AMBIENTI OPERATIVI E CONFORMITA' AGLI STANDARD
Secondo una indagine condotta in Europa, il 42,5% delle imprese ha subito negli ultimi anni frodi informatiche. Nel 59,6% dei casi le frodi sono state commesse dai dipendenti. Solo un’azienda su cinque è riuscita a recuperare metà del danno; nel 56% dei casi le imprese hanno subito il furto passivamente.
In tutte le situazioni prese in esame, l’accesso logico alle risorse informatiche era basato sul tradizionale binomio “User Id e Password”.
Le password, si sa, si lasciano in giro, si comunicano ad altri (e non si cambiano), si possono intercettare quando vengono digitate, si possono individuare. E ancora: si dimenticano (ormai ogni utente ne possiede a decine), non si trovano quando servono.
Per aumentare il livello di sicurezza occorre superare il classico sistema “Username + Password” e puntare su un processo di “autenticazione forte” (strong authentication).
Per evitare
che ogni volta che si accede alle applicazioni locali o ai servizi via web (e-banking,
e-commerce,
e-government ecc.) si debba utilizzare una password diversa è necessario una
soluzione SSO (Single Sign On).
La soluzione che meglio può coniugare la sicurezza dell’identificazione alla semplicità d’uso è costituita dal riconoscimento biometrico (impronta digitale).
L’impronta digitale è una caratteristica fisica individuale. Non può essere persa o rubata ed è sempre a portata di mano. Secondo IDC/Biometric Group il 60% delle applicazioni biometriche è basato sull'impronta digitale.
Elex, azienda leader nei sistemi elettronici di controllo accessi fisico, propone una soluzione completa per il controllo degli accessi logici basati su diverse tecniche di identificazione (dall’e-token alla smart card, dall’impronta digitale all’identificazione multifattoriale a elevata sicurezza), sia in ambiente client/server che stand-alone.
La proposta Elex nasce dalla collaborazione con una delle aziende leader nel campo delle soluzioni biometriche, la francese Sagem (Gruppo SAFRAN) che in questo settore opera nel nostro paese attraverso la Xelios Italia SpA.
Sagem Défense Sécurité detiene il 50% del mercato mondiale AFIS (Automated Fingerprint Identification System) [Frost & Sullivan 2004].
| LA SOLUZIONE ELEX |
Il controllo accessi logico proposto da Elex è una soluzione integrata (software e hardware) sia in versione stand-alone che in ambiente client/server.
A livello software Elex offre la suite Xelios PC Login Pro Suite 5 la quale comprende il modulo X-Login per un login sicuro e multifattoriale, SSO per le funzioni single sign on dalla propria stazione di lavoro, X-MorphoCert per la gestione della firma digitale e X-Drive per la crittografia al volo.
Per il single sign on centralizzato è disponibile il modulo opzionale X-SSO Extended.
Per l’autenticazione del personale nomade (accesso da remoto) è disponibile l’applicativo VNA 5.
A livello hardware Elex offre un’ampia scelta di soluzioni con prestazioni e livelli di sicurezza crescenti: chiave USB o lettore di smart card (versione da tavolo o PCMIA) per l’autenticazione monofattore, lettore di impronta digitale (disponibile in diversi modelli, anche integrato nella tastiera), lettore d’impronta digitale abbinato al lettore di smart card (sia in versione da tavolo sia integrati nella tastiera) per un’autenticazione multifattoriale e per garantire la massima protezione del dato biometrico (in questo caso l'impronta risiede esclusivamente sulla carta e non sul database), biotoken (chiave con lettore di impronte a bordo e funzioni di storage).
| LA SUITE SOFTWARE |
La suite software Xelios PC Login Pro Suite 5 offre tutte le prestazioni per il login degli utenti, le funzioni SSO locali, la gestione della firma digitale e la crittografia al volo.
X-Login è il software che gestisce il controllo degli accessi secondo una specifica procedura di sicurezza per ciascuna stazione di lavoro e utente. Assume il controllo di tutte le funzioni GINA di Microsoft (stand-by, connection log ecc.), coordina la gestione di tre diversi dispositivi hardware (e-token, lettore di smart card, lettore di impronta digitale), assume la responsabilità degli account locali e di rete con la gestione del roaming, garantisce la compatibilità con i protocolli di sicurezza Microsoft (rotazione delle password). Nella versione Server prevede come figura centrale l’amministratore di rete che può, in qualsiasi momento, governare i vari client dalla propria stazioni di lavoro sia a livello di configurazione del funzionamento che di registrazione delle impronte degli utenti (installazione silenziosa).
X-MorphoCert è il software che protegge e facilita l’uso dei certificati (firma digitale). Una volta installato sulla stazione di lavoro, rileva i certificati associati alla chiave privata e offre tutte le garanzie di protezione attraverso l’uso dell’impronta digitale. Quando un’applicazione (posta elettronica, browser internet, applicazione di lavoro ecc.) richiede la chiave privata (firma crittografica, strong authentication ecc.) X-MorphoCert intercetta la transazione con lo strumento di crittografia (CSP Cryptographic Service Provider) e richiede l’impronta digitale per attivare la chiave.
X-Drive è il software per proteggere le informazioni (crittografia al volo). Esso permette di creare drive virtuali per proteggere i dati, offrendo le stesse funzionalità dei drive standard ma rendendoli più sicuri (protezione permanente e automatizzata di tutte le informazioni tramite crittografia AES). L’accesso al drive è protetto da un dispositivo di autenticazione (chiave, smartcard, impronta digitale). I dati cifrati possono essere salvati su un altro computer (cifratura e decifratura vengono eseguite in locale). La creazione può essere effettuata su qualsiasi tipo di supporto fisico (hard disk, CD/RW, chiave USB ecc.) con un numero massimo di 4 dischi privati per ogni utente e 100 GB di dati crittografati per ogni disco.
X-SSO Extended è il modulo software opzionale di PC Login ProSuite 5 che centralizza e potenzia le funzioni SSO. Da qualsiasi stazione connessa alla rete è possibile offrire a ciascun utente tutte le funzioni SSO.
VNA 5 è il modulo software alternativo o complementare a PC Login Pro Suite 5 per l’autenticazione degli accessi remoti (Virtual Network Access). Gli utenti non hanno più la necessità di memorizzare la propria password per eseguire la connessione a distanza (VPN Dial-up, sito internet protetto). A ogni utente viene assegnato un token biometrico (biotoken) che genera un codice unico (OTP On Time Password) valido esclusivamente per il collegamento in corso. Quando la procedura lo richiede, l’utente deve presentare la propria impronta.
| L'OFFERTA HARDWARE |
Il riconoscimento dell’utente può essere eseguito, in base alle esigenze, sia attraverso un e-token (smart card) posseduto dal soggetto (cosa ho) sia mediante un PIN o una password conosciuti dall’utente (cosa so) sia attraverso la verifica dell’impronta digitale (chi sono).
La combinazione di due o più tecniche di riconoscimento consente di realizzare un accesso logico multifattoriale di elevata sicurezza.
Dongle Reader è un lettore di smart card (SIM) che si presenta sotto forma di una piccola chiave portatile da connettere alla porta USB della stazione di lavoro (PC). La sicurezza dell’identificazione è assicurata dalla presenza fisica della chiave (monofattore) eventualmente abbinata alla digitazione di un PIN o di una password (bifattore). La soluzione è economica ma non è sicura. La chiave può essere dimenticata a casa (con conseguente fermo più o meno lungo dell’attività), smarrita, rubata ecc. Il PIN e la password presentano i difetti noti ovvero possono essere copiati, si dimenticano ecc.
Desktop Reader è un lettore di smart card da scrivania da collegare alla porta USB del PC. Pro e contro sono gli stessi della chiave. La carta, tuttavia, offre il vantaggio di poter essere usata anche per altre applicazioni in azienda quali, ad esempio, il controllo accessi fisico, la rilevazione delle presenze sul lavoro ecc.
PCMIA Reader è un lettore di smart card sotto forma di scheda elettronica compatibile con lo standard PCMIA in uso sui computer portatili. Le funzioni sono le stesse del dongle reader e del lettore di smart card.
MorphoSmart è la linea di lettori di impronte digitali, compatti e intelligenti, che consentono di aumentare notevolmente il livello di sicurezza. Il lettore, collegato alla porta USB della stazione di lavoro, permette la registrazione, il trattamento e la verifica delle impronte. Le misure di sicurezza di cui il dispositivo è provvisto garantiscono l’integrità degli scambi delle informazioni con il client e con il server.
Sono disponibili tre modelli di lettori di impronte digitali:
TCRE, lettore economico a strisciamento (swipe), dimensioni 84 x 33,8 x 14,3 mm, tecnologia capacitiva con superficie sensibile 12,4 x 0,2 mm, risoluzione 508 dpi.
MSO1300X, lettore professionale, dimensioni 53,7 x 33,7 x 13,5 mm, tecnologia ottica con superficie attiva 14 x 22 mm, risoluzione 500 dpi/256 scale di grigio, velocità di autenticazione e di identificazione inferiore al secondo. I criteri con i quali vengono rilevate le minutiae dell’impronta e viene creato il template sono conformi allo standard AFIS.
MSO300X, lettore di elevate prestazioni e robustezza, dimensioni 90 x 80 x 75 mm, tecnologia ottica con superficie attiva 21 x 21 mm, risoluzione 500 dpi/256 scale di grigio, tempo di autenticazione e identificazione inferiore al secondo. I criteri con i quali vengono rilevate le minutiae dell’impronta e viene creato il template sono conformi allo standard AFIS. Il lettore è disponibile anche nella versione che rileva il dito “morto” (fake finger detection).
BioKeyboard è una normale tastiera alfanumerica che integra un lettore di impronte digitali e si collega alla porta USB. Il lettore è particolarmente robusto e studiato per resistere ai colpi e alle forti pressioni, soluzione ideale per gli utenti che lavorano nei reparti di produzione.
Per una autenticazione bifattoriale e per risolvere tutti i problemi connessi alla protezione delle impronte digitali, sono disponibili tre soluzioni:
MorphoAccess 350X, lettore di impronta digitale (come modello 300X) con integrato lettore e scrittore di smart card. È la soluzione ideale per disporre di un'autenticazione multifattoriale (impronta e card) e per evitare la memorizzazione del template nel database centrale (l’impronta viene cifrata e memorizzata esclusivamente nella smart card e affidata all’utente).
BioSmart Keyboard, tastiera (come BioKeyboard) con integrati lettore/scrittore di impronta digitale e lettore di smart card. È la soluzione ideale, alternativa a MorphoAccess 350X, per disporre di un'autenticazione multifattoriale (impronta e card) e per evitare la memorizzazione del tempalte nel database centrale (l’impronta, cifrata, è memorizzata nella smart card in affidamento esclusivo dell’utente)
Stealth MXP, e-token con a bordo lettore di smart card (SIM), lettore di impronta digitale e con funzioni di storage. È la soluzione ideale, alternativa a MorphoAccess 350X e BioSmart Keyboard, per le persone che operano spesso fuori sede. La capacità del buffer varia in funzione del modello (da 128 MB a 2 GB); i dati sono cifrati automaticamente in AES 256.
Una soluzione completa in ambiente client/server prevede la licenza d’uso del software, la fornitura delle unità hardware per ciascuna stazione di lavoro (o utente) e l’addestramento del personale che deve installare, avviare e mantenere efficiente l’applicazione.
Gli elementi essenziali da considerare in sede di analisi e valutazione dell’investimento sono il numero di utenti coinvolti, il numero di workstation interessate, il tipo di dispositivo di identificazione (da scegliere in funzione del livello di sicurezza che si intende raggiungere e della tipologia dell’utente).
Per il software è prevista la licenza d’uso del prodotto PC Login Pro Suite 5 (server) e la fornitura della relativa chiave di abilitazione (Ident-lite). Nella versione base è inclusa la gestione di 50 utenti.
Oltre i 50 utenti è necessaria una licenza d’uso (client) per ogni utente.
Se la workstation viene utilizzata da un solo utente, le licenze d’uso client necessarie sono pari al numero di workstation.
Se una workstation viene utilizzata a rotazione da più utenti il numero delle licenze d’uso client necessarie è pari al numero complessivo degli utenti coinvolti.
Oltre i 3000 utenti occorre prevedere una diversa chiave di abilitazione.
È necessario che il server sia equipaggiato con sistema operativo Microsoft Windows 2003.
Per il modulo opzionale X-SSO Extended e per il software VNA 5 sono previste una licenza d’uso per il Server e una licenza per ciascuna stazione di lavoro ovvero per ogni utente.
Per l’hardware è prevista la fornitura di un dispositivo per ciascuna stazione di lavoro in base alle esigenze.
Tutti i dispositivi si collegano alla porta USB del PC.
Il software necessario per la gestione locale è attivato e configurato direttamente dall'amministratore di rete, senza interventi sul posto (esclusi casi particolari).
È essenziale che ciascun PC client sia equipaggiato con un sistema operativo Microsoft Windows 2000 o XP.
L’addestramento del personale interno incaricato di eseguire l’installazione e la messa in servizio è effettuato tramite appositi corsi di formazione che si tengono periodicamente. In alternativa può essere eseguita l’installazione e l’addestramento sul posto.
| AMBIENTI OPERATIVI E CONFORMITÀ AGLI STANDARD |
La suite PC Login Pro Suite 5 è sviluppata per operare in ambiente Microsoft con i sistemi operativi Windows 2003 (server) e Windows 2000 o XP (client).
X-Login è compatibile con gli standard PKCS#11, MCAO e PC/SC.
X-MorphoCert è compatibile con tutte le infrastrutture a chiave pubblica (PKI) e autorità di certificazioni (CA) che rilasciano certificati elettronici conformi allo standard X.509. È compatibile, inoltre, con i token crittografici MS-CAPI o PKCS#11 (smart card e chiavi USB) e con i software Microsoft Explorer, Microsoft Outlook e Outlook Express, Lotus Notes, Mozilla, Firefox, Adobe Acrobat Professional.
X-Drive è compatibile con la maggior parte delle applicazioni a 16 e 32 bit in ambiente Microsoft Windows 2000, XP e 2003. Il supporto è ottimizzato per tutte le più importanti applicazioni disponibili sul mercato quali SAP/R3, Oracle, Lotus Notes, Microsoft Outlook ecc. Supporta Internet Explorer e Netascape. A livello di emulazione è validato con i comuni emulatori mainframe (Unix, AS/400, IBM 3270, IBM 5250, IBM PCOM, WRQ Reflection, Attachmate Extra, Hummingbird Exceed), supporta gli emulatori IBM tramite HLLAPI, supporta MS Telnet in Windows 2000, 2003 e XP. I dati sono crittografati tramite standard RSA 1024, 3DES, MD5. La memorizzazione dei dati di connessione supporta profili Windows (locale, mobile) compatibile con Windows 2000 e 2003 Active Directory (LDAPv3).
X-SSO Extended usa partizioni FAT, FAT32 e NTFS; l’algoritmo crittografico è 128 bit AES, 192 o 256 bit AES.
VNA 5 include un Server Radius (anche Proxy Radius) compatibile con i clienti Radius standard; utilizza, inoltre, la console Microsoft MMC (Microsoft Management Console).
Dongle Reader è compatibile con porte USB 2.0, utilizza protocolli T=0, T=1, 2 wire SLE4432, SLE4442 (S=10) e 3 wire SLE4418, SLE4428 (S=9), I2C (S=8), SLE 4404. Supporta smart card 5V, 3V, 1,8V API PC/SC.
Desktop Reader è compatibile con porte USB 2.0, utilizza protocolli T=0, T=1, 2 wire SLE4432, SLE4442 (S=10) e 3 wire SLE4418, SLE4428 (S=9), I2C (S=8), SLE 4404. Supporta smart card 5V, 3V, 1,8V API PC/SC.
PCMIA Reader è compatibile con lo standard PCMIA, utilizza protocolli T=0, T=1, 2 wire SLE4432, SLE4442 (S=10) e 3 wire SLE4418, SLE4428 (S=9), I2C (S=8), SLE 4404. Supporta smart card 5V, 3V, 1,8V API PC/SC.
TCRE, MorphoSmart 1300X, 300X e 350X, Bio Keyboard, BioSmart Keyboard e Stealth MXP sono compatibili con l’interfaccia USB 2.0/USB 1.1 Plug & Play.
I Servizi Commerciali Elex sono a completa disposizione per ogni ulteriore chiarimento (Tel. 011.6601822, fax 011.6601700, e-mail: sales@elex.it).
© Copyright 2006 Elex srl Torino (Italy). Dati e informazioni possono cambiare senza preavviso. Tutti i diritti sono riservati. La riproduzione è vietata sotto qualsiasi forma e con qualunque mezzo. Elex è un marchio registrato di proprietà Elex srl. Xelios è un marchio E-Software SAS registrato Sagem DS (SAFRAN Group). Elex riconosce ai legittimi proprietari la proprietà degli altri marchi citati in questa pubblicazione.