mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartcard w srodowisku windows...
DESCRIPTION
MTS 2009TRANSCRIPT
Praktyczne spojrzenie na zastosowanie SMARTCARD w
środowisku Windows
KRZYSZTOF BIŃKOWSKITrener, Konsultant | Compendium CE, ISSA Polska
Agenda• Co to jest Smart Card ? Rodzaje SmartCard• Zastosowanie SmartCard w środowisku Windows• SmartCard .NET
• Smart Card + EFS / Demo• Smart Card + CA Root / Demo• Smart Card + podpis elektroniczny
kwalifikowany• Smart Card + podpis cyfrowy w Office / Demo• Elektroniczna legitymacja studencka• Smart Cart +badge• Smart Card + Biometric / Demo• Darmowe certyfikaty Thawte i CaCert
Karta inteligentna ? Karta elektroniczna ? Karta chipowa ? Karta kryptograficzna ? Karta mikroprocesorowa ?
Smart Card w języku polskim
Co to jest Smart Card ?
Urządzenie, które przechowuje w sposób bezpieczny i chroni prywatne klucze kryptograficzne przed skopiowaniem i użyciem bez dodatkowego uwierzytelnienia.
2FA – Two Factor Authentication Personal factors - "Something you know”- PINTechnical factors - "Something you have” - Smart Card
Budowa Smart Card
- Posiada wbudowany procesor- Jest programowalna- Dostarcza bezpieczny magazyn dla kluczy prywatnych- Oddziela krytyczne dla bezpieczeństwa operacje od komputera
Karta przechowuje: Klucz prywatny Klucz publiczny
Powiązany certyfikat
Rodzaje kart
Źródło - http://www.smartcardbasics.com/cardtypes.htmlŹródło - Smart Card Product Selection Guide http://www.cardlogix.com/docs/guides/CardLogix_7100002_PSG_Sma
rtCard.pdf
Karta, nie karta ? Czasem SMART CARD nazywamy tokenami
USB
Czytniki kart
Standardowe karty
Zestaw zawiera: Karta Sterowniki + oprogramowanie (middleware) Czytnik kart
Przykładowe zastosowanie
Zastosowanie Smart Card w środowisku Windows
Interactive,Remote LogonInteractive,Remote Logon
Remote AccessAuthenticationRemote AccessAuthentication
SecureE-mailSecureE-mail
CodeSigningCodeSigning
SigningCertificate RequestsSigningCertificate Requests
CustomApplicationsCustomApplications
ClientAuthenticationClientAuthentication
Smart CardsSmart CardsDigital SignaturesDigital Signatures
WiFi AuthenticationWiFi Authentication
Karty .NET
Karty .NET - zarządzanie
Microsoft Windows Smart Card Framework
Microsoft Base Smart Card CSP vs. Vendor-Specific Monolithic CSP
(i.e., Smart Card Logon)
CAPI-based Crypto Application
(i.e., Secure Email)
Microsoft Smart Card Base Cryptographic Service Provider(BaseCSP.DLL)
WinSCard API(WinSCard.DLL)
Smart Card Resource Manager
Gemalto .NET 2.0 Smart Card Minidriver
Other Base CSP compliant Smart Card Minidriver
Vendor-Specific CSP
Any CAPI-based Crypto Application
Smart Card #1 Smart Card #3Gemalto .NET 2.0 Smart Card
CAPI-based Crypto Application
The new Windows Smart Card Framework replaces the traditional monolithic architecture for Smart Card Cryptographic Services.
The WSCF defines a Base Crypto Service Provider as a common interface for all WSCF compliant smart cards.
SC Vendors shall no longer provide a full blown proprietary middleware to support their smart cards on Windows OSs.
SC Vendors now shall only provide a small footprint dll, called smart card minidriver, to communicate with the Base CSP.
For Windows 2000, XP & Server 2003, The Smart Card Base CSP is an optional component available for download via Windows Update (KB909520).
The Gemalto .NET Minidriver (axaltoCM.dll) is included in the downloadable package.
On Windows Vista and Windows Server 2008 the Smart Card Crypto Service Provider is called Smart Card Key Storage Provider (KSP), and it is a core component of the OS.
The Gemalto .NET Minidriver is also a native component in Vista.
.NET w Microsoft Vista
CAPI / CSP
Crypto Next Generation (CNG)
Monolithic CSPCard X
Key Storage Provider (KSP)
MinidriverGTO.NET
MinidriverCard Y
MinidriverCard Z
Windows SC API + SC Resource Mgr
Zoom In
Smart Card + EFS Czy EFS w systemie Vista obsługuje SMARTCARD?
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System
Smart Card + EFS Windows 7
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Encrypting File System
Smart Card + EFS Windows 7
Wykorzystanie SMART CARD do EFS
Smart Card + CA Root Zabezpieczenie kluczy prywatnych CA(Urząd Certyfikacji) w Windows PKI:
Programowe CSP Smart Card HSM – Hardware Security Module
*FIPS 140-2 – Level 1 - 4
Wykorzystanie SMART CARD - CA Root
Smart Card – podpis elektroniczny kwalifikowany
Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym, Dz.U. 2001 nr 130 poz. 1450
W praktyce złożenie bezpiecznego podpisu elektronicznego, równoważnego z mocy prawa podpisom własnoręcznym jest stosunkowo proste. Aby to zrobić trzeba się zaopatrzyć w zestaw do jego składania. Na podstawowy zestaw składa się:
certyfikat kwalifikowany; karta kryptograficzna; aplikacja do składania i weryfikacji bezpiecznych podpisów
elektronicznych; oraz czytnik kart
Smart Card – podpis elektroniczny kwalifikowanyCertyfikat kwalifikowany można wykorzystywać między innymi do: kontaktów drogą elektroniczną z Zakładem Ubezpieczeń Społecznych (ZUS),
np. podpisania wniosku o wydanie zaświadczenia o niezaleganiu ze składkami na ubezpieczenie społeczne, podpisania deklaracji,
nadawania mocy prawnej dokumentom w kontaktach prawnych przez Internet (np. upoważnienia elektroniczne w ZUS),
pozyskiwania wypisów elektronicznych dotyczących wszystkich podmiotów gospodarczych wpisanych do Krajowego Rejestru Sądowego (KRS) (pdi.cors.gov.pl),
podpisywania urzędowej korespondencji z podmiotami administracji publicznej za pośrednictwem elektronicznej skrzynki podawczej,
składania e-deklaracji podatkowych (www.e-deklaracje.gov.pl), zawierania umów cywilno-prawnych w formie elektronicznej, wystawiania faktur w formie elektronicznej, uczestniczenia w aukcjach i przetargach elektronicznych (np. www.e-przetarg.pl), podpisywania raportów do Generalnego Inspektora Informacji Finansowej (GIIF), zgłaszania drogą elektroniczną zbiorów danych osobowych do Generalnego
Inspektora Ochrony Danych Osobowych (GIODO), składania e-deklaracji do Ubezpieczeniowego Funduszu Gwarancyjnego (UFG).
Smart Card + podpis cyfrowy w OfficePo co nam podpis cyfrowy ?
Autentyczność Integralność Niezaprzeczalność
Zabezpieczanie poczty elektronicznej podpisywanie i szyfrowanie poczty
Dodawanie podpisu cyfrowego w Office 2007
Wykorzystanie SMART CARD podpis cyfrowy w Office 2007
Smart Card + badge
Elektroniczna Legitymacja Studencka
Przykładowe zastosowanie:
Bilet elektroniczny – publiczne środki komunikacji Kontrola dostępu (biblioteka, akademik, sala
gimnastyczna) Elektroniczne płatności (możliwość płacenia za xero,
w bufecie) Uwierzytelnienie PKI
Źródło: Ankieta TNS OBOP – IV 2009Wyniki badań ilościowych na temat ELS na polskich uczelniach
Dostępność dodatkowych funkcji Jakie dodatkowe funkcje, poza identyfikacją na studiach, posiada używana przez Pana(ią) elektroniczna legitymacja studencka? Odpowiedź spontaniczna i wspomagana
47%
53%
8%
8%
3%
2%
5%
0%
1%
0%
2%
0%
12%
16%
77%
63%
20%
17%
8%
7%
5%
3%
3%
3%
2%
1%
12%
1%
Karta wstępu do obiektów studenckich: biblioteka, akademik, basen itp.
Bilet komunikacji miejskiej
Logowanie do komputerów i systemów
Bezpieczny dostęp do baz danych i dokumentów
Elektroniczna portmonetka
Automatyzacja i kontrola wydruku dokumentów
Ulgi/ zniżki
Bezpieczna wymiana poczty elektronicznej
Dokumenty cyfrowe z podpisem elektronicznym
Kioski informacyjne
Dokument tożsamości
Inne
Żadna
Nie wiem
Znajomość spontaniczna(bez listy)
Znajomość wspomagana (zlistą)
Smart Card + BiometricCzy zdarza się zapomnieć PIN’u ?Czy Twój laptop posiada czytnik linii papilarnych?
Dodatkowa metoda uwierzytelnienia Jeszcze większe bezpieczeństwo
Smart Card + Biometric
.NET Bio for Vista SP1 - Architecture
Crypto Next Generation (CNG)
Base CSP v6
AxaltoCM.dll
Native Vista SP1Minidriver
Biomanager
FingerprintVerification UI
Precise Biometrics
Gemalto
Fingerprint Enrollment & OM Selection UI
Gemalto .NET Minidriver DLL
.NET Bio Credential
Provider
4 Tryby– 4 sposoby uwierzytelnienia
32
OK Cancel
Please swipe your finger OR enter your PINBiometric Verification
Biometric Authentication
PIN or Fingerprint Authentication
PIN
PIN Authentication
SWIPE FINGER
Select Finger
OK Cancel
Please swipe your finger on the biometric reader.Biometric Verification
Biometric Authentication
Fingerprint Authentication
SWIPE FINGER
Select Finger Click here for more information
OK Cancel
Please swipe your finger first, then enter your PINBiometric Verification
PIN and Fingerprint Authentication
Biometric Authentication
PIN
PIN Authentication
SWIPE FINGER
Select Finger Click here for more informationClick here for more information
Wykorzystanie SMART CARD - Biometric
Czy karty są wytrzymałe mechanicznie ?
Praktyczne rady przy wyborze kart
Długość klucza 1024, 2048(zalecane) Pojemność CPS i minidriver Sterowniki Obsługa karty (zmiana PIN, import certyfikatów) Wbudowany generator liczb losowych Obsługa algorytmów kryptograficznych Rodzaj karty
Darmowy certyfikat Thawtehttp://www.thawte.com/secure-email/personal-email-certificates/
Zalety : • Wystawiony przez zaufany główny urząd certyfikacji (certyfikat Thawte CA Root znajduje się w
każdym systemie operacyjnym na liście zaufanych wystawców certyfikatów)• Darmowy dostępny od zaraz• Dostępny również z własnym imieniem i nazwiskiemWady:• Otrzymanie certyfikatu z imieniem i nazwiskiem wiąże się ze spotkaniem z notariuszami (50
pkt) i przekazanie kopii ksero 2 dokumentów ze zdjęciem
Darmowy podpis cyfrowy do zabezpieczania poczty elektronicznej na przykładzie
Thawte http://www.wss.pl/Articles/7641.aspx
Darmowy certyfikat Thawte
Darmowy certyfikat CaCerthttp://www.cacert.org/
Zalety : • Darmowe Certyfikaty : Client Certificates, Server Certificates, Code Signing• Możliwość przepisania punktów z Thawte WOT / ?• Nie trzeba przekazać ksero dokumentów, tylko okazać
Wady:• Wystawiony przez niezaufany główny urząd certyfikacji certyfikat CACert CA Root nie znajduje się w każdym systemie operacyjnym na
liście zaufanych wystawców certyfikatów• Wymaga importu certyfikatu CACert root certificate
Akcja specjalna grup MSSUG i WGUiSW
Zdobądź darmowy imienny certyfikat Thawte i CACert do ochrony poczty elektronicznej i nie tylko
Warszawska Grupa Użytkowników i Specjalistów Windows
http://ms-groups.pl/
Grupa MSSUG
Tematyka najbliższych spotkań: Smart Card (warsztaty) OTP ( One Time Password)
Zapraszamy na comiesięczne spotkania w Warszawie
http://ms-groups.pl/MSSUG
Oceń moją sesję
Ankieta dostępna na stronie www.mts2009.pl
Wygraj wejściówki na następny MTS!
© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.