20 January, 2014
category: Identificación laboral, Seguridad física, Seguridad lógica
El Instituto Nacional de Estándares y Tecnología dio a conocer la última especificación de tarjeta inteligente para los empleados del gobierno estadounidense. Las agencias federales tendrán ahora un término de 12 meses para emitir tarjetas que cumplan con el estándar revisado FIPS 201-2.
El estándar sigue el camino trazado por previas emisiones, señala, señala Bob Dulude, director de la Iniciativa de Identidad Federal en HID Global. “Es más o menos lo que esperábamos”, añade.
La industria parece positiva respecto a la línea trazada con la nueva especificación. “FIPS 201-2 es una mejora importante y una actualización de FIPS 201-1, que se publicó en marzo de 2006, hace más de siete años” apunta Steve Howard, vicepresidente de credenciales en CertiPath. “En ese tiempo se ha producido una tremenda aceptación de la tecnología PIV (Verificación de Identidad Personal) y junto con esa buena acogida, se ha acumulado un listado de cambios deseados”.
Hace más de dos años que se confeccionó el primer proyecto de FIPS 201-2, de modo que ha pasado bastante tiempo y se ha hecho mucho esfuerzo para perfeccionar ese proyecto, explica Howard.
Uno de los mayores éxitos con la última especificación es que no desechó los sistemas existentes, opina Neville Pattinson, vicepresidente senior de asuntos gubernamentales de Gemalto. “No hicieron trizas lo ya existente y la base instalada, lo cual habría sido una pesadilla con la incompatibilidad que se habría creado”, explica.
Como se esperaba, FIPS 201-2 permitirá credenciales PIV derivadas en los dispositivos móviles, así como una interfaz virtual de contacto que amplía la funcionalidad de la porción sin contacto de la tarjeta, aclara Hildegard Ferraiolo, especialista informática de la División de Seguridad Informática, en el Grupo de Tecnología Criptográfica de NIST.
En una publicación especial que se emitirá próximamente se darán detalles sobre la especificación de credencial derivada, informa Ferraiolo. La credencial derivada permitirá que una agencia sitúe un tipo de credencial PIV en un dispositivo móvil para que el usuario pueda acceder a aplicaciones de la empresa, a redes virtuales privadas u otros usos.
“A medida que los dispositivos móviles y alternativos se van imponiendo, se establece como una alta prioridad el poder utilizarlos dentro del ecosistema de identificación PIV (verificación de identidad personal)”, señala Howard. “Este es un cambio bien acogido, que trae consigo el empleo de identificación PIV de alta seguridad en el ecosistema de dispositivos móviles. Esto allana el camino para un nuevo nivel de seguridad en las iPads, iPhones, teléfonos y tabletas Android, BlackBerry y nuevos dispositivos aún por introducir.”
Pero la credencial derivada también podría posibilitar un sistema más seguro y rápido de control de acceso físico, dice Dulude. OPACITY, un estándar de interfaz sin contacto, puede ser utilizado con la credencial derivada y con la interfaz virtual de contacto.
La interfaz virtual de contacto ha de jugar un rol también en el entorno de los dispositivos móviles. La interfaz permitirá parte de la funcionalidad de contacto de la credencial en la interfaz sin contacto. Actualmente circula una publicación especial a modo de proyecto, la cual explica este aspecto.
Un posible uso podría ser dar un toque con un PIV sobre un dispositivo móvil NFC para ganar acceso a redes y servicios seguros, señala Ferraiolo. “Aprovecha las ventajas del canal NFC”, explica. “La interfaz virtual de contacto protegerá ese canal si se utiliza con el dispositivo móvil”.
Actualizaciones biométricas
FIPS 201-2 establece que la imagen facial del portador debe estar situada en la tarjeta inteligente, según expone Ferraiolo. Así la imagen facial se utilizará en los puntos de control de vigilancia y para la comparación automática cuando se reeditan credenciales. En la anterior especificación las imágenes faciales eran opcionales.
La especificación también ofrece como alternativas adicionales de autenticación la biometría de iris y de huellas digitales. “La comparación biométrica sin contacto en la tarjeta se proporciona como una nueva forma de activar la tarjeta, minimizando la necesidad de utilizar el PIN en parte de la configuración”, explica Howard.
Actualizaciones post-emisión
La nueva especificación también permite las actualizaciones de credenciales posteriores a la emisión, señala Ferraiolo. Las agencias han confrontado problemas porque los certificados digitales en el dispositivo expirarían antes que la tarjeta y no se facilitaban las actualizaciones.
Cambios en el certificado
FIPS 201-2 reduce la dependencia anterior respecto a un identificador único del titular de la tarjeta y se enfoca hacia un identificador único universal, que hará que PIV y PIV-I (verificación de identidad personal interoperable) estén más unidas.
“PIV proporciona ahora un Identificador Único Universal, obligatorio para cada credencial que se emita”, explica Howard. “Los emisores de PIV deben emitir ahora claves asimétricas de autenticación de tarjeta. Estos cambios alinean PIV con PIV-I, facilitando los costos de ingeniería de las partes que brindan soporte a ambos tipos de credenciales e incrementando significativamente la interoperabilidad entre las credenciales emitidas a nivel federal y no federal”.
Cadena de confianza revisada
La nueva especificación permite que los empleados federales transfieran agencias sin que se requiera realizar un chequeo de antecedentes totalmente nuevo.
“Esto se logra utilizando el nuevo concepto de ‘cadena de confianza’ en la gestión de identificación”, apunta Howard. “La cadena de confianza es esencial para asegurar la vinculación apropiada del individuo con la fuente de autoridad para el registro de identidad, así como con la credencial y la investigación de antecedentes. Con el empleo de la biometría las agencias pueden ahora intercambiar de manera segura los registros de identificación a medida que un individuo se desplaza dentro de la institución federal. Esto representa ahorros significativos y mejoras en la seguridad, al evitar la repetida verificación por parte de múltiples agencias en el transcurso del tiempo en que el individuo presta servicios en el gobierno federal”.
Usabilidad en la combinación NFC y credenciales derivadas
Parte de la razón por la que se demoró dos años para que se emitiera la especificación FIPS 201-2 es que los asuntos en preparación debían permitir el empleo de PIV con un dispositivo móvil. La primera versión de la especificación no permitía esta funcionalidad y fue criticada por las agencias federales y la industria.
La versión ratificada, emitida en septiembre de 2013, corrigió este problema al permitir credenciales derivadas, empleando el PIV con el fin de generar credenciales para dispositivos móviles. Aún falta una información detallada de cómo las credenciales derivadas se situarán en los dispositivos móviles y es muy probable que haya más de una forma de hacerlo.
Una opción es que un administrador de dispositivo móvil y un administrador de servicio confiable sitúen la credencial derivada en el elemento seguro del dispositivo, ya sea SIM u otro módulo de hardware incorporado.
Otra opción, teniendo en cuenta que los dispositivos Android están adoptando la tecnología NFC y que la interfaz virtual de contacto permite un permite un canal sin contacto más seguro, es utilizar el protocolo de comunicación de corto alcance para situar en el teléfono la credencial derivada.
Pero puede que esa no sea la mejor vía, apunta Neville Pattinson, vicepresidente senior para asuntos gubernamentales de Gemalto. “Resulta poco práctico”, señala. “Sostener la tarjeta con el teléfono es un tanto incómodo y no estoy seguro de que la gente va a sentirse a gusto con ese método para descodificar y firmar los correos electrónicos”.
Otro problema potencial es que la mayoría de los teléfonos NFC actúan como emuladores de tarjeta y no como lectores de tarjeta, funcionalidad que está desactivada, explica Pattinson. Se producen también problemas con la batería cuando se usan los teléfonos como lectores. Solo un par de teléfonos Samsung han resuelto este problema mediante el uso de uan batería especial capaz de enfrentar la demanda extra de energía que exige la NFC.