Guía de Uso

Administración de Token ME

Bit4id - PKI Manager

Fecha: Diciembre 2016 Versión 1 Elaboró: Responsable Soporte Técnico Aprobó: Gerente de Operaciones y Sistemas

INDICE

OBJETIVO ........................................................................................................................................ 3

ALCANCE ......................................................................................................................................... 3

RESPONSABLES ............................................................................................................................... 3

GLOSARIO ....................................................................................................................................... 3

INTRODUCCIÓN ........................................................................................................................ 4

eFirma y los Certificados Digitales ................................................................................................. 4

Bit4id PKI Manager ......................................................................................................................... 4

Datos de Activación PIN y PUK ....................................................................................................... 5

GUÍA DE USO Bit4id PKI Manager .............................................................................................. 6

Requisitos previos .......................................................................................................................... 6

Instalación ....................................................................................................................................... 6

Software “Administración de tokens” ........................................................................................... 6

Como cambiar el PIN ...................................................................................................................... 8

Como cambiar PUK ....................................................................................................................... 11

PIN Bloqueado .............................................................................................................................. 14

PIN y PUK Bloqueado.................................................................................................................... 17

SOPORTE TÉCNICO EFIRMA ..................................................................................................... 18

3

OBJETIVO

El presente documento tiene como objetivo describir las buenas prácticas de uso del Middleware Bit4id PKI Manager que se también se utiliza como Administrador de token.

ALCANCE

Este manual va dirigido a los usuarios que cuenten con un módulo criptográfico (Token) y un certificado digital emitido por eFirma y desean administrar las claves de activación y los objetos contenidos en el dispositivo a través del software Middleware Bit4id PKI Manager .

RESPONSABLES

Gerente de Operaciones y Sistemas Responsable Soporte Técnico Vit S.A. – soporte@efirma.com.py Usuario Final

GLOSARIO

Middleware: Es un software que conecta componentes de software o aplicaciones para que puedan intercambiar datos entre éstas. Bit4id PKI Manager (Administración de Tokens): Es un software que sirve para administrar las claves (PIN, PUK) que fueron generadas en un token y visualizar el contenido del mismo. Token: Dispositivo criptográfico de generación y almacenamiento de certificados digitales, utilizado para facilitar el proceso de autenticación de usuarios y firmar digitalmente. Certificado digital: Es un archivo digital mediante el cual un tercero confiable garantiza la vinculación entre el archivo y la identidad de un sujeto o entidad (por ejemplo: nombre, Cedula, Cargo entre otros aspectos de identificación). Firma digital: Mecanismo equivalente a la firma manuscrita que garantiza la identidad y responsabilidad del autor de un documento o transacción electrónica, así como permite comprobar la integridad del mismo, es decir que la información no ha sido alterada. eFirma: Empresa paraguaya, habilitada como Prestadora de Servicios de Certificación Digital. Autoridad de Certificación y Autoridad de Registro subordinada por el Ministerio de Industria y Comercio. PIN: (Personal Identification Number) Número de Identificación Personal que sirve para identificarse y tener acceso al Token, el usuario crea su PIN en el proceso de emisión de su certificado digital. PUK: (Personal Unlocking Key) Clave Personal de Desbloqueo, que sirve para desbloquear el PIN cuando se ha bloqueado totalmente el mismo o para realizar el barrido de token. El usuario crea su PUK en el proceso de emisión de su certificado digital.

4

INTRODUCCIÓN

eFirma y los Certificados Digitales eFirma es una empresa paraguaya dedicada a brindar servicios de confianza vinculados al ecosistema de certificación digital en nuestro país, en particular a la emisión y gestión del ciclo de vida de certificados digitales. Habilitada por el Ministerio de Industria y Comercio como Prestador de Servicios de Certificación habilitado, eFirma emite certificados digitales calificados para titulares personas físicas y jurídicas, los cuales pueden ser utilizados para autenticación y firma digital. Los certificados digitales de eFirma responden a formatos estándares tecnológicos fijados dentro la reglamentación vigente, y que permiten identificar indubitablemente y en forma segura a su titular. Es así que estos certificados digitales, y los servicios que eFirma brinda, gozan del reconocimiento en todos los ámbitos a nivel nacional, público y privado. Los certificados emitidos por eFirma tienen el respaldo de una empresa comprometida con la seguridad y son avalados por la Autoridad de Certificación Raíz de Paraguay dependiente del MIC, en el marco de la Ley 4017/10 Validez Jurídica de la Firma Electrónica, Firma Digital, y el Expediente Electrónico, y el ámbito legal regulatorio vinculado. Dispositivos criptográficos seguros para Certificados digitales eFirma: La emisión de Certificados digitales eFirma se realiza en dispositivos de hardware criptográfico seguros habilitados, distribuidos por eFirma. El nivel de seguridad que ofrecen estos dispositivos cumple con los requerimientos de estándares establecidos en la reglamentación de la Infraestructura de Clave Pública de Paraguay.

Bit4id PKI Manager eFirma pone a disposición del cliente el Middleware Bit4id PKI Manager para su descarga directa a través de la página web www.efirma.com.py Bit4id PKI Manager es un gestor criptográfico. Es decir, se trata de un programa responsable de crear una interfaz fácil de usar entre el usuario y el módulo criptográfico (token). Bit4id PKI Manager es un paquete de software que puede ser utilizado para mejorar la seguridad de las aplicaciones que soporta los hardware tokens a través de la librería PKCS#11. Combinando el cumplimiento de los principales estándares y protocolos de la industria, Bit4id PKI Manager puede ser utilizado con múltiples sistemas operativos. Bit4id PKI Manager permite usar el token para servicios de autenticación o firmas digitales e incluye toda la funcionalidad necesaria para utilizar el hardware token en una variedad de ambientes PKI. El paquete de instalación del Bit4id PKI Manager incluye el software Administración de Tokens, con el cual el usuario podrá administrar los objetos y los datos de activación del token PIN y PUK.

5

Datos de Activación PIN y PUK Tanto el PIN como el PUK son considerados datos confidenciales de activación del módulo criptográfico. Dichos datos, distintos a las claves, son requeridos para operar el dispositivo criptográfico y necesitan estar protegidos. En el proceso de emisión de un certificado digital sea de persona física o de persona jurídica, de firma digital o autenticación, el usuario debe generar sus propios datos de activación para proteger y prevenir pérdidas, robos, modificación o divulgación o uso no autorizado de sus claves privadas. Los datos de activación deberían ser memorizados, sin mantener respaldo escrito. Si se escriben, estos deberían de estar almacenados en un nivel de seguridad semejante al de los módulos criptográficos para protegerlos, y en una localización diferente a la de los mismos. En eFirma no almacenamos ningún tipo de dato de activación de token, tal como lo establece la Política de Certificación de la Infraestructura de Clave Pública del Paraguay. El PIN consiste en un número inicialmente de cuatro dígitos numéricos de identificación personal, cuyo uso principal es el de acceder al token al momento de firmar digitalmente, autenticarse ante un sistema o administrar el módulo criptográfico. Máximos intentos fallidos de inicio de sesión (PIN INCORRECTO): Tres (3) Luego del tercer intento fallido el PIN se bloquea, y el único mecanismo existente para desbloquear y generar un nuevo PIN es a través del PUK utilizando el Middleware Bit4id PKI Manager . El PUK consiste en una clave (inicialmente de cuatro dígitos numéricos) personal de desbloqueo, que funciona como una clave para desbloquear el PIN del Token cuando se ha olvidado el PIN o bien se ha bloqueado totalmente el mismo. Al introducir el PUK tres (3) veces de manera incorrecta el mismo se bloquea.

6

GUÍA DE USO Bit4id PKI Manager

Requisitos previos

Utilizar módulos criptográficos distribuidos por eFirma.

Instalar el Middleware en el ordenador.

Instalación La descarga e instalación del middleware se detalla en los manuales de Soporte Técnico eFirma

que se encuentra a disposición de descarga en los siguientes links:

Manual de descarga e instalación:

https://efirma.com.py/descargas/InstalaciontokenME_bit4id.pdf

Video explicativo:

https://www.efirma.com.py/descargas/configuracion_token_ME_Bit4id.mp4

Software “Administración de tokens” Una vez instalado el Middleware Bit4id PKI Manager al ingresar en el menú “Inicio” ya se podrá observar el ícono del software “Bit4id – PKI Manager”

7

Se abrirá la ventana “Bit4id – PKI Manager” con el cual el usuario podrá acceder a todos los recursos y las claves de activación del token. Inicialmente el cuadro se encontrará vacío.

Al insertar el módulo criptográfico (token) en el puerto USB de la terminal, aparecerá en la pantalla la etiqueta del token e ingresando en la opción “Iniciar sesión” podemos ingresar el PIN del Token y así tener habilitado todas las opciones de la administración del token.

8

Como cambiar el PIN Es posible cambiar el PIN generado en el proceso de emisión a través del Bit4id – PKI Manager las veces que el usuario cree conveniente. OBSERVACIÓN: Queda a criterio del usuario cambiar o mantener el PIN generado en el proceso de emisión. Pasos para cambiar el PIN:

1- Clic en la opción “Cambiar PIN”

9

2- Primer campo: Introducir el PIN antiguo. 3- Segundo campo: Introducir el PIN nuevo.

El sistema permite al usuario generar un nuevo PIN que contenga de cuatro a dieciséis dígitos alfanuméricos, que se reconoce MAYÚSCULAS y minúsculas.

4- Tercer campo: Confirmar el nuevo PIN, ingresando de vuelta su PIN nuevo para confirmar.

10

5- Clic en “Aceptar”

11

Como cambiar PUK Es posible cambiar el PUK generado en el proceso de emisión a través del Bit4id – PKI Manager utilizando el software Administración de Tokens las veces que el usuario cree conveniente. OBSERVACIÓN: Queda a criterio del usuario cambiar el PUK o mantener el generado en el proceso de emisión. Pasos para cambiar el PUK:

1- Clic en la opción “Cambiar PUK”

12

2- Primer campo: Introducir el PUK antiguo 3- Segundo campo:Introducir el PUK nuevo

OBS: El sistema permite al usuario generar un nuevo PUK que contenga de cuatro a dieciseis dígitos alfanuméricos y que se reconoce MAYÚSCULAS de minúsculas.

4- Tercer Campo: Confirmar el PUK nuevo ingresándolo de vuelta.

13

5- Clic en “Aceptar”

14

PIN Bloqueado En caso ingresar tres veces de seguido el PIN de manera incorrecta al firmar digitalmente o autenticarse ante un sistema, el mismo entra en estado “Bloqueado”. Esto se puede verificar haciendo clic sobre la etiqueta del token y de esa manera podemos ver la “información de token” en el cuadro de mensaje del middleware, si el mismo se encuentra bloqueado se podrá visualizar en el campo “Estado de PIN”. Como se puede ver en la imagen

15

Si esto ocurre, existe un mecanismo para desbloquear el módulo criptográfico a través de la “Bit4id – PKI Manager” siguiendo los siguientes pasos: Pasos para desbloquear PIN:

1- Al ingresar en la opción “Desbloquear PIN” se habria la ventanita “Desbloquear el PIN”

16

2- Primer campo: Introducir el PUK. 3- Segundo Campo: Introducir el PIN nuevo 4- Tercer Campo: Confirmar el PIN nuevo introduciendo de nuevo

5- Clic en Aceptar, el nuevo PIN queda nuevamente con 3 intentos.

17

PIN y PUK Bloqueado En caso ingresar tres veces de seguido el PUK de manera incorrecta al intentar desbloquear el PIN el mismo se bloquea de igual manera. Cuando esto ocurre, el token entra en estado “Bloqueado” y ya no existe una manera de recuperar el certificado digital contenido en el mismo. A través del “Bit4id PKI Manager” se podrá visualizar el estado del token.

Ejemplo de token bloqueado:

Sin embargo, existe un mecanismo de recuperación o reciclado del módulo criptográfico, y de esta manera el token se podrá reutilizar (eliminando el certificado digital contenido en el mismo) y el usuario tendrá la posibilidad de realizar de vuelta el proceso de emisión de un certificado digital nuevo en el mismo token. OBSERVACIÓN: Tal como lo establece la Política de Certificación de la Infraestructura de Clave Pública del Paraguay, la CA (Autoridad de Certificación) debe asegurar que el “nombre distintivo del suscriptor” sea único dentro de la PKI Paraguay, por lo cual en caso de reciclar un token el usuario deberá realizar primeramente el procedimiento de revocación de su certificado digital antes de volver a solicitar la emisión de un certificado NUEVO. Para más información sobre como reutilizar el Token o el proceso de revocación y emisión de certificados digitales contactar con eFirma.

18

SOPORTE TÉCNICO EFIRMA

Para establecer contacto con nuestro Soporte Técnico de eFirma, presentamos las siguientes vías

de ayuda:

- Vía correo electrónico: A través de la cuenta soporte@efirma.com.py

- Vía telefónica: A través de la línea telefónica 021-229-350.