Autenticación de dos factores RSA SecurID®
RSA es un acrónimo de Rivest, Shamir, and Adelman que son los inventores del algorritmo de seguridad de autenticación por 2 factores. RSA SecurID, es un mecanismo desarrollado por Security Dynamics que combina ambos para realizar una autenticación de dos factores para un usuario en un recurso de red.
El mecanismo de autenticación RSA SecurID consiste en un "token", ya sea hardware (por ejemplo, un llavero) o software (un token suave), que se asigna a un usuario de computadora y que crea un código de autenticación a intervalos fijos (generalmente 60 segundos) usando un reloj incorporado y la clave casi aleatoria codificada de fábrica de la tarjeta (conocida como "semilla"). La semilla es diferente para cada token y se carga en el servidor RSA SecurID correspondiente (RSA Authentication Manager, anteriormente ACE / Server) a medida que se compran los tokens. También hay disponibles tokens bajo demanda, que proporcionan un tokencode a través del correo electrónico o la entrega de SMS, eliminando la necesidad de proporcionar un token al usuario.
El hardware del token está diseñado para ser resistente a la manipulación indebida para impedir la
ingeniería inversa. Cuando aparecieron en el mercado implementaciones de software del mismo algoritmo ("tokens de software"), la comunidad de seguridad había desarrollado un código público que permite a un usuario emular RSA SecurID en el software, pero solo si tienen acceso a un código RSA SecurID actual. y el archivo semilla original RSA SecurID de 64 bits introducido en el servidor. Más tarde, el algoritmo RSA SecurID de 128 bits se publicó como parte de una biblioteca de código abierto. En el esquema de autenticación RSA SecurID, el registro semilla es la clave secreta utilizada para generar contraseñas de un solo uso. las versiones más nuevas también cuentan con un conector USB, que permite que el token se use como un dispositivo similar a una tarjeta inteligente para almacenar certificados de manera segura.
Un usuario que se autentica en un recurso de la red, por ejemplo, un servidor de acceso telefónico o un firewall, debe ingresar un número de identificación personal y el número que se muestra en ese momento en su token de RSA SecurID. Aunque cada vez es más raro, algunos sistemas que utilizan RSA SecurID ignoran por completo la implementación del PIN y confían en las combinaciones de contraseña / código RSA SecurID. El servidor, que también tiene un reloj en tiempo real y una base de datos de tarjetas válidas con los registros semilla asociados, autentica al usuario calculando qué número se supone que debe mostrar el token en ese momento y lo compara con lo que ingresó el usuario .
En versiones anteriores de SecurID, se puede usar un "PIN de coacción", un código alternativo que crea un registro de eventos de seguridad que muestra que un usuario se vio obligado a ingresar su PIN, al tiempo que proporciona una autenticación transparente. El uso del PIN de coacción permitiría una autenticación exitosa, después de lo cual el token se desactivará automáticamente. La función "PIN de coacción" ha quedado en desuso y no está disponible en las versiones compatibles actualmente.
Si bien el sistema RSA SecurID agrega un nivel de seguridad a una red, puede haber dificultades si el reloj del servidor de autenticación no está sincronizado con el reloj incorporado en los tokens de autenticación. El servidor contabiliza automáticamente la deriva normal del reloj del token ajustando un valor de "deriva" almacenado a lo largo del tiempo. Si la condición de desincronización no es el resultado de la desviación normal del reloj del token de hardware, la corrección del reloj del servidor de Authentication Manager con el token de desincronización (o tokens) se puede realizar de varias maneras diferentes. Si el reloj del servidor se había desviado y el administrador hizo un cambio en el reloj del sistema, los tokens se pueden volver a sincronizar uno por uno, o los valores de deriva almacenados se pueden ajustar manualmente. La deriva se puede realizar en tokens individuales o de forma masiva utilizando una utilidad de línea de comandos.
Como aclaración el RSA SecurID sirve como método de autenticación para logearse en forma segura en un sistema no para firmar digitalmente.
Para firmar digitalmente el Token Físico que se usa es de otro tipo se usa el FIPS 140.2 que contiene directamente la Firma Digital y necesita dos Claves y un usuario.
El OTP (One-Time Password) de Modernización para acceder al Certificado Digital es el PFDR (Plataforma de Firma Digital Remota) que tiene las mismas características, pero la Firma se hace en la Nube o en forma Remota cumple la FIPS 140.2 y además la norma de sistemas EAL (Evaluation Assurance Level) 3.
Como aclaración el RSA SecurID sirve como método de autenticación para logearse en forma segura en un sistema no para firmar digitalmente.
Para firmar digitalmente el Token Físico que se usa es de otro tipo se usa el FIPS 140.2 que contiene directamente la Firma Digital y necesita dos Claves y un usuario.
El OTP (One-Time Password) de Modernización para acceder al Certificado Digital es el PFDR (Plataforma de Firma Digital Remota) que tiene las mismas características, pero la Firma se hace en la Nube o en forma Remota cumple la FIPS 140.2 y además la norma de sistemas EAL (Evaluation Assurance Level) 3.
Referencias
https://www.rsa.com/en-us/products/rsa-securid-suite/rsa-securid-access/securid-hardware-tokens
https://www.rsa.com/en-us/products/rsa-securid-suite
https://en.wikipedia.org/wiki/RSA_SecurID
https://www.wolfssl.com/license/fips/?gclid=Cj0KCQjwj_XpBRCCARIsAItJiuTnHUtFsCiXIrQPsw5TBERHVykpN9SJZXjC6poVPjcm5ZbdTg4BsdwaAktAEALw_wcB
http://www.firmar.gob.ar
https://www.argentina.gob.ar/modernizacion/firmadigital/firmadigitalremota
Comentarios