slingsecure usb cifrado
Post on 08-Jun-2015
538 Views
Preview:
TRANSCRIPT
UST Credencial de Seguridad USB
Redes Moviles y Fijas Seguridad OEM
SlingSecure S.r.l. concentra sus ac+vidades en el desarrollo de plataformas de hardware y soBware diseñadas para soportar la integración y los desarrollos a la medida para
SlingSecure S.r.l.
Ambiente Seguro de SlingSecure
SlingSecure
La variedad de productos del Ambiente Seguro se basa en una arquitectura de seguridad comprobada diseñada para ofrecer desempeños de vanguardia para los integradores y desarrolladores
Ambiente Seguro de SlingSecure
Rango de SlingSecure ü ESE -‐ Embedded Secure Engine (Motor Seguro Incrustado)
ü mSE -‐ Micro Secure Environment (Ambiente Micro-‐Seguro)
ü UST -‐ USB Security Token (Credencial de Seguridad USB)
E S E Embedded Secure Engine CaracterísFcas Técnicas ü Librerías Criptográficas -‐ AES (128,192,256) -‐ DES/3DES -‐ IMAC/HMAC/CMAC NIST 800-‐38B -‐ SHA1, SHA256 -‐ Variaciones y Algoritmos personalizados AES/DES a solicitud -‐ Hasta 4 sesiones criptográficas concurrentes ü Generador de Ruido Físico Aleatorio FIPS 140-‐2 ü Número de Serie Único/ID ü reinicio Local/Remoto/Auto/Manual ü Almacén Seguro de Claves ü Generación y GesFón de Claves ü Perfiles de Administrador/Usuario ü APIs de Comunicación Encriptada
Aplicación del Usuario
Librería de Comunicación de ESE
Canal de comunicación Encriptado
Crypto Core
Políticas
Algoritmos Personalizados (hasta 6 variantes)
Base de Datos de Claves Cifrada
N ú m e r o d e Serie Único
EMBEDDED SECURE ENGINE
Integración Fácil de E S E en HW/SW IntegraFon ü Librería de SoBware ANSI -‐ Micro Controlador Independiente
-‐ Varios Compiladores/Soporte de IDE ü Canal Serial de Com(RX/TX hasta 450 Kb/s) ü Canal USB(hasta 11 Mb/s) ü GesFón de Energía -‐ Administración de Frecuencia -‐ Tres modos de energía soportados: -‐ 50mA (3V) @ 58.924MHz -‐ 12mA (3V) @ 14.7456MHz -‐ 2mA (3 V) @ estado de reposo
ü Paquete Pequeño(9x9x0.85mm) ü Fuente de Poner Única(2.9V-‐5V) ü Generador de Ruido Físico Aleatorio FIPS 140-‐2
Oscilador
RNG Física
Central del Sistema
SD Card o SP1 Flash
Listo para Interfaz USB
SP1
UAAT (Rx/Tx)
m S E micro Secure Environment All the SlingSecure features in a MicroSD
ASIC
2xUART
SD Ctrl
512KByte FLASH
32bit MCU ♦6xDMA+lnt Ctrl
96KByte RAM
2xSPI
SE Engine 2xUSB HS Ext BUS
Disponible en el 2T del 2011
SPI o BUS
NAND Flash
ü Motor de encripción de HW ü Algoritmos estándar y personalizados ü Interfaz de tarjeta SD (up to 450Mb/s) ü Memoria Integrada (hasta 4 GB) ü Base de datos de claves interna ü Adecuado para Aplicaciones de Móviles
UST Ambiente Seguro por USB
Adaptador de seguridad USB para
ü Encriptado de tarjetas MicroSD ü Almacenamiento masivo seguro ü Operaciones de Seguridad -‐ Encriptado de archivos - Solida autenticación - Firma digital - SO seguro
- Ejecución de aplicaciones seguras
MicroSD
SIN drivers SIN soIware instalado en la PC
vs**?'
Autenticación y Encriptado
Uso Típico de UST ü Encriptado de MicroSD • Asegurar y ocultar par+ciones completas en las tarjetas MicroSD
ü Host EncrypFon • Asegurar cualquier información (archivos, documentos, etc.) almacenados en
las PCs o Servidores, u+lizando una o más contraseñas de acceso
ü ComparFr Información de Manera (o envío) • Encriptado de información y compar+rlos (e-‐mail, ]p, etc.)
ü Envío Físico de Información • Encripte toda la microSD u+lizando claves de acceso compar+do y envíe la tarjeta (la microSD solamente mostrará una par+ción vacía a los accesos no auten+cados)
ü Ejecución de Aplicaciones y SO de manera segura • Cargue y ejecute un SO completo o aplicaciones específicas desde la memoria • Ejecute maquinas virtuales de manera segura
• Basado en claves de acceso simétricas, con soporte de PKI
Un adaptador UST... Varias tarjetas SD Muchas tarjetas microSD Un solo
Adaptador UST ü Varias tarjetas microSD* pueden ser conectadas y encriptadas con un solo adaptador UST *una a la vez
ü Dos niveles de autenFcación disponibles • Contraseña de acceso al adaptador UST • Contraseña de acceso a la microSD
ü Cambie de una tarjeta encriptada a otra simplemente uFlizando la ocntraseña de acceso
de cada microSD
Tarjetas microSD
UST Ambiente Seguro por USB
ü ParFción segura oculta en la microSD
ü Formato y reinicio de hardware ü Completamente compaFble con • MicrosoB Windows XP/Vista
• Apple Mac OS X
• GNU Linux
Autenticación
MicroSD
Modos de Operación de UST El adaptador UST muestra distintas particiones según el modo de operación ü ParFción vacía (predeterminado)
• Semuestra automaFcamente despues de insertar el USB
• ConFene aplicación de usuario y administrador (a solicitud)
ü ParFción segura • AcFva unicamente después de una autenFcación exitosa
ü Solamente una par7ción ac7va a la vez
Técnica de Encriptado UST La parFción segura de la microSD está completamente encriptada
v Algoritmo de encriptado estándar o personalizado o
v Clave en modo OFB 256 bit, Vector inicial de 128 bit
v Tanto la tabla de ubicación de arvhicos como los sectores de datos están encriptados
v Vectores Iniciales (VI) generados por separado para cada sector de la microSD
• VI almacenados en un area especial/inaccesible
Sectores de la microSD
1 sector conFene 32 IVs
v Funciones de seguridad exclusiva de UST
Extensión de Tarjeta Inteligente de UST
ü El disposiFvo de UST soporta Tarjetas Inteligentes
ü Alto nivel de seguridad de HW/SW (hasta EAL5+ CC)
ü Personalización de UST dinamica
ü Funciones y algoritmos de encriptado adicionales
ü Librerías de UST Extendidas para Exportar las funciones de la Tarjeta Inteligente para aplicaciones seguras
Tarjeta Inteligente
Dispositivo UST
Autenticación
MicroSD
No se requieren drivers en la infraestructura PC PKI
UST Ambiente Seguro por USB
Elementos principales de la interfaz UST
1. Pantalla
2. Ranura de MicroSD
3. Trackball
4. Ranura para Tarjeta Inteligente
5. Boton de reinicio
Arquitectura de Hardware UST ü SlingSecure • arquitectura de micro-‐controlador ü FPGA • escalable para requerimientos especificos y
personalización • estándar 250.000 compuertas • hasta 1.000.000 compuertas ü microSD – Solo Lectura • para aplicaciones y SW OEM • Base de datos de claves interna • capacidad estándar de 2GB ü microSD -‐ removible • Par+ción vacía + segura • capacidad estándar de 4GB ü Smart Card • Interfaz ISO7816 • plugin de factor ü Pantalla y trackball • para el ingreso directo de contraseña
Pantalla
trackball
Tarjeta Inteligente removable
microSD
M i c r o S D In terna – solo lectura
SS Micro
Librerías de Desarrollo y UST SDK
Apps HOST
Librerias HOST
Drivers HOST
Firmware UST
Aplicaciones Personalizadas
DisposiFvo Seguro UST
Do cumen to Seguro UST
Prueba de PC
E v a l u a d o r USERNG
APPS Básicas
Librería APDU de Tarjeta Inteligente
L ib rer ía de Acceso a T.
Librería de Administración
Librería Segura de MicroSD
Librería de Comunicación
Librería
DisposiFvos de Almacenamiento USB Estándar
L ibrer ía APDU de Tarjeta Inteligente
Librería de Acceso a Tarjeta
Libreria de Interfaz de Usuario
Librería de Coprocesador Libreria RNG Librería STD
Hardware UST MicroCTRL RNG Físico H W ( F P G A ) Personalizado
Pantalla y Trackball MicroSD Tarjeta
Inteligente
Provisto por SlingSecure
Perifericos Provistos por HOST
Provisto por el usuario
SDK Ho
st
SDK Ce
ntral
Librerías UST Las Aplicaciones basadas en UST pueden ser desarrolladas fácilmente uFlizando librerías
• Librerías de Host - Provee la comunicación al dispositivo UST - Capacidades de exportación interna/UST segura • Librerías Centrales
- Administración de Encriptado/Decodificación - Administración de Claves - Administración Segura de microSD - Administración de Usuarios - Administración contra falsificación - Funciones y Algoritmos de Seguridad Personalizados
PC/ Host
Aplicación Protegida de Host
Librerías del HOST
Librerías Principales
UST
Seguridad de UST Clave
• Clave Maestra (Km) – generada internamente – una para cada disposiFvo – uFlizando USE RNG • Clave de SD (Ksd): generada cuando se formatea la SD
• Clave de Administrador (Ka): Generada por el cliente uFlizada en el soBware de administración • Claves de Administración Remota (Ke, Ks): generadas por el sistema de administración de claves Algoritmos de Encriptado
• Algoritmos de encriptado desarrolados por el cliente
• AES256 (con SBOX1 personalizado) uFlizado para encriptar el FAT de la microSD y la Información
• CMAC con AES256 (con SBOX2 personalizado) uFlizado para la autenFcación • AES256 (con SBOX2 personalizado) uFlizado para cifrar el protocolo de comunicación
• SHA256 uFlizado para las funciones de asimilación
La estructura de algoritmos puede ser completamente personalizada a solicitud
Almacenes de Claves UST Cualquier DisposiFvo UST soporta dos almacenes de claves • Claves Manuales • Pueden ser agregadas/eliminadas por el usuario • Pueden ser importadas/exportadas • Pueden ser generadas u+lizando el RNG interno • Claves de Administración Remota • Pueden ser generadas unicamente por el Sistema de Administración Remota • Solamente pueden ser importadas al disposi+vo designado • No pueden ser exportadas por el usuario
Clave de Cifrado
Las claves son encriptadas por medio de una clave de cifrado
Claves Manuales
Claves Administradas
Almacenes de Claves
UST 2
Id de Clave (4 bytes)
Atributos/Políticas Valor Encriptado de la Clave (16 Bytes)
Entrada
AES 256
Valor de Clave (16 Bytes)
Salida
Claves Manuales de UST
Las Claves Manuales son Generadas por el Usuario • Habilitadas unicamente si son definidas en las politicas del dispositivo
• Pueden ser importadas/exportadas (transferencias y respaldos manualesr)
• Generadas manualmente o por medio del RNG Físico
• Responsabilidad del Usuario
Proceso de Importación/Exportación • Para exportar una o más claves manuales se requiere el identificador
publico del dispositivo de destino
• La clave exportada es encriptada y firmada utilizando un algoritmo publico de clave
• Se puede utilizar una clave de familia para limitar el proceso de
exportación manual (grupo cerrado) • El proceso puede ser utilizado para respaldo manual de claves (se exporta a sí mismo)
Proceso de Importación/Exportación
Clave Encriptada
UST 1
Exportación
Firma
Importación
UST 2
Respaldo de UST
El UST puede producir respaldos encriptados legibles por ü El mismo UST ü Un UST de “Rescate” Respaldo de Información y Claves Manuales Completo • Solamente claves manuales • Información pública y privada • Respaldo de claves administrado por KRM en el servidor de KRM
Las claves están ecriptada por medio de una clave de cifrado única
UST
Información de Respaldo
Datos y Clave Encriptados Firma
BD de Respaldo
CD de Respaldo
microSD de Respaldo
UST KRM – Administración Remota de Claves Los disposiFvos UST pueden ser administrados de manera remota si se proporcionan dos claves especiales al momento de inicio • Clave de AutenQcación de KRM • Clave de Encriptado de KRM
Las claves anteriores son generadas por el Servidor de KRM • Un par de KRM por disposiQvo UST • Los pares de KRM son almacenados en el dispoQvo UST y el servidor de KRM
El Servidor de KRM genera claves operaFvas para cualquier disposiFvo UST • Cada clave operaQva es encriptada y firmada para el disposiQvo UST específico • La clave generada se importa por el usuario y se almacena en el almacen interno remoto UST Las Claves de Administración Remota no pueden ser exportadas
UST Servidor Win/Linux MacOS
Claves Administradas
BD de Claves Administradas
Servidor de KRM
Generación
Firma Clave Encriptada
Importación
UST
Seguridad de KRM
Motor de Seguridad KRM
• Generación de Claves de KRM • Autenticación y Encriptado de KRM • Autenticación del Administrador Escalabilidad del Sistema KRM
• Un UST admin soporta el crecimiento de la red de UST
• 1MB de memoria administra más de 1500 dispositivos UST
Generación
Servidor Win/Linux MacOS
BD de C laves Administradas
Claves Administradas
Servidor de KRM
Clave Encriptada Firma
Importación
UST
Actualización de firmware de UST
Las actualizaciónes de Firmware son ü Encriptadas para cada disposi+vo
ü Firmadas por el OEM ^ USEpro FW Update
SN: none -‐ APP: none -‐
Firmware Update
A d m i n Password
Upload New Firmware
*J
Admin Login
Wai+ng for device..,
Se requiere el el administrador del UST inicie sesión para la
actualización
Firmware 2...N
OEM
Firmware Encriptado Firma
Firmware Encriptado Firma Firmware 1
Aplicaciones Estándar de UST
El UST estándar viene con un soBware simple y efecFvo Este so]ware le permite
ü Tener acceso al area privada de la tarjeta de memoria
ü Encriptar de carpetas y archivos
ü Funciones de administración de claves básica
Las herramientas profesionales incluyen
ü Kit de Herramientas de Prueba de UST ü Herramientasde Prueba de RNG ü Herramientas y SW desarrollados a solicitud para requisitos específicos
Suite de Seguridad UST La Suite de Seguridad de UST es un simple y efectivo software que le permite
ü Tener acceso al area privada de la tarjeta de
memoria
ü Encriptar de carpetas y archivos
ü Funciones de administración de claves básica
Encriptado/Decodificado de UST Sin Conexión
• Agregue sus archivos
• Los Documentos Seguros reconocerán la acción de encriptado automá+camente
• Seleccione la clave de encriptado de su Base de Datos de Claves de UST interna
• Device Sus claves nunca saldrán de su UST • Generación automá+ca de claves u+lizando FIPS 140-‐2
Las operaciones de encriptado sin conexión le permiten proteger
cualquier archivo almacenado en un medio interno o externo
Kit de Herramientas de Prueba de UST El Kit de herramientas de prueba permite a los usuarios profesionales y desarrolladores probar y verificar las funciones internas del HW.
La herramienta de pruebas le permite a los usuarios profesionales y desarrolladores probar y verificar los desempeños de los generadores de ruido aleatorios y el cumplimiento de los FIPS. Una fuente aleatoria exporta la funcion a pruebas externas para su prueba o uso externo con aplicaciones personalizadas.
Herramienta de Pruebas UST RNG
SlingSecure Custom tools and SW Las funciones criptográficas de SlingSecure pueden ser exportadas al Host Algoritmos y Funciones Personalizados ü Suite de Herramientas para diseño de algoritmos y funciones personalizadas
Encriptado/Decodificado Sin Conexión ü Los disposiFvos de SlingSecure pueden ser uFlizados como un motor seguro para encriptar/decodificar archivos y documentos en el Sistema Host
Librerías de Encriptado ü Funciones de seguridad interna que pueden ser exportadas y uFlizadas en el Sistema Host por medio de librerías específicas
Servicio y Soporte de SlingSecure Los productos de SlingSecure están respaldados por el soporte del equipo de ingenieria y diseño para ü EfecFvidad de Costos ü Integración de sistemas
ü Entrega de soluciones a Fempo El alto nivel de servicio y soporte para todos los productos de SlingSecure permiten al cliente alcanzar el resultado deseado con la mejor relación costo-‐desempeño
Contacts
SlingMail Interna+onal
info@slingsecure.com
30' Kenilworth/1 Sir Augustus Bartolo Street
Ta' Xbiex, Malta
top related