guía de uso - efirma.com.pya de uso safesign ic.pdf · 5- confirmar el pin nuevo introduciendo de...
TRANSCRIPT
Guía de Uso
Administración de Tokens
Índice Guía de Uso Safesign Identity Client ............................................................................................ 3
OBJETIVO ......................................................................................................................................... 3
ALCANCE .......................................................................................................................................... 3
RESPONSABLES ................................................................................................................................ 3
GLOSARIO ........................................................................................................................................ 3
INTRODUCCIÓN ........................................................................................................................... 4
eFirma y los Certificados Digitales .................................................................................................. 4
Safesign Identity Client .................................................................................................................... 4
Datos de Activación PIN y PUK ........................................................................................................ 5
GUÍA DE USO SAFESIGN IC ........................................................................................................... 5
Requisitos previos ........................................................................................................................... 5
Instalación ....................................................................................................................................... 5
Software “Administración de tokens” ............................................................................................. 6
Como cambiar el PIN ....................................................................................................................... 7
Como cambiar PUK .......................................................................................................................... 9
Mostrar objetos de token ............................................................................................................. 11
Mostrar información de token ...................................................................................................... 13
PIN Bloqueado ............................................................................................................................... 14
PIN y PUK Bloqueado .................................................................................................................... 16
Soporte Técnico eFirma ............................................................................................................. 19
3
Guía de Uso Safesign Identity Client
Fecha: Diciembre 2015 Versión: 1 Elaboró: Responsable Soporte Técnico Aprobó: Gerente de Operaciones y Sistemas
OBJETIVO
El presente documento tiene como objetivo describir las buenas prácticas de uso del Middleware Safesign que se utiliza como Administrador de token.
ALCANCE
Este manual va dirigido a los usuarios que cuenten con un módulo criptográfico (Token o Tarjeta Inteligente) y un certificado digital emitido por eFirma y desean administrar las claves de activación y los objetos contenidos en el dispositivo a través del software Administración de Tokens.
RESPONSABLES
Gerente de Operaciones y Sistemas Responsable Soporte Técnico Vit S.A. – [email protected] Usuario Final
GLOSARIO
Middleware: Es un software que conecta componentes de software o aplicaciones para que puedan intercambiar datos entre éstas. Safesign IC (Administración de Tokens): Es un software que sirve para administrar las claves (PIN, PUK) que fueron generadas en un token o en una tarjeta inteligente y visualizar el contenido del mismo. Token/Tarjeta Inteligente: Dispositivo criptográfico de generación y almacenamiento de certificados digitales, utilizado para facilitar el proceso de autenticación de usuarios y firmar digitalmente. Certificado digital: Es un archivo digital mediante el cual un tercero confiable garantiza la vinculación entre el archivo y la identidad de un sujeto o entidad (por ejemplo: nombre, Cedula, Cargo entre otros aspectos de identificación). Firma digital: Mecanismo equivalente a la firma manuscrita que garantiza la identidad y responsabilidad del autor de un documento o transacción electrónica, así como permite comprobar la integridad del mismo, es decir que la información no ha sido alterada. eFirma: Empresa paraguaya, habilitada como Prestadora de Servicios de Certificación Digital. Autoridad de Certificación y Autoridad de Registro subordinada por el Ministerio de Industria y Comercio. PIN: (Personal Identification Number) Número de Identificación Personal que sirve para identificarse y tener acceso al Token, el usuario crea su PIN en el proceso de emisión de su certificado digital. PUK: (Personal Unlocking Key) Clave Personal de Desbloqueo, que sirve para desbloquear el PIN cuando se ha bloqueado totalmente el mismo o para realizar el barrido de token. El usuario crea su PUK en el proceso de emisión de su certificado digital.
4
INTRODUCCIÓN
eFirma y los Certificados Digitales eFirma es una empresa paraguaya dedicada a brindar servicios de confianza vinculados al ecosistema de certificación digital en nuestro país, en particular a la emisión y gestión del ciclo de vida de certificados digitales. Habilitada por el Ministerio de Industria y Comercio como Prestador de Servicios de Certificación habilitado, eFirma emite certificados digitales calificados para titulares personas físicas y jurídicas, los cuales pueden ser utilizados para autenticación y firma digital. Los certificados digitales de eFirma responden a formatos estándares tecnológicos fijados dentro la reglamentación vigente, y que permiten identificar indubitablemente y en forma segura a su titular. Es así que estos certificados digitales, y los servicios que eFirma brinda, gozan del reconocimiento en todos los ámbitos a nivel nacional, público y privado. Los certificados emitidos por eFirma tienen el respaldo de una empresa comprometida con la seguridad y son avalados por la Autoridad de Certificación Raíz de Paraguay dependiente del MIC, en el marco de la Ley 4017/10 Validez Jurídica de la Firma Electrónica, Firma Digital, y el Expediente Electrónico, y el ámbito legal regulatorio vinculado. Dispositivos criptográficos seguros para Certificados digitales eFirma: La emisión de Certificados digitales eFirma se realiza en dispositivos de hardware criptográfico seguros habilitados, tokens y tarjetas con chip, distribuidos por eFirma. El nivel de seguridad que ofrecen estos dispositivos cumple con los requerimientos de estándares establecidos en la reglamentación de la Infraestructura de Clave Pública de Paraguay.
Safesign Identity Client eFirma pone a disposición del cliente el Middleware Safesign Identity Client para su descarga directa a través de la página web www.efirma.com.py SafeSign es un gestor criptográfico. Es decir, se trata de un programa responsable de crear una interfaz fácil de usar entre el usuario y el módulo criptográfico (token o tarjeta inteligente). Safesign Identity Client es un paquete de software que puede ser utilizado para mejorar la seguridad de las aplicaciones que soporta los hardware tokens a través de la librería PKCS#11. Combinando el cumplimiento de los principales estándares y protocolos de la industria, Safesign IC puede ser utilizado con múltiples sistemas operativos. Safesign IC permite al usuario inicializar y usar el token para servicios de autenticación o firmas digitales e incluye toda la funcionalidad necesaria para utilizar el hardware token en una variedad de ambientes PKI. Tenga en cuenta que Safesign Identity Client soporta virtualización tipo I, y no es compatible con virtualizaciones tipo II. El paquete de instalación del Safesign IC incluye el software Administración de Tokens, con el cual el usuario podrá administrar los objetos y los datos de activación del token PIN y PUK.
5
Datos de Activación PIN y PUK Tanto el PIN como el PUK son considerados datos confidenciales de activación del módulo criptográfico, sea Token o Tarjeta Inteligente. Dichos datos, distintos a las claves, son requeridos para operar el dispositivo criptográfico y necesitan estar protegidos. En el proceso de emisión de un certificado digital sea de persona física o de persona jurídica, de firma digital o autenticación, el usuario debe generar sus propios datos de activación para proteger y prevenir pérdidas, robos, modificación o divulgación o uso no autorizado de sus claves privadas. Los datos de activación deberían ser memorizados, sin mantener respaldo escrito. Si se escriben, estos deberían de estar almacenados en un nivel de seguridad semejante al de los módulos criptográficos para protegerlos, y en una localización diferente a la de los mismos. En eFirma no almacenamos ningún tipo de dato de activación de token, tal como lo establece la Política de Certificación de la Infraestructura de Clave Pública del Paraguay. El PIN consiste en un número inicialmente de cuatro dígitos numéricos de identificación personal, cuyo uso principal es el de acceder al token o tarjeta inteligente al momento de firmar digitalmente, autenticarse ante un sistema o administrar el módulo criptográfico a través del Safesign IC. Máximos intentos fallidos de inicio de sesión (PIN INCORRECTO): Tres (3) Luego del tercer intento fallido el PIN se bloquea, y el único mecanismo existente para desbloquear y generar un nuevo PIN es a través del PUK utilizando el Safesign IC. El PUK consiste en una clave (inicialmente de cuatro dígitos numéricos) personal de desbloqueo, que funciona como una clave para desbloquear el PIN del Token o Tarjeta Inteligente cuando se ha olvidado el PIN o bien se ha bloqueado totalmente el mismo. Al introducir el PUK tres (3) veces de manera incorrecta el mismo se bloquea.
GUÍA DE USO SAFESIGN IC
Requisitos previos
Utilizar módulos criptográficos token o tarjeta inteligente distribuidos por la eFirma.
Instalar el Middleware Safesign IC en el ordenador.
Instalar el driver de token o de lectora de tarjeta en el ordenador (la descarga de los
drivers se realiza a través de la página web de eFirma).
Instalación La descarga e instalación del middleware se detalla en los manuales de Soporte Técnico eFirma
que se encuentra a disposición de descarga en los siguientes links:
6
Manual de descarga e instalación:
https://efirma.com.py/descargas/manualtokenadmin.pdf
Video explicativo:
https://www.efirma.com.py/descargas/video1.mp4
Software “Administración de tokens” Una vez instalado el Middleware Safesign IC al ingresar en el menú “Inicio” ya se podrá observar el ícono del software “Administración de tokens”
Se abrirá la ventana “Utilidad para administración de tokens” con el cual el usuario podrá acceder a todos los recursos y las claves de activación del token o tarjeta inteligente. Inicialmente el cuadro se encontrará vacío.
7
Al insertar el módulo criptográfico en el puerto USB de la terminal, aparecerá en la pantalla la etiqueta con el estado actual, espere hasta que la utilidad muestre el estado de token.
Como cambiar el PIN Es posible cambiar el PIN generado en el proceso de emisión a través del Safesign IC utilizando el software Administración de Tokens las veces que el usuario cree conveniente. OBSERVACIÓN: Queda a criterio del usuario cambiar el PIN o mantener el generado en el proceso de emisión. Pasos para cambiar el PIN:
1- Ingresar en la opción “Token”
8
2- Clic en la opción “Cambiar PIN…”
3- Introducir el PIN antiguo. 4- Introducir el PIN nuevo.
El sistema permite al usuario generar un nuevo PIN que contenga de cuatro a quince dígitos alfanuméricos, Safesign reonoce MAYÚSCULAS y minúsuclas.
5- Confirmar el PIN nuevo introduciendo de nuevo.
9
6- Clic en “Aceptar”
Como cambiar PUK Es posible cambiar el PUK generado en el proceso de emisión a través del Safesign IC utilizando el software Administración de Tokens las veces que el usuario cree conveniente. OBSERVACIÓN: Queda a criterio del usuario cambiar el PUK o mantener el generado en el proceso de emisión. Pasos para cambiar el PUK:
1- Ingresar en la opción “Token”
10
2- Clic en la opción “Cambiar PUK…”
3- Introducir el PUK antiguo 4- Introducir el PUK nuevo
OBS: El sistema permite al usuario generar un nuevo PUK que contenga de cuatro a quince dígitos alfanuméricos y Safesign reconoce MAYÚSCULAS de minúsculas.
5- Confirmar el PUK nuevo introduciendo de nuevo.
11
6- Clic en “Aceptar”
Mostrar objetos de token Esta opción permite visualizar los objetos contenidos en el token, esto sería la existencia de la clave pública y privada (la clave privada se encuentra en modo oculto) y el/los certificado/s del usuario. De esta manera el usuario podrá visualizar y descargar su certificado digital. No es necesario descargar el certificado digital en el computador para firmar digitalmente. Para esto se debe ingresar en la opción “Token” y luego clic en “Mostrar objetos de token…”
Se abrirá la ventana “Objetos PKCS #11”
12
OBSERVACIÓN: Para visualizar la existencia de la/s clave/s privada/s se ingresa a la opción “Mostrar objetos privados” y luego se ingresa el PIN. Dando doble clic en el certificado digital se podrá visualizar los detalles del mismo y la opción de descargar “Guardar en archivo…”
13
Mostrar información de token Esta opción permite al usuario visualizar los intentos restantes de inicio de sesión, el estado de PIN, PUK, el número de serie del token, etc. Para esto se ingresa en la opción “Token” y luego “Mostrar información de token…”
Se abrirá la ventana “Información de token”
14
OBSERVACIÓN: el contador de “Intentos de PIN y PUK” es una información contenida en el módulo criptográfico, por lo cual no se reinicia al introducir el dispositivo en diferentes terminales o luego de un determinado tiempo. La única manera de reiniciar el contador “Intentos de PIN y PUK” es ingresando el dato de activación de manera correcta.
PIN Bloqueado En caso ingresar tres veces el PIN de manera incorrecta al firmar digitalmente o autenticarse ante un sistema, el mismo entra en estado “Bloqueado”. Esto se puede verificar en la opción “información de token”, si el mismo se encuentra bloqueado se podrá visualizar en el campo “Estado de PIN”. Como se puede ver en la imagen
Si esto ocurre, existe un mecanismo para desbloquear el módulo criptográfico a través de la “Utilidad para administración de tokens” siguiendo los siguientes pasos: Pasos para desbloquear PIN:
1- Al ingresar en la opción “Tokens” se habilitará la opción “Desbloquear PIN…”, dar clic en dicha opción.
15
2- Introducir el PUK. 3- Introducir el PIN nuevo 4- Confirmar el PIN nuevo introduciendo de nuevo
16
PIN y PUK Bloqueado En caso ingresar tres veces el PUK de manera incorrecta al intentar desbloquear el PIN el mismo se bloquea de igual manera. Cuando esto ocurre, el token entra en estado “Bloqueado” y ya no existe una manera de recuperar el certificado digital contenido en el mismo. A través de la “Utilidad para administración de tokens” se podrá visualizar el estado del token.
Ejemplo de token bloqueado:
Sin embargo, existe un mecanismo de recuperación o reciclado del módulo criptográfico, y de esta manera el token o la tarjeta inteligente se podrán reutilizar (eliminando el certificado digital contenido en el mismo) y el usuario tendrá la posibilidad de realizar de vuelta el proceso de emisión de un certificado digital nuevo en el mismo token. OBSERVACIÓN: Tal como lo establece la Política de Certificación de la Infraestructura de Clave Pública del Paraguay, la CA (Autoridad de Certificación) debe asegurar que el “nombre distintivo del suscriptor” sea único dentro de la PKI Paraguay, por lo cual en caso de reciclar un token el usuario deberá realizar primeramente el procedimiento de revocación de su certificado digital antes de volver a solicitar la emisión de un certificado NUEVO. Para más información sobre el proceso de revocación y emisión de certificados digitales contactar con eFirma. Pasos para reciclar el token: No intente realizar este procedimiento sin contar previamente con ayuda del Soporte Técnico eFirma.
1- Ingresar a la opción “Token”, se habilitará la opción “Reciclar token…”. Clic en dicha opción
17
Se abrirá la ventana “Inicializar token”
2- Ingresar la etiqueta nueva del token.
3- Introducir el PUK nuevo.
4- Confirmar el PUK nuevo introduciendo de nuevo.
5- Introducir el PIN nuevo.
6- Confirmar el PIN nuevo introduciendo de nuevo.
7- Clic en aceptar.
18
De esta manera el token volverá al estado “operativo” y listo para una nueva emisión de
certificado digital.
En caso de tener alguna consulta respecto al uso del Safesign IC y el Software Administración de
tokens debe ponerse en contacto con el Soporte Técnico eFirma.
19
Soporte Técnico eFirma
Para establecer contacto con nuestro Soporte Técnico de eFirma, presentamos las siguientes vías
de ayuda:
- Vía correo electrónico: A través de la cuenta [email protected]
- Vía telefónica: A través de la línea telefónica 021-229-350.