Praktyczne spojrzenie na zastosowanie SMARTCARD w

środowisku Windows

KRZYSZTOF BIŃKOWSKITrener, Konsultant | Compendium CE, ISSA Polska

Agenda• Co to jest Smart Card ? Rodzaje SmartCard• Zastosowanie SmartCard w środowisku Windows• SmartCard .NET

• Smart Card + EFS / Demo• Smart Card + CA Root / Demo• Smart Card + podpis elektroniczny

kwalifikowany• Smart Card + podpis cyfrowy w Office / Demo• Elektroniczna legitymacja studencka• Smart Cart +badge• Smart Card + Biometric / Demo• Darmowe certyfikaty Thawte i CaCert

Karta inteligentna ? Karta elektroniczna ? Karta chipowa ? Karta kryptograficzna ? Karta mikroprocesorowa ?

Smart Card w języku polskim

Co to jest Smart Card ?

Urządzenie, które przechowuje w sposób bezpieczny i chroni prywatne klucze kryptograficzne przed skopiowaniem i użyciem bez dodatkowego uwierzytelnienia.

2FA – Two Factor Authentication Personal factors - "Something you know”- PINTechnical factors - "Something you have” - Smart Card

Budowa Smart Card

- Posiada wbudowany procesor- Jest programowalna- Dostarcza bezpieczny magazyn dla kluczy prywatnych- Oddziela krytyczne dla bezpieczeństwa operacje od komputera

Karta przechowuje: Klucz prywatny Klucz publiczny

Powiązany certyfikat

Rodzaje kart

Źródło - http://www.smartcardbasics.com/cardtypes.htmlŹródło - Smart Card Product Selection Guide http://www.cardlogix.com/docs/guides/CardLogix_7100002_PSG_Sma

rtCard.pdf

Karta, nie karta ? Czasem SMART CARD nazywamy tokenami

USB

Czytniki kart

Standardowe karty

Zestaw zawiera: Karta Sterowniki + oprogramowanie (middleware) Czytnik kart

Przykładowe zastosowanie

Zastosowanie Smart Card w środowisku Windows

Interactive,Remote LogonInteractive,Remote Logon

Remote AccessAuthenticationRemote AccessAuthentication

SecureE-mailSecureE-mail

CodeSigningCodeSigning

SigningCertificate RequestsSigningCertificate Requests

CustomApplicationsCustomApplications

ClientAuthenticationClientAuthentication

Smart CardsSmart CardsDigital SignaturesDigital Signatures

WiFi AuthenticationWiFi Authentication

Karty .NET

Karty .NET - zarządzanie

Microsoft Windows Smart Card Framework

Microsoft Base Smart Card CSP vs. Vendor-Specific Monolithic CSP

(i.e., Smart Card Logon)

CAPI-based Crypto Application

(i.e., Secure Email)

Microsoft Smart Card Base Cryptographic Service Provider(BaseCSP.DLL)

WinSCard API(WinSCard.DLL)

Smart Card Resource Manager

Gemalto .NET 2.0 Smart Card Minidriver

Other Base CSP compliant Smart Card Minidriver

Vendor-Specific CSP

Any CAPI-based Crypto Application

Smart Card #1 Smart Card #3Gemalto .NET 2.0 Smart Card

CAPI-based Crypto Application

The new Windows Smart Card Framework replaces the traditional monolithic architecture for Smart Card Cryptographic Services.

The WSCF defines a Base Crypto Service Provider as a common interface for all WSCF compliant smart cards.

SC Vendors shall no longer provide a full blown proprietary middleware to support their smart cards on Windows OSs.

SC Vendors now shall only provide a small footprint dll, called smart card minidriver, to communicate with the Base CSP.

For Windows 2000, XP & Server 2003, The Smart Card Base CSP is an optional component available for download via Windows Update (KB909520).

The Gemalto .NET Minidriver (axaltoCM.dll) is included in the downloadable package.

On Windows Vista and Windows Server 2008 the Smart Card Crypto Service Provider is called Smart Card Key Storage Provider (KSP), and it is a core component of the OS.

The Gemalto .NET Minidriver is also a native component in Vista.

.NET w Microsoft Vista

CAPI / CSP

Crypto Next Generation (CNG)

Monolithic CSPCard X

Key Storage Provider (KSP)

MinidriverGTO.NET

MinidriverCard Y

MinidriverCard Z

Windows SC API + SC Resource Mgr

Zoom In

Smart Card + EFS Czy EFS w systemie Vista obsługuje SMARTCARD?

Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System

Smart Card + EFS Windows 7

Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System

Smart Card + EFS Windows 7

Wykorzystanie SMART CARD do EFS

Smart Card + CA Root Zabezpieczenie kluczy prywatnych CA(Urząd Certyfikacji) w Windows PKI:

Programowe CSP Smart Card HSM – Hardware Security Module

*FIPS 140-2 – Level 1 - 4

Wykorzystanie SMART CARD - CA Root

Smart Card – podpis elektroniczny kwalifikowany

Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym, Dz.U. 2001 nr 130 poz. 1450

W praktyce złożenie bezpiecznego podpisu elektronicznego, równoważnego z mocy prawa podpisom własnoręcznym jest stosunkowo proste. Aby to zrobić trzeba się zaopatrzyć w zestaw do jego składania. Na podstawowy zestaw składa się:

certyfikat kwalifikowany; karta kryptograficzna; aplikacja do składania i weryfikacji bezpiecznych podpisów

elektronicznych; oraz czytnik kart

Smart Card – podpis elektroniczny kwalifikowanyCertyfikat kwalifikowany można wykorzystywać między innymi do: kontaktów drogą elektroniczną z Zakładem Ubezpieczeń Społecznych (ZUS),

np. podpisania wniosku o wydanie zaświadczenia o niezaleganiu ze składkami na ubezpieczenie społeczne, podpisania deklaracji,

nadawania mocy prawnej dokumentom w kontaktach prawnych przez Internet (np. upoważnienia elektroniczne w ZUS),

pozyskiwania wypisów elektronicznych dotyczących wszystkich podmiotów gospodarczych wpisanych do Krajowego Rejestru Sądowego (KRS) (pdi.cors.gov.pl),

podpisywania urzędowej korespondencji z podmiotami administracji publicznej za pośrednictwem elektronicznej skrzynki podawczej,

składania e-deklaracji podatkowych (www.e-deklaracje.gov.pl), zawierania umów cywilno-prawnych w formie elektronicznej, wystawiania faktur w formie elektronicznej, uczestniczenia w aukcjach i przetargach elektronicznych (np. www.e-przetarg.pl), podpisywania raportów do Generalnego Inspektora Informacji Finansowej (GIIF), zgłaszania drogą elektroniczną zbiorów danych osobowych do Generalnego

Inspektora Ochrony Danych Osobowych (GIODO), składania e-deklaracji do Ubezpieczeniowego Funduszu Gwarancyjnego (UFG).

Smart Card + podpis cyfrowy w OfficePo co nam podpis cyfrowy ?

Autentyczność Integralność Niezaprzeczalność

Zabezpieczanie poczty elektronicznej podpisywanie i szyfrowanie poczty

Dodawanie podpisu cyfrowego w Office 2007

Wykorzystanie SMART CARD podpis cyfrowy w Office 2007

Smart Card + badge

Elektroniczna Legitymacja Studencka

Przykładowe zastosowanie:

Bilet elektroniczny – publiczne środki komunikacji Kontrola dostępu (biblioteka, akademik, sala

gimnastyczna) Elektroniczne płatności (możliwość płacenia za xero,

w bufecie) Uwierzytelnienie PKI

Źródło: Ankieta TNS OBOP – IV 2009Wyniki badań ilościowych na temat ELS na polskich uczelniach

Dostępność dodatkowych funkcji Jakie dodatkowe funkcje, poza identyfikacją na studiach, posiada używana przez Pana(ią) elektroniczna legitymacja studencka? Odpowiedź spontaniczna i wspomagana

47%

53%

8%

8%

3%

2%

5%

0%

1%

0%

2%

0%

12%

16%

77%

63%

20%

17%

8%

7%

5%

3%

3%

3%

2%

1%

12%

1%

Karta wstępu do obiektów studenckich: biblioteka, akademik, basen itp.

Bilet komunikacji miejskiej

Logowanie do komputerów i systemów

Bezpieczny dostęp do baz danych i dokumentów

Elektroniczna portmonetka

Automatyzacja i kontrola wydruku dokumentów

Ulgi/ zniżki

Bezpieczna wymiana poczty elektronicznej

Dokumenty cyfrowe z podpisem elektronicznym

Kioski informacyjne

Dokument tożsamości

Inne

Żadna

Nie wiem

Znajomość spontaniczna(bez listy)

Znajomość wspomagana (zlistą)

Smart Card + BiometricCzy zdarza się zapomnieć PIN’u ?Czy Twój laptop posiada czytnik linii papilarnych?

Dodatkowa metoda uwierzytelnienia Jeszcze większe bezpieczeństwo

Smart Card + Biometric

.NET Bio for Vista SP1 - Architecture

Crypto Next Generation (CNG)

Base CSP v6

AxaltoCM.dll

Native Vista SP1Minidriver

Biomanager

FingerprintVerification UI

Precise Biometrics

Gemalto

Fingerprint Enrollment & OM Selection UI

Gemalto .NET Minidriver DLL

.NET Bio Credential

Provider

4 Tryby– 4 sposoby uwierzytelnienia

32

OK Cancel

Please swipe your finger OR enter your PINBiometric Verification

Biometric Authentication

PIN or Fingerprint Authentication

PIN

PIN Authentication

SWIPE FINGER

Select Finger

OK Cancel

Please swipe your finger on the biometric reader.Biometric Verification

Biometric Authentication

Fingerprint Authentication

SWIPE FINGER

Select Finger Click here for more information

OK Cancel

Please swipe your finger first, then enter your PINBiometric Verification

PIN and Fingerprint Authentication

Biometric Authentication

PIN

PIN Authentication

SWIPE FINGER

Select Finger Click here for more informationClick here for more information

Wykorzystanie SMART CARD - Biometric

Czy karty są wytrzymałe mechanicznie ?

Praktyczne rady przy wyborze kart

Długość klucza 1024, 2048(zalecane) Pojemność CPS i minidriver Sterowniki Obsługa karty (zmiana PIN, import certyfikatów) Wbudowany generator liczb losowych Obsługa algorytmów kryptograficznych Rodzaj karty

Darmowy certyfikat Thawtehttp://www.thawte.com/secure-email/personal-email-certificates/

Zalety : • Wystawiony przez zaufany główny urząd certyfikacji (certyfikat Thawte CA Root znajduje się w

każdym systemie operacyjnym na liście zaufanych wystawców certyfikatów)• Darmowy dostępny od zaraz• Dostępny również z własnym imieniem i nazwiskiemWady:• Otrzymanie certyfikatu z imieniem i nazwiskiem wiąże się ze spotkaniem z notariuszami (50

pkt) i przekazanie kopii ksero 2 dokumentów ze zdjęciem

Darmowy podpis cyfrowy do zabezpieczania poczty elektronicznej na przykładzie

Thawte http://www.wss.pl/Articles/7641.aspx

Darmowy certyfikat Thawte

Darmowy certyfikat CaCerthttp://www.cacert.org/

Zalety : • Darmowe Certyfikaty : Client Certificates, Server Certificates, Code Signing• Możliwość przepisania punktów z Thawte WOT / ?• Nie trzeba przekazać ksero dokumentów, tylko okazać

Wady:• Wystawiony przez niezaufany główny urząd certyfikacji certyfikat CACert CA Root nie znajduje się w każdym systemie operacyjnym na

liście zaufanych wystawców certyfikatów• Wymaga importu certyfikatu CACert root certificate

Akcja specjalna grup MSSUG i WGUiSW

Zdobądź darmowy imienny certyfikat Thawte i CACert do ochrony poczty elektronicznej i nie tylko

Warszawska Grupa Użytkowników i Specjalistów Windows

http://ms-groups.pl/

Grupa MSSUG

Tematyka najbliższych spotkań: Smart Card (warsztaty) OTP ( One Time Password)

Zapraszamy na comiesięczne spotkania w Warszawie

http://ms-groups.pl/MSSUG

Oceń moją sesję

Ankieta dostępna na stronie www.mts2009.pl

Wygraj wejściówki na następny MTS!

© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.