña compleja (~ 63 caracteres) y la escribe en la memoria protegida de la clave electrónica. En este caso, la contraseña puede no ser conocida por el usuario mismo, el usuario solo conoce el código PIN. Al ingresar el código PIN durante la autenticación, el dispositivo se desbloquea y la contraseña se transmite al sistema para la autenticación. Opcionalmente, puede reemplazar el ingreso de un código PIN escaneando la huella digital de un usuario, y también puede usar una combinación de PIN + huella digital.
EFS y JSL pueden funcionar en modo independiente, sin requerir nada más que el sistema operativo en sí. En todos los sistemas operativos de Microsoft de la familia NT, comenzando con Windows 2000 y versiones posteriores (excepto las versiones domésticas), hay una tecnología incorporada para cifrar datos EFS (Sistema de cifrado de archivos). El cifrado EFS se basa en las capacidades del sistema de archivos NTFS y la arquitectura CryptoAPI y está diseñado para cifrar rápidamente archivos en el disco duro de la computadora. Para el cifrado, EFS usa las claves públicas y privadas del usuario, que se generan cuando el usuario usa por primera vez la función de cifrado. Estas claves permanecen sin cambios mientras exista su cuenta. Al cifrar un archivo, EFS genera aleatoriamente un número único, la llamada Clave de cifrado de archivos de 128 bits (FEK), con la que se cifran los archivos. Las claves FEK se cifran con una clave maestra, que se cifra con la clave de los usuarios del sistema que tiene acceso al archivo. La clave privada del usuario está protegida por el hash de contraseña del mismo usuario. Los datos cifrados con EFS solo se pueden descifrar con la misma cuenta de Windows con la misma contraseña con la que se realizó el cifrado. Y si almacena el certificado de cifrado y la clave privada en un token USB o tarjeta inteligente, para acceder a los archivos encriptados también necesitará este token USB o tarjeta inteligente, que resuelve el problema de comprometer la contraseña, ya que un dispositivo adicional en en forma de llave electrónica.
Autenticación
Como ya se señaló, no necesita AD ni una autoridad de certificación para configurar, necesita Windows moderno, una distribución JSL y una licencia. La configuración es fácil de deshonrar.
Necesita instalar un archivo de licencia.
Añadir perfil de usuario.
Y comience a usar la autenticación de dos factores.
Autenticación biométrica
Es posible utilizar la autenticación biométrica de huellas digitales. La solución utiliza la tecnología Match On Card. El hash de la huella digital se escribe en la tarjeta durante la inicialización inicial y posteriormente se verifica con el original. No va a ningún lado de la tarjeta; no se almacena en algunas bases de datos. Para desbloquear dicha clave, se utiliza una huella digital o una combinación de PIN + huella digital, PIN o huella digital.
Para comenzar a usarlo, solo necesita inicializar la tarjeta con los parámetros necesarios, anote la huella digital del usuario.
En el futuro, aparecerá la misma ventana antes de ingresar al sistema operativo.
En el presente ejemplo, la tarjeta se inicializa con la posibilidad de autenticación por huella digital o código PIN, que es lo que informa la ventana de autenticación.
Después de presentar la huella digital o PIN, el usuario será llevado al sistema operativo.
Cifrado de datos
La configuración de EFS tampoco es muy complicada, se trata de configurar un certificado y emitirlo a una clave electrónica y establecer directorios de cifrado. Por lo general, no se requiere el cifrado de toda la unidad. Los archivos realmente importantes, cuyo acceso no es recomendable para terceros, generalmente se encuentran en directorios separados y no están dispersos de ninguna manera como en un disco.
Para emitir un certificado de cifrado y una clave privada, abra una cuenta de usuario, seleccione - Administrar certificados de cifrado de archivos. En el asistente que se abre, cree un certificado autofirmado en la tarjeta inteligente. A medida que continuamos usando una tarjeta inteligente con un applet BIO, debe proporcionar una huella digital o un PIN para registrar el certificado de cifrado.
En el siguiente paso, especifique los directorios que se asociarán con el nuevo certificado; si es necesario, puede especificar todas las unidades lógicas.
A continuación, el sistema una vez más le pide que ingrese un PIN o presente una huella digital, el certificado se emitirá directamente a la tarjeta inteligente.
A continuación, debe configurar directorios específicos. En nuestro ejemplo, esta es la carpeta Documentos en el hámster del usuario. Abra las propiedades de la carpeta y seleccione - Cifrar contenido para proteger los datos.
A continuación, especifique aplicar la configuración solo a la carpeta actual o incluir todos los subdirectorios.
El directorio encriptado y los archivos en él se resaltarán en un color diferente.
El acceso a los archivos se realiza solo con una clave electrónica, previa presentación de una huella digital o un código PIN, dependiendo de lo que se seleccione.
Esto completa la configuración.
Puede usar ambos escenarios (autenticación y encriptación), puede enfocarse en una cosa.