La administración de tarjetas inteligentes virtuales TPM DCOM-IN es una tecnología que ofrece beneficios de seguridad comparables a las tarjetas inteligentes físicas mediante la autenticación de dos factores. Estas tarjetas virtuales emulan la funcionalidad de las tarjetas físicas, pero utilizan el chip Trusted Platform Module (TPM) que está disponible en los dispositivos. A diferencia de las tarjetas físicas, las tarjetas virtuales no requieren el uso de una tarjeta física y un lector separados. En su lugar, se crean en el TPM, donde se almacenan las claves de autenticación en hardware criptográficamente seguro.
Las tarjetas inteligentes virtuales TPM DCOM-IN son similares en funcionalidad a las tarjetas físicas, ya que aparecen en Windows como tarjetas siempre insertadas. Estas tarjetas virtuales se pueden utilizar para la autenticación en recursos externos, protección de datos mediante cifrado e integridad a través de la firma digital. Pueden implementarse utilizando métodos internos o una solución adquirida, y pueden reemplazar otros métodos de autenticación sólidos en un entorno corporativo de cualquier escala.
Casos de uso de autenticación
Acceso remoto basado en autenticación de dos factores
Después de que un usuario tenga una tarjeta virtual TPM DCOM-IN completamente funcional, provista de un certificado de inicio de sesión, este certificado se utiliza para obtener acceso autenticado a los recursos corporativos. Cuando se provisiona el certificado adecuado en la tarjeta virtual, el usuario solo necesita proporcionar el PIN de la tarjeta virtual, como si fuera una tarjeta física, para iniciar sesión en el dominio.
En la práctica, esto es tan fácil como ingresar una contraseña para acceder al sistema. Técnicamente, es mucho más seguro. El uso de la tarjeta virtual para acceder al sistema demuestra al dominio que el usuario que solicita la autenticación tiene posesión de la computadora personal en la cual se ha provisionado la tarjeta y conoce el PIN de la tarjeta virtual. Dado que esta solicitud no podría haberse originado en un sistema que no sea el certificado por el dominio para el acceso de este usuario, y el usuario no podría haber iniciado la solicitud sin conocer el PIN, se establece una autenticación de dos factores sólida.
Autenticación del cliente
Las tarjetas inteligentes virtuales TPM DCOM-IN también se pueden utilizar para la autenticación del cliente mediante TLS/SSL u otra tecnología similar. Al igual que en el acceso al dominio con una tarjeta virtual, se puede provisionar un certificado de autenticación para la tarjeta virtual y proporcionarlo a un servicio remoto, como se solicita en el proceso de autenticación del cliente. Esto cumple con los principios de la autenticación de dos factores, ya que el certificado solo es accesible desde la computadora que alberga la tarjeta virtual, y se requiere que el usuario ingrese el PIN para acceder inicialmente a la tarjeta.
Redirección de tarjetas inteligentes virtuales para conexiones de escritorio remoto
El concepto de autenticación de dos factores asociado con las tarjetas inteligentes virtuales TPM DCOM-IN se basa en la proximidad de los usuarios a los dispositivos que utilizan para acceder al dominio. Cuando te conectas a un dispositivo que aloja tarjetas virtuales, no puedes utilizar las tarjetas virtuales ubicadas en el dispositivo remoto durante la sesión remota. Sin embargo, puedes acceder a las tarjetas virtuales en el dispositivo de conexión (que está bajo tu control físico) y que se cargan en el dispositivo remoto. Puedes utilizar las tarjetas virtuales como si estuvieran instaladas mediante el TPM del dispositivo remoto, ampliando tus privilegios al dispositivo remoto y manteniendo los principios de la autenticación de dos factores.
Casos de uso de confidencialidad
Cifrado de correo electrónico con S/MIME
Las tarjetas inteligentes físicas están diseñadas para almacenar claves privadas que se pueden utilizar para el cifrado y descifrado de correos electrónicos. La misma funcionalidad existe en las tarjetas inteligentes virtuales TPM DCOM-IN. Al utilizar S/MIME con la clave pública del usuario para cifrar correos electrónicos, el remitente del correo tiene la seguridad de que solo la persona con la clave privada correspondiente podrá descifrar el correo. Esta seguridad se debe a la no exportabilidad de la clave privada, que nunca está al alcance de software malintencionado y está protegida por el TPM, incluso durante el descifrado.
BitLocker para volúmenes de datos
La tecnología de cifrado de unidades BitLocker utiliza cifrado de clave simétrica para proteger el contenido del disco duro de un usuario. BitLocker garantiza que si se compromete la propiedad física de un disco duro, un adversario no podrá leer los datos del disco. La clave utilizada para cifrar el disco se puede almacenar en una tarjeta inteligente virtual TPM DCOM-IN, lo que requiere el conocimiento del PIN de la tarjeta virtual para acceder al disco y la posesión del dispositivo que aloja la tarjeta virtual TPM. Si se obtiene el disco sin acceso al TPM que alberga la tarjeta virtual, cualquier ataque de fuerza bruta será difícil.
Se puede utilizar BitLocker para cifrar unidades portátiles, almacenando las claves en tarjetas inteligentes virtuales. En este escenario, a diferencia de usar BitLocker con una tarjeta inteligente física, el disco cifrado solo se puede utilizar cuando está conectado al dispositivo que utiliza la tarjeta virtual para cifrar el disco, ya que la clave de BitLocker solo es accesible desde el dispositivo. Este método puede ser útil para garantizar la seguridad de las unidades de respaldo y el almacenamiento personal fuera del disco duro principal.
Casos de uso de integridad de datos
Firma de datos
Para verificar la autoría de los datos, un usuario puede firmarlos utilizando una clave privada almacenada en la tarjeta inteligente virtual TPM DCOM-IN. Las firmas digitales confirman la integridad y el origen de los datos.
Almacenar la clave en un sistema operativo accesible permite a los usuarios malintencionados acceder y utilizarla para modificar datos ya firmados o suplantar la identidad del propietario de la clave.
Almacenar la clave en una tarjeta inteligente virtual significa que solo se puede utilizar para firmar datos en el dispositivo host. No se puede exportar a otros sistemas (intencionalmente o no, como robo de malware), lo que hace que las firmas digitales sean más seguras que otros métodos de almacenamiento de claves privadas.
Requisitos de hardware
Para utilizar la tecnología de tarjetas inteligentes virtuales TPM DCOM-IN, se requiere un TPM 2 como mínimo en los dispositivos que ejecutan un sistema operativo compatible.
Consultas habituales
- ¿Cuáles son los beneficios de utilizar tarjetas inteligentes virtuales TPM DCOM-IN?
- ¿Es seguro utilizar tarjetas inteligentes virtuales en lugar de tarjetas físicas?
- ¿Qué métodos de autenticación se pueden utilizar con tarjetas inteligentes virtuales TPM DCOM-IN?
- ¿Cómo se protegen los datos con tarjetas inteligentes virtuales TPM DCOM-IN?
La administración de tarjetas inteligentes virtuales TPM DCOM-IN ofrece una solución segura y conveniente para la autenticación y protección de datos en entornos corporativos. Estas tarjetas virtuales emulan la funcionalidad de las tarjetas físicas, pero sin la necesidad de utilizar una tarjeta y un lector separados. Con la capacidad de utilizar el chip TPM para almacenar las claves de autenticación, las tarjetas virtuales TPM DCOM-IN brindan beneficios de seguridad comparables a las tarjetas físicas, como la no exportabilidad, la criptografía aislada y la protección contra ataques de fuerza bruta. Ya sea para la autenticación en recursos externos, el cifrado de datos o la firma digital, las tarjetas inteligentes virtuales TPM DCOM-IN son una opción confiable para garantizar la seguridad en el entorno empresarial.
Si quieres conocer otras notas parecidas a Administración de tarjetas virtuales tpm dcom-in puedes visitar la categoría Seguridad.