Guía de Uso

Guía de Uso
Administración de Tokens
Índice
Guía de Uso Safesign Identity Client ............................................................................................ 3
OBJETIVO ......................................................................................................................................... 3
ALCANCE .......................................................................................................................................... 3
RESPONSABLES ................................................................................................................................ 3
GLOSARIO ........................................................................................................................................ 3
INTRODUCCIÓN ........................................................................................................................... 4
eFirma y los Certificados Digitales .................................................................................................. 4
Safesign Identity Client .................................................................................................................... 4
Datos de Activación PIN y PUK ........................................................................................................ 5
GUÍA DE USO SAFESIGN IC ........................................................................................................... 5
Requisitos previos ........................................................................................................................... 5
Instalación ....................................................................................................................................... 5
Software “Administración de tokens” ............................................................................................. 6
Como cambiar el PIN ....................................................................................................................... 7
Como cambiar PUK .......................................................................................................................... 9
Mostrar objetos de token ............................................................................................................. 11
Mostrar información de token ...................................................................................................... 13
PIN Bloqueado ............................................................................................................................... 14
PIN y PUK Bloqueado .................................................................................................................... 16
Soporte Técnico eFirma ............................................................................................................. 19
Guía de Uso Safesign Identity Client
Fecha: Diciembre 2015
Versión: 1
Elaboró: Responsable Soporte Técnico
Aprobó: Gerente de Operaciones y Sistemas
OBJETIVO
El presente documento tiene como objetivo describir las buenas prácticas de uso del Middleware
Safesign que se utiliza como Administrador de token.
ALCANCE
Este manual va dirigido a los usuarios que cuenten con un módulo criptográfico (Token o Tarjeta
Inteligente) y un certificado digital emitido por eFirma y desean administrar las claves de
activación y los objetos contenidos en el dispositivo a través del software Administración de
Tokens.
RESPONSABLES
Gerente de Operaciones y Sistemas
Responsable Soporte Técnico Vit S.A. – [email protected]
Usuario Final
GLOSARIO
Middleware: Es un software que conecta componentes de software o aplicaciones para que
puedan intercambiar datos entre éstas.
Safesign IC (Administración de Tokens): Es un software que sirve para administrar las claves (PIN,
PUK) que fueron generadas en un token o en una tarjeta inteligente y visualizar el contenido del
mismo.
Token/Tarjeta Inteligente: Dispositivo criptográfico de generación y almacenamiento de
certificados digitales, utilizado para facilitar el proceso de autenticación de usuarios y firmar
digitalmente.
Certificado digital: Es un archivo digital mediante el cual un tercero confiable garantiza la
vinculación entre el archivo y la identidad de un sujeto o entidad (por ejemplo: nombre, Cedula,
Cargo entre otros aspectos de identificación).
Firma digital: Mecanismo equivalente a la firma manuscrita que garantiza la identidad y
responsabilidad del autor de un documento o transacción electrónica, así como permite
comprobar la integridad del mismo, es decir que la información no ha sido alterada.
eFirma: Empresa paraguaya, habilitada como Prestadora de Servicios de Certificación Digital.
Autoridad de Certificación y Autoridad de Registro subordinada por el Ministerio de Industria y
Comercio.
PIN: (Personal Identification Number) Número de Identificación Personal que sirve para
identificarse y tener acceso al Token, el usuario crea su PIN en el proceso de emisión de su
certificado digital.
PUK: (Personal Unlocking Key) Clave Personal de Desbloqueo, que sirve para desbloquear el PIN
cuando se ha bloqueado totalmente el mismo o para realizar el barrido de token. El usuario crea
su PUK en el proceso de emisión de su certificado digital.
3
INTRODUCCIÓN
eFirma y los Certificados Digitales
eFirma es una empresa paraguaya dedicada a brindar servicios de confianza vinculados al
ecosistema de certificación digital en nuestro país, en particular a la emisión y gestión del ciclo de
vida de certificados digitales. Habilitada por el Ministerio de Industria y Comercio como Prestador
de Servicios de Certificación habilitado, eFirma emite certificados digitales calificados para
titulares personas físicas y jurídicas, los cuales pueden ser utilizados para autenticación y firma
digital.
Los certificados digitales de eFirma responden a formatos estándares tecnológicos fijados dentro
la reglamentación vigente, y que permiten identificar indubitablemente y en forma segura a su
titular. Es así que estos certificados digitales, y los servicios que eFirma brinda, gozan del
reconocimiento en todos los ámbitos a nivel nacional, público y privado.
Los certificados emitidos por eFirma tienen el respaldo de una empresa comprometida con la
seguridad y son avalados por la Autoridad de Certificación Raíz de Paraguay dependiente del MIC,
en el marco de la Ley 4017/10 Validez Jurídica de la Firma Electrónica, Firma Digital, y el
Expediente Electrónico, y el ámbito legal regulatorio vinculado.
Dispositivos criptográficos seguros para Certificados digitales eFirma:
La emisión de Certificados digitales eFirma se realiza en dispositivos de hardware criptográfico
seguros habilitados, tokens y tarjetas con chip, distribuidos por eFirma. El nivel de seguridad que
ofrecen estos dispositivos cumple con los requerimientos de estándares establecidos en la
reglamentación de la Infraestructura de Clave Pública de Paraguay.
Safesign Identity Client
eFirma pone a disposición del cliente el Middleware Safesign Identity Client para su descarga
directa a través de la página web www.efirma.com.py
SafeSign es un gestor criptográfico. Es decir, se trata de un programa responsable de crear una
interfaz fácil de usar entre el usuario y el módulo criptográfico (token o tarjeta inteligente).
Safesign Identity Client es un paquete de software que puede ser utilizado para mejorar la
seguridad de las aplicaciones que soporta los hardware tokens a través de la librería PKCS#11.
Combinando el cumplimiento de los principales estándares y protocolos de la industria, Safesign IC
puede ser utilizado con múltiples sistemas operativos.
Safesign IC permite al usuario inicializar y usar el token para servicios de autenticación o firmas
digitales e incluye toda la funcionalidad necesaria para utilizar el hardware token en una variedad
de ambientes PKI.
Tenga en cuenta que Safesign Identity Client soporta virtualización tipo I, y no es compatible con
virtualizaciones tipo II.
El paquete de instalación del Safesign IC incluye el software Administración de Tokens, con el cual
el usuario podrá administrar los objetos y los datos de activación del token PIN y PUK.
4
Datos de Activación PIN y PUK
Tanto el PIN como el PUK son considerados datos confidenciales de activación del módulo
criptográfico, sea Token o Tarjeta Inteligente. Dichos datos, distintos a las claves, son requeridos
para operar el dispositivo criptográfico y necesitan estar protegidos.
En el proceso de emisión de un certificado digital sea de persona física o de persona jurídica, de
firma digital o autenticación, el usuario debe generar sus propios datos de activación para
proteger y prevenir pérdidas, robos, modificación o divulgación o uso no autorizado de sus claves
privadas.
Los datos de activación deberían ser memorizados, sin mantener respaldo escrito. Si se escriben,
estos deberían de estar almacenados en un nivel de seguridad semejante al de los módulos
criptográficos para protegerlos, y en una localización diferente a la de los mismos.
En eFirma no almacenamos ningún tipo de dato de activación de token, tal como lo establece la
Política de Certificación de la Infraestructura de Clave Pública del Paraguay.
El PIN consiste en un número inicialmente de cuatro dígitos numéricos de identificación personal,
cuyo uso principal es el de acceder al token o tarjeta inteligente al momento de firmar
digitalmente, autenticarse ante un sistema o administrar el módulo criptográfico a través del
Safesign IC.
Máximos intentos fallidos de inicio de sesión (PIN INCORRECTO): Tres (3)
Luego del tercer intento fallido el PIN se bloquea, y el único mecanismo existente para
desbloquear y generar un nuevo PIN es a través del PUK utilizando el Safesign IC.
El PUK consiste en una clave (inicialmente de cuatro dígitos numéricos) personal de desbloqueo,
que funciona como una clave para desbloquear el PIN del Token o Tarjeta Inteligente cuando se ha
olvidado el PIN o bien se ha bloqueado totalmente el mismo.
Al introducir el PUK tres (3) veces de manera incorrecta el mismo se bloquea.
GUÍA DE USO SAFESIGN IC
Requisitos previos



Utilizar módulos criptográficos token o tarjeta inteligente distribuidos por la eFirma.
Instalar el Middleware Safesign IC en el ordenador.
Instalar el driver de token o de lectora de tarjeta en el ordenador (la descarga de los
drivers se realiza a través de la página web de eFirma).
Instalación
La descarga e instalación del middleware se detalla en los manuales de Soporte Técnico eFirma
que se encuentra a disposición de descarga en los siguientes links:
5


Manual de descarga e instalación:
https://efirma.com.py/descargas/manualtokenadmin.pdf
Video explicativo:
https://www.efirma.com.py/descargas/video1.mp4
Software “Administración de tokens”
Una vez instalado el Middleware Safesign IC al ingresar en el menú “Inicio” ya se podrá observar el
ícono del software “Administración de tokens”
Se abrirá la ventana “Utilidad para administración de tokens” con el cual el usuario podrá acceder
a todos los recursos y las claves de activación del token o tarjeta inteligente. Inicialmente el
cuadro se encontrará vacío.
6
Al insertar el módulo criptográfico en el puerto USB de la terminal, aparecerá en la pantalla la
etiqueta con el estado actual, espere hasta que la utilidad muestre el estado de token.
Como cambiar el PIN
Es posible cambiar el PIN generado en el proceso de emisión a través del Safesign IC utilizando el
software Administración de Tokens las veces que el usuario cree conveniente.
OBSERVACIÓN: Queda a criterio del usuario cambiar el PIN o mantener el generado en el
proceso de emisión.
Pasos para cambiar el PIN:
1- Ingresar en la opción “Token”
7
2- Clic en la opción “Cambiar PIN…”
3- Introducir el PIN antiguo.
4- Introducir el PIN nuevo.
El sistema permite al usuario generar un nuevo PIN que contenga de cuatro a quince dígitos
alfanuméricos, Safesign reonoce MAYÚSCULAS y minúsuclas.
5- Confirmar el PIN nuevo introduciendo de nuevo.
8
6- Clic en “Aceptar”
Como cambiar PUK
Es posible cambiar el PUK generado en el proceso de emisión a través del Safesign IC utilizando el
software Administración de Tokens las veces que el usuario cree conveniente.
OBSERVACIÓN: Queda a criterio del usuario cambiar el PUK o mantener el generado en el
proceso de emisión.
Pasos para cambiar el PUK:
1- Ingresar en la opción “Token”
9
2- Clic en la opción “Cambiar PUK…”
3- Introducir el PUK antiguo
4- Introducir el PUK nuevo
OBS: El sistema permite al usuario generar un nuevo PUK que contenga de cuatro a quince dígitos
alfanuméricos y Safesign reconoce MAYÚSCULAS de minúsculas.
5- Confirmar el PUK nuevo introduciendo de nuevo.
10
6- Clic en “Aceptar”
Mostrar objetos de token
Esta opción permite visualizar los objetos contenidos en el token, esto sería la existencia de la
clave pública y privada (la clave privada se encuentra en modo oculto) y el/los certificado/s del
usuario.
De esta manera el usuario podrá visualizar y descargar su certificado digital.
No es necesario descargar el certificado digital en el computador para firmar digitalmente.
Para esto se debe ingresar en la opción “Token” y luego clic en “Mostrar objetos de token…”
Se abrirá la ventana “Objetos PKCS #11”
11
OBSERVACIÓN: Para visualizar la existencia de la/s clave/s privada/s se ingresa a la opción
“Mostrar objetos privados” y luego se ingresa el PIN.
Dando doble clic en el certificado digital se podrá visualizar los detalles del mismo y la opción de
descargar “Guardar en archivo…”
12
Mostrar información de token
Esta opción permite al usuario visualizar los intentos restantes de inicio de sesión, el estado de
PIN, PUK, el número de serie del token, etc.
Para esto se ingresa en la opción “Token” y luego “Mostrar información de token…”
Se abrirá la ventana “Información de token”
13
OBSERVACIÓN: el contador de “Intentos de PIN y PUK” es una información contenida en el
módulo criptográfico, por lo cual no se reinicia al introducir el dispositivo en diferentes terminales
o luego de un determinado tiempo.
La única manera de reiniciar el contador “Intentos de PIN y PUK” es ingresando el dato de
activación de manera correcta.
PIN Bloqueado
En caso ingresar tres veces el PIN de manera incorrecta al firmar digitalmente o autenticarse ante
un sistema, el mismo entra en estado “Bloqueado”.
Esto se puede verificar en la opción “información de token”, si el mismo se encuentra bloqueado
se podrá visualizar en el campo “Estado de PIN”. Como se puede ver en la imagen
Si esto ocurre, existe un mecanismo para desbloquear el módulo criptográfico a través de la
“Utilidad para administración de tokens” siguiendo los siguientes pasos:
Pasos para desbloquear PIN:
1- Al ingresar en la opción “Tokens” se habilitará la opción “Desbloquear PIN…”, dar clic en
dicha opción.
14
2- Introducir el PUK.
3- Introducir el PIN nuevo
4- Confirmar el PIN nuevo introduciendo de nuevo
15
PIN y PUK Bloqueado
En caso ingresar tres veces el PUK de manera incorrecta al intentar desbloquear el PIN el mismo se
bloquea de igual manera.
Cuando esto ocurre, el token entra en estado “Bloqueado” y ya no existe una manera de recuperar
el certificado digital contenido en el mismo.
A través de la “Utilidad para administración de tokens” se podrá visualizar el estado del token.
Ejemplo de token bloqueado:
Sin embargo, existe un mecanismo de recuperación o reciclado del módulo criptográfico, y de esta
manera el token o la tarjeta inteligente se podrán reutilizar (eliminando el certificado digital
contenido en el mismo) y el usuario tendrá la posibilidad de realizar de vuelta el proceso de
emisión de un certificado digital nuevo en el mismo token.
OBSERVACIÓN: Tal como lo establece la Política de Certificación de la Infraestructura de Clave
Pública del Paraguay, la CA (Autoridad de Certificación) debe asegurar que el “nombre distintivo
del suscriptor” sea único dentro de la PKI Paraguay, por lo cual en caso de reciclar un token el
usuario deberá realizar primeramente el procedimiento de revocación de su certificado digital
antes de volver a solicitar la emisión de un certificado NUEVO.
Para más información sobre el proceso de revocación y emisión de certificados digitales contactar
con eFirma.
Pasos para reciclar el token:
No intente realizar este procedimiento sin contar previamente con ayuda del Soporte Técnico
eFirma.
1- Ingresar a la opción “Token”, se habilitará la opción “Reciclar token…”. Clic en dicha opción
16
Se abrirá la ventana “Inicializar token”
234567-
Ingresar la etiqueta nueva del token.
Introducir el PUK nuevo.
Confirmar el PUK nuevo introduciendo de nuevo.
Introducir el PIN nuevo.
Confirmar el PIN nuevo introduciendo de nuevo.
Clic en aceptar.
17
De esta manera el token volverá al estado “operativo” y listo para una nueva emisión de
certificado digital.
En caso de tener alguna consulta respecto al uso del Safesign IC y el Software Administración de
tokens debe ponerse en contacto con el Soporte Técnico eFirma.
18
Soporte Técnico eFirma
Para establecer contacto con nuestro Soporte Técnico de eFirma, presentamos las siguientes vías
de ayuda:
- Vía correo electrónico: A través de la cuenta [email protected]
- Vía telefónica: A través de la línea telefónica 021-229-350.
19