história de sucesso
Transcrição
história de sucesso
história de sucesso Sistema nervoso central para os controles de fronteira de alta segurança Polícia Federal alemã verifica documentos de identidade eletrônicos na fronteira alemã com o secunet eID PKI Suite. desafio O uso crescente de documentos de identidade eletrônicos cria, em muitos lugares, valor agregado e processos muito mais eficientes. Em combinação com tecnologias modernas, os dados armazenados eletronicamente no chip do titular do passaporte permitem a automação de processos. Ao mesmo tempo, o passaporte eletrônico, a carteira de identidade eletrônica e semelhantes criam novos requisitos para p roteção de identidade: com o armazenamento de dados eletrônicos, é necessário mais do que apenas um documento de identidade à prova de falsificação para garantir uma identidade segura. É necessário também fornecer sistemas de identificação complexos de alta segurança como base, para regular o acesso seguro a estes documentos de identidade exclusivamente por entidades autorizadas. Em cada processo de verificação, um sistema de inspeção (IS) autorizado, usado em todos os pontos de controle de fronteira, precisa acessar os dados armazenados nos documentos eletrônicos. Para tanto, o leitor e o documento de identidade usam certificados correspondentes (Public Key Infrastructure – PKI). Uma vez introduzidos, esses sistemas de identificação abrem possibilidades completamente novas, por exemplo, no controle de fronteiras. Em um processo automatizado, passaportes podem ser controlados de forma confiável, no mais alto nível de segurança, dentro de poucos segundos. A carga dos guardas de fronteira é aliviada e o potencial de documentos de identidade modernos é totalmente aproveitado. cliente Sector: Autoridades/polícia Organização: A Polícia Federal alemã tem cerca de 40.000 funcionários e está vinculada ao Ministério Federal do Interior em Berlim. Dentro da arquitetura de segurança federal, a Polícia Federal alemã executa diversas funções especiais, principalmente nas áreas de controle de fronteiras, polícia ferroviária e de segurança aérea. dados e fatos A secunet disponibilizou, entre outros, os seguintes serviços: ■Fornecimento da infraestrutura de servidor central para a verificação de passaportes eletrônicos e documentos de identidade pessoais eletrônicos ■Integração do novo sistema no esquema de servidor e de autenticação existente ■Desenvolvimento e manutenção de software ■Treinamento de usuários ■Fornecimento da interface para todos os países membros da UE Software e tecnologia utilizados: ■Linux (SuSe, CentOS), alta disponibilidade (PaceMaker) ■Autenticação cliente-servidor através do TLS ■Serviços web ■Oracle, SQL ■Java, JCE, Groovy Script ■XML, XSLT, XSL-FO ■JavaScript, Ajax, jQuery ■HTML, CSS, Servlet/JSP, Tomcat requisitos A proteção das fronteiras do território federal é uma das principais tarefas da Polícia Federal alemã. Para executá-la, a Polícia Federal alemã realiza controles de fronteira de passageiros em muitos aeroportos da Alemanha. O sistema de controle de fronteira automatizado EasyPASS auxilia os guardas encarregados nos aeroportos mais movimentados nessa tarefa. Com o objetivo de executar uma verificação moderna e segura de documentos de identidade eletrônicos, a Polícia Federal alemã procurou um sistema de identificação confiável, de preço acessível e ao mesmo tempo eficaz. Assim, era óbvia a solução de fornecer os certificados e chaves necessários para os 1.300 sistemas de inspeção através de um sistema centralizado. Seguindo esta abordagem, as chaves IS são armazenadas em um módulo de segurança de hardware (HSM) central. Devido à curta duração da validade dos certificados IS, devem ser respeitados os processos de renovação automática para os certificados, conforme a diretriz técnica TR-03129 do Serviço Federal de Segurança da Tecnologia da Informação (BSI) da Alemanha. Além disso, uma lista principal com certificados CS e uma lista de defeitos com certificados DS problemáticos específicos devem ser atualizadas constantemente, para que documentos de identidade falsos possam ser confiavelmente detectados a qualquer momento. A solução ideal para a Polícia Federal alemã precisava garantir o seguinte: ■ Integração com um esquema de autenticação baseado em função já existente ■ C onformidade com os requisitos da diretriz CVCA (Country Verifying Certificate Authority), do Serviço Federal de Segurança da Tecnologia da Informação da Alemanha ■ Conformidade com a diretriz do certificado EAC dos países membros da UE (BSI TR-03139) PKI – sistema multifuncional no processo de controle de fronteiras No controle de fronteira automatizado, deve haver um sistema de inspeção autorizado capaz de acessar os dados armazenados no documento de identidade eletrônico em cada ponto de controle de fronteira. Para verificar se o sistema tem a devida autorização para este acesso, ele deve passar por uma autenticação de terminal usando a denominada chave IS, armazenada de forma segura, e pelo certificado de terminal correspondente. Para a fronteira alemã, as chaves de segurança correspondentes são armazenadas em um módulo de segurança de hardware, que é um componente essencial do Terminal Control Center. O Terminal Control Center, por sua vez, executa todos os processos-chave necessários para o sistema de inspeção. Um exemplo: um cidadão alemão retorna de sua viagem ao Japão e pousa no aeroporto de Frankfurt, onde o seu documento de identidade eletrônico é verificado no ponto de controle por um guarda de fronteira. Para tanto, o guarda usa o sistema de controle, sobre o qual ele coloca o passaporte eletrônico. O Terminal Control Center disponibiliza já anteriormente os dados de autenticação necessários para a autenticação do terminal. Além disso, em todos os pontos de controle de fronteira alemães, ocorre uma “autenticação passiva”, com a qual são asseguradas a integridade dos dados e autenticidade do documento de identidade eletrônica. Essa autenticação passiva envolve duas etapas: 1.Primeiramente, confirma-se se o certificado do Document Signer (DS) no documento de identidade foi emitido por uma Country Signing Authority (CSCA) confiável. Para tanto, a assinatura do certificado do DS é comparada com certificados CS confiáveis na lista geral alemã. 2. A assinatura de dados é comparada com o certificado (agora validado) do DS. Para evitar que a lista geral precise ser disponibilizada em cada sistema de inspeção na fronteira alemã, o primeiro passo da autenticação passiva é executado no Terminal Control Center. „ Nós temos o sistema PKI central em uso com sucesso desde 2011. Após uma implementação sem problemas, o eID PKI Suite provou ser extremamente confiável e estável durante a operação. Isso era indispensável, pois não poderíamos arcar com falhas do sistema na tarefa oficial de controle de fronteiras. Mathias Grell, gerente do Projeto EasyPASS, Divisão 54, Polícia Federal alemã “ solução Com a implementação do Terminal Control Center para o BSI, os especialistas da secunet ficaram bem familiarizados com os requisitos especiais e preparados para o desenvolvimento do aplicativo de controle de fronteira. Em estreita cooperação com a Polícia Federal alemã, eles desenvolveram a solução sob medida PKI, que leva em conta todos os requisitos específicos e fornece as seguintes funcionalidades: ■Document Verifier Certificate Authorities (DVCA) para a geração dos certificados digitais que são transmitidos para o Terminal Control Center (TCC) – o TCC executa as funções criptográficas, assim como o gerenciamento de chaves para os postos de controle de fronteira e os procedimentos automatizados de controle de fronteira EasyPASS. ■Uma comunicação on-line em conformidade com a BSI TR-03129 entre o DVCA e o CVCA assim como entre o DVCA e o TCC – o TLS-CA incluído garante a comunicação segura. ■Material de chave privado, armazenado com alta segurança em um HSM – para o uso com o eID PKI Suite, um módulo da Java Cryptography Extension (JCE) foi implementado para o Utimaco/ R&S CryptoServer Deutschland-HSM/3 CS10/CS50-LAN usado nesta solução. SPOC ICAO-PKD SPOC CVCA DVCA N-PKD CSCA TCC SPOC eGates Controles fixos de fronteira Controles móveis de fronteira implementação Um sistema crítico usado pelo poder público, como o controle de fronteiras da Alemanha, deve operar sempre de forma extremamente confiável e altamente segura. Deste modo, os especialistas da secunet selecionaram uma plataforma cluster Linux como a base para a solução de PKI central e a integraram na infraestrutura de TI existente do cliente. Com isso, foi possível minimizar o tempo de inatividade e garantir a máxima segurança. Desde a implementação dos componentes de PKI centrais em 2011, a secunet auxilia a Polícia Federal alemã continuamente com manutenções de software, funções de help desk e treinamentos de usuários e operadores. sucesso Os especialistas em PKI da secunet migraram do sistema de verificação de documentos de identidade eletrônicos existente para a nova infraestrutura de servidor dentro do prazo e dentro do orçamento previsto. Os elevados requisitos de segurança da Polícia Federal alemã são cumpridos totalmente através da conformidade com complexas interfaces nacionais e internacionais. A solução PKI central assegura que os pontos de controle de fronteira da Polícia Federal alemã estão agora interligados em todo o país. Isso garante que os dados p rotegidos por EAC possam ser capturados nos documentos de identidade eletrônicos nacionais, e verificados nos documentos dos países Schengen. Graças à solução centralizada, todos os 1.300 clientes de controle de fronteiras estão sempre equipados com certificados atuais e podem, assim, acessar os dados protegidos por EAC e SAC. Ao mesmo tempo, garantese que somente os sistemas de inspeção autorizados tenham este acesso aos dados de identidade pessoais. vantagens nMais de um milhão de controles de fronteira rápidos, convenientes e altamente seguros por ano nConsideração das estritas políticas de privacidade nDocumentos de identidade falsos ou manipulados são detectados de forma confiável nExige pouquíssima interação com o usuário nSuporta tanto pontos de controle de fronteiras manuais quanto automatizados (eGates) secunet Security Networks AG A secunet, parceira de segurança da República Federal da Alemanha desde 2004, é uma das líderes no fornecimento secunet Security Networks AG de sistemas sofisticados de segurança de TI. Em estreito diálogo com seus clientes nacionais e internacionais, tanto Kurfürstenstraße 58 do setor privado quanto de instituições públicas, a secunet desenvolve produtos de alto desempenho e soluções 45138 Essen avançadas de segurança de TI. Assim, a secunet não só protege os processos e sistemas de TI de seus clientes, mas Alemanha 04 / 2016 também atinge otimizações do processo inteligentes e cria valor acrescentado duradouro. Na secunet, há mais de 380 especialistas em assuntos como criptografia (SINA), E-Government, infraestruturas Tel.:+49-201-5454-0 críticas, segurança de negócios e segurança automóvel, com o objetivo de estar sempre um passo à frente em Fax:+49-201-5454-1000 qualidade e tecnologia. O nosso objetivo é a proteção eficiente e eficaz dos dados e infraestruturas de TI, incluindo E-mail:[email protected] a proteção da propriedade intelectual e da reputação dos nossos clientes. www.secunet.com