5.4.4 Mobile Key
Identifikace uživatele (Auth ID)
Aplikace 2N Mobile Key se na straně zařízení 2N autentizuje pomocí jednoznačného identifikátoru – tzv. Auth ID. Auth ID (128bit číslo) je pro každého uživatele náhodně vygenerováno a procesem tzv. párování spojeno s uživatelem zavedeným v přístupové jednotce 2N a jeho mobilním zařízením.
Poznámka
- Vygenerované Auth ID nemůže být uloženo ve více mobilních zařízeních současně. Tzn. že Auth ID jednoznačně identifikuje konkrétní mobilní zařízení (resp. jeho uživatele).
Hodnotu Auth ID lze u každého uživatele nastavit a upravit v parametru Mobile Key v seznamu uživatelů zařízení. Auth ID lze přesunout k jinému uživateli, příp. zkopírovat do jiného zařízení. Po vymazání hodnoty pole dojde k blokování přístupu uživatele.
Šifrovací klíče a lokace
Komunikace mezi aplikací 2N Mobile Key a zařízením je vždy šifrovaná. Bez znalosti šifrovacího klíče nemůže aplikace 2N Mobile Key uživatele autentizovat. Primární šifrovací klíč je automaticky vygenerován při prvním spuštění zařízení a později jej lze kdykoli ručně přegenerovat. Primární šifrovací klíč je společně s Auth ID přenesen do mobilního zařízení při párování.
Šifrovací klíče a identifikátor lokace lze ze zařízení exportovat a následně importovat do dalších zařízení. Zařízení se stejným názvem lokace a stejnými šifrovacími klíči tvoří tzv. lokace. V rámci jedné lokace se mobilní zařízení páruje pouze jednou a identifikuje se pouze jedním jedinečným Auth ID (tudíž v rámci lokace lze kopírovat Auth ID uživatele z jednoho zařízení 2N do druhého).
Párování
Procesem tzv. párování se rozumí přenos přístupových údajů uživatele do jeho osobního mobilního zařízení. Přístupové údaje uživatele mohou být uloženy pouze v jednom mobilním zařízení – tj. uživatel nemůže mít např. dvě mobilní zařízení, pomocí kterých se autentizuje. V jednom mobilním zařízení však mohou být současně uloženy přístupové údaje uživatele do více lokací současně (tj. mobilní zařízení slouží jako klíč pro více lokací současně).
Párování uživatele s mobilním zařízením lze vyvolat v Adresáři zařízení na stránce příslušného uživatele. Párování lze fyzicky provést lokálně pomocí USB bluetooth modulu připojeného k PC, příp. vzdáleně pomocí bluetooth modulu integrovaného v zařízení. Oba způsoby párování vedou ke stejnému výsledku.
Při párování se do mobilního zařízení přenášejí následující údaje:
- Identifikátor lokace
- Šifrovací klíč lokace
- Auth ID uživatele
Šifrovací klíč pro párování
V režimu párování se z bezpečnostních důvodů se pro zabezpečení komunikace používá jiný klíč než při komunikaci po spárování. Tento klíč je automaticky vygenerován při prvním spuštění zařízení a lze jej kdykoli přegenerovat.
Správa šifrovacích klíčů
Zařízení 2N může udržovat v platnosti až 4 šifrovací klíče – tj. 1 primární a až 3 sekundární klíče. Mobilní zařízení může k šifrování komunikace použít libovolný z těchto 4 klíčů. Šifrovací klíče jsou plně pod kontrolou správce systému. Šifrovací klíče je vhodné z bezpečnostních důvodů pravidelně, příp. při ztrátě mobilního zařízení nebo úniku konfigurace zařízení 2N aktualizovat.
Poznámka
- Při prvním spuštění zařízení 2N jsou automaticky vygenerovány šifrovací klíče a jsou uloženy do konfiguračního souboru zařízení. Pro větší bezpečnost doporučujeme tyto šifrovací klíče před prvním použitím ručně znovu vygenerovat.
Primární klíč je možné kdykoli znovu vygenerovat. Z původního primárního klíče se následně stane první sekundární klíč, z prvního sekundárního se stane druhý sekundární atd. Sekundární klíče lze kdykoli odstranit.
Po odstranění klíče se uživatelé aplikace 2N Mobile Key, kteří tento klíč stále používají, nebudou moci autentizovat, pokud před smazáním klíče neaktualizují šifrovací klíče ve svém mobilním zařízení. Klíče v mobilním zařízení se aktualizují při každém použití aplikace 2N Mobile Key.
Seznam parametrů
- ID lokace – jednoznačný identifikátor lokace, ve které platí sada nastavených šifrovacích klíčů.
- Tlačítko Export – exportuje identifikátor lokace a aktuální šifrovací klíče do souboru. Exportovaný soubor lze následně importovat do jiného zařízení. Zařízení se stejným názvem lokace a stejnými šifrovacími klíči tzv. lokaci.
- Tlačítko Import – importuje ID lokace a aktuální šifrovací klíče ze souboru exportovaného z jiného zařízení. Zařízení se stejným názvem lokace a stejnými šifrovacími klíči tzv. lokaci.
- Tlačítko Obnovit primární klíč – vygenerováním nového primárního šifrovacího klíče dojde k smazání nejstaršího sekundárního klíče. Uživatelé aplikace 2N Mobile Key, kteří stále používají tento klíč, se nebudou moci autentizovat, pokud před touto operací neaktualizují šifrovací klíče ve svém mobilním zařízení. Klíče v mobilním zařízení se aktualizují při každém použití aplikace 2N Mobile Key.
- Tlačítko Smazat primární klíč – odstraněním primárního klíče se uživatelé, který tento klíč používají, nebudou moci autentizovat.
- Tlačítko Smazat sekundární klíč – uživatelé aplikace 2N Mobile Key, kteří stále používají tento klíč, se nebudou moci po smazání klíče autentizovat, pokud před touto operací neaktualizují šifrovací klíče ve svém mobilním zařízení. Klíče v mobilním zařízení se aktualizují při každém použití aplikace 2N Mobile Key.
- Platnost párovacího PINu – doba platnosti autorizačního PINu pro párování mobilního zařízení uživatele se zařízením 2N.
Tip
- V případě nahlášení ztráty telefonu s uloženými přístupovými údaji doporučujeme následující postup:
- Vymažte hodnotu Mobile Key Auth ID příslušného uživatele – čímž dojde k blokování ztraceného telefonu a znemožnění jeho zneužití.
- Přegenerujte primární šifrovací klíč (volitelný krok) – čímž znemožníte případné zneužití šifrovacího klíče uloženého v mobilním zařízení.
Varování
- S upgradem na verzi 2.30 dojde k upgradu v i bluetooth modulech. Při downgradu na verzi 2.29 a nižší může dojít k jejich nefunkčnosti.