Descripción
A través del software vSEC:ID Server Key rápidamente se pueden actualizar los servidores a un coste mínimo para utilizar claves protegidas por hardware en vez de claves basadas en ficheros lógicos.
Tarjetas inteligentes para operaciones en las claves criptográficas del lado del servidor
Muchas organizaciones están realizando grandes inversiones para utilizar tokens hardware como tarjetas inteligentes para la autenticación de usuarios, firmas digitales, encriptación y otras operaciones sensibles de seguridad. Pero esa misma organización no está invirtiendo en proteger las claves y credenciales de los servidores. Las claves de los servidores se utilizan para gestionar los sistemas de control de accesos e incluso para proporcionar nuevas credenciales de usuario. Estos servidores muy delicados a menudo están empleando medidas de seguridad comparables a una simple contraseña, lo que supone un grave fallo en la seguridad IT.
Uno de los múltiples casos de uso en los que el producto vSEC:ID Server Key es perfectamente adecuado es cuando se utiliza para securizar la autoridad certificadora corporativa, tal y como se describe a continuación. Otros posibles casos de uso incluyen transacciones de firma/encriptación en el lado del servidor, almacenamiento de claves del servidor para SSL/TLS o VPN y como certificados de inicio de sesión para cuentas de sistema y servicios.
Autoridad certificadora utilizando vSEC:ID Server Key
En una infraestructura de clave pública (PKI) se utiliza una autoridad certificadora (CA) para emitir certificados. La CA raíz, o para ser más preciso, la clave privada de la CA raíz, es la clave de mayor confianza y por lo tanto la clave más sensible de toda la PKI. Esta clave necesita ser securizada para que no pueda ser robada ni que se pueda hacer una copia ilegal de la misma. Las soluciones utilizadas por las autoridades certificadoras son tokens hardware para almacenar y usar las claves privadas. Estos tokens hardware son por ejemplo los módulos de seguridad hardware (HSM). Los HSM se pueden describir como potentes tarjetas inteligentes, desarrolladas para ser utilizadas en servidores y que les permite realizar varios miles de operaciones criptográficas por minuto, pero por desgracia, son bastante caros.
Como alternativa, el software vSEC:ID Server Key habilita a la CA para utilizar las típicas tarjetas inteligentes y securizar las claves en su interior. La tarjeta inteligente, desde una perspectiva de seguridad, es similar a un HSM. Una tarjeta inteligente normal puede ejecutar cientos de operaciones criptográficas por minuto, más que suficiente para la mayoría de las CA corporativas. El precio de una tarjeta inteligente es una fracción del coste de un HSM.
Funcionamiento del sistema vSEC:ID Server Key
La solución vSEC:ID Server Key tiene tres componentes principales:
- Un servicio Windows que controla las funciones de seguridad relacionadas.
- Un minidriver que encaja en la arquitectura minidriver de sistemas Microsoft. El minidriver comunicará con el servicio Windows (1.).
- Una aplicación de administración que se comunica con el servicio Windows y proporciona una interfaz de usuario que muestra el estado actual y hace posible cambiar la configuración.
Cada vez que se solicita una contraseña (PIN) para una tarjeta inteligente por parte de la MS CAPI para realizar operaciones criptográficas en la tarjeta, el minidriver (2.) comprueba si se garantiza la operación demandada de acuerdo a determinadas reglas. Si es así, provee la contraseña de la tarjeta de forma segura y se lleva a cabo la operación criptográfica. Las reglas se ajustan en la aplicación de administración (3.) sobre un token base. Como las reglas se configuran por token, el software vSEC:ID Server Key no interfiere con otros usos de tarjetas inteligentes en la máquina servidora.
