Os smart cards ou cartões inteligentes baseados em certificados têm sido uma das implementações mais confiáveis ​​e comprovadas de autenticação multifator por mais de 20 anos. Há apenas um problema… o típico cartão inteligente em forma de cartão de crédito não funcionou bem, se é que funcionou, em dispositivos móveis sem hardware e software adicionais. 

Hoje, os cartões inteligentes vêm em muitos formatos, desde um tamanho de cartão de crédito que cabe em sua carteira até uma chave de segurança de hardware que cabe em seu chaveiro. Com a portabilidade e suporte multiprotocolo oferecido pelas chaves de segurança da Yubico, agora é possível usar qualquer YubiKey habilitado para verificação de identidade pessoal (PIV) em qualquer dispositivo iOS suportado como um cartão inteligente baseado em certificado.

 

A partir do iOS 14.2, a Apple oferece suporte nativo para smart cards, permitindo que qualquer smart card compatível com PIV interaja com um iPhone sem nenhum leitor de hardware ou software adicional. A chave YubiKey 5 Series é ideal como um cartão inteligente no iOS porque fornece segurança com suporte de hardware e credenciais portáteis, suporta o padrão PIV e pode se comunicar com qualquer dispositivo Apple fisicamente pelo conector Lightning ou sem fio por NFC.

Um smart card genérico é apenas um dispositivo físico que vem em vários tamanhos e formas (de uma chave a um cartão) e possui um chip de computador com um elemento de segurança incorporado. O elemento seguro permite armazenar, recuperar e enviar informações com segurança. Os tipos mais comuns desses cartões inteligentes são cartões bancários ATM, passaportes eletrônicos e cartões de identificação global.

O YubiKey é conhecido como um forte autenticador de dois fatores, multifator e sem senha (passwordless). Sem o conhecimento de muitos, também é um Smart Card compatível com PIV. Todas as chaves da série YubiKey 5 fornecem funcionalidade de cartão inteligente com base na interface PIV. Isso significa que a YubiKey pode fornecer a mesma funcionalidade criptográfica (como um CAC compatível com PIV) para verificação de identidade, acesso físico e acesso credenciado a redes e sistemas de computadores seguros. 

Credencial PIV Derivada

O governo dos Estados Unidos emite cartões inteligentes há mais de 20 anos, então o que mudou e por que agora? Juntamente com as recentes mudanças da Apple na maneira como os dispositivos iOS interagem com um cartão inteligente, as diretrizes do NIST também melhoraram muito a usabilidade da autenticação eletrônica via dispositivos móveis por meio do uso aprovado de credenciais PIV derivadas. 

A autorização de credenciais PIV derivadas significa que essas credenciais e a chave privada associada podem agora ser provisionadas no elemento seguro compatível com PIV de um YubiKey da série FIPS. A chave privada correspondente a uma credencial PIV derivada pode ser armazenada em um módulo criptográfico em um formato alternativo além de um estilo de cartão de crédito PIV emitido pelo governo.

A vantagem da YubiKey

As vantagens de usar a YubiKey como um cartão inteligente são a portabilidade, formato menor e sua capacidade de se comunicar com dispositivos iOS via conector Lightning e interfaces sem contato (NFC) sem a necessidade de leitores de cartão ou software adicionais. 

Dentro do módulo de cartão inteligente compatível com PIV da YubiKey, você pode armazenar vários certificados digitais em slots individuais para uma variedade de casos de uso diferentes. Cada um dos slots PIV no módulo de cartão inteligente da YubiKey é capaz de conter um certificado X.509, juntamente com a chave privada que o acompanha. 

Lembre-se, para os detentores de credenciais PIV derivadas ou aqueles que precisam de um nível de garantia NIST, a chave da série YubiKey FIPS é um cartão inteligente validado FIPS 140-2 compatível com PIV que atende aos requisitos para obter o nível 3 de garantia de autenticador mais alto (AAL3) do NIST Orientação SP800-63B.

Yubico Authenticator para iOS é um aplicativo autenticador que adiciona uma camada de segurança para usuários móveis e de desktop. O aplicativo Yubico Authenticator foi originalmente projetado para interagir com o módulo OATH-TOTP da YubiKey para senhas de uso único como uma forma de autenticação de segundo fator. 

A partir da versão 1.6, o aplicativo Yubico Authenticator para iOS permite que um cartão inteligente YubiKey interaja com certificados X.509 no módulo PIV por meio do conector Lightning ou NFC.

Ao usar sua YubiKey como um cartão inteligente no iOS, o aplicativo Yubico Authenticator é uma ferramenta essencial que oferece duas funções: 

Primeiro, ele fornece a interação intuitiva do usuário para extrair a parte pública do(s) seu(s) certificado(s) na YubiKey e colocá-lo no chaveiro do iOS, tornando o certificado disponível para qualquer aplicativo nativo, como o navegador Safari, o aplicativo Mail ou qualquer Aplicativo de terceiros. 

A segunda função do aplicativo autenticador é interagir com o YubiKey por meio de Lightning ou NFC durante a autenticação, assinatura ou descriptografia. Esta é a segunda parte do fator onde você insere seu PIN PIV para permitir a interação com a chave privada durante a autenticação.

 

Por que o aplicativo Yubico Authenticator é necessário? 

O aplicativo autenticador integra as novas APIs da Apple para interagir com um certificado digital em um smart card como se o certificado estivesse instalado no dispositivo. O dispositivo iOS e os aplicativos nativos estão procurando uma referência a um certificado que pode ser usado para autenticação ou outras operações criptográficas. 

Vamos dar uma olhada em como tudo isso funciona.

Como tudo funciona

Agora que temos uma melhor compreensão da YubiKey como um cartão inteligente no iOS e como ele funciona com o aplicativo Yubico Authenticator, vamos mergulhar em uma demonstração de como tudo isso funciona.

Com a explosão do home office e uma superfície de ataque em contínua expansão nos setores público e privado, há necessidades e requisitos crescentes para fornecer autenticação móvel segura. Para atender a essas necessidades e requisitos em constante mudança, os desenvolvedores estão se afastando da autenticação de nome de usuário + senha e adotando a autenticação de dois fatores (2FA). No entanto, precisamos de soluções 2FA fortes com suporte a hardware. 

Digamos que você esteja trabalhando remotamente e precise acessar recursos corporativos com segurança em qualquer dispositivo e em qualquer local. Em vez de se autenticar em um site via nome de usuário + senha e um código 2FA via SMS, você recebe uma YubiKey com um certificado PIV para acessar recursos corporativos. Nesse cenário, a YubiKey como um cartão inteligente completa os requisitos para 2FA forte, fornecendo algo que você possui (uma chave de segurança suportada por hardware protegendo seu certificado) e algo que você conhece, que é o código PIN necessário para proteger suas credenciais PIV no YubiKey.

Para demonstrar esse cenário, usaremos um certificado X.509 disponível publicamente, uma YubiKey compatível com PIV, a ferramenta de desktop YubiKey Manager e o aplicativo Yubico Authenticator em um dispositivo iOS. Usaremos essas ferramentas e credenciais e executaremos um cenário de autenticação simples baseado em certificado, atendendo ao forte requisito de 2FA. Você pode tentar isso em casa, pois estamos usando um certificado para download do badSSL.com, colocando-o em uma YubiKey e, em seguida, autenticando através do navegador Safari em um site protegido pelo certificado.

Todo esse processo mostrado no vídeo está documentado com mais detalhes no guia Yubico Smart card no iOS.

Para usar a YubiKey como um cartão inteligente no recurso iOS, conforme mostrado na demonstração, você deve ter o seguinte (todos os pré-requisitos são discutidos no guia da Yubico aqui):

• Apple iPhone ou iPad (somente conector Lightning) com iOS/iPadOS 14.2 ou posterior.
• Uma chave YubiKey 5 Series (5Ci, 5C NFC ou 5 NFC).
• Aplicativo Yubico Authenticator iOS (v.1.6 ou mais recente).
• YubiKey Manager GUI ou ferramenta CLI. Baixe para MacOS, Windows ou Linux.
• Certificado de cartão inteligente X.509 capaz de autenticação PIV.

Qual é o próximo?

Certificados e cartões inteligentes existem há décadas por meio de várias soluções de hardware e software para desktop, mas agora estamos vendo uma grande mudança para dispositivos móveis, pois essas tecnologias criptográficas comprovadas agora estão acessíveis a qualquer pessoa com um dispositivo iOS e uma YubiKey. 

Com as mais recentes integrações de smart card compatíveis com PIV no iOS e os requisitos atualizados de credenciais derivadas atendidos pelas YubiKeys validadas pelo FIPS 140-2, uma série de casos de uso foi desbloqueada.

fonte: yubico.com/blog