Kezdőlap > General, PKI > Gemalto key

Gemalto key


Nemrég egy sorsolással egybekötött játékon sikerült nyernem egy Gemalto Smart Guardian USB-kulcsot. Szerencsére a gyártó hazai disztribútora, a nyeremény felajánlója, volt annyira rendes (köszi Andi és Tamás 🙂 ), hogy kérésemre kicserélték egy kisebb kapacitású, ám nagyobb tudású Smart ENTERPRISE Guardian típusúra. Ami számomra lényeges volt, hogy ez utóbbi beépítve tartalmaz egy SmartCard chipet és olvasót – magyarul nem csak tárolóként, hanem hitelesítésre és azonosításra is használható eszközről van szó.

Amikor elkezdtem használni az intelligens kártya „részét”, természetesen az „olvasó” telepítése (ami automatikusan lezajlott) után következett volna a tanúsítvány feltöltése. Ennek mikéntje viszont nem volt egyértelmű. A kulcson található dokumentációban egy link segítségével lehetett volna további információkhoz jutni – elvileg a név és a hivatkozás jó is lenne, de a protokoll az csak http, így átdob egy másik oldalra (Device Administration Service), ami már használaton kívül van, ezért ott 404-es hibát dobott.

A neten keresgélve viszont találtam egy nyomot, amely alapján kiderült, hogy ugyanaz a cím, de https protokollal, a https://www.netsolutions.gemalto.com/ link már használható. Innen telepíteni kell az SConnect kiegészítőt, majd ezzel tudjuk feltölteni a (pfx vagy p12 formátumú) tanúsítványt.

Beismerem, eddig csak tanultam/hallottam SmartCard alapú Windows-hitelesítésről, élőben még nem volt alkalmam kipróbálni (természetesen a különböző banki aláírások, egyéb alkalmazások esetén már találkoztam velük – de azok értelemszerűen nem alkalmasak Windows felhasználói hitelesítésre, beléptetésre). Azt hittem, hogy a saját tanúsítványomat felmásolom az eszközre, s kész is vagyok. Nos, tévedtem – s utánagondolva, valóban logikus a történet.

Kezdjük azzal, hogy (legalábbis a Gemalto-nál), szükségünk van egy ügynökre. Gyakorlatilag a SmartCard tanúsítványt nem mi fogjuk igényelni, hanem ez az ügynök, a mi nevünkben. Ez alapból létezik a CA kiszolgálón, de alaphelyzetben nincs publikálva.

Ezután két lehetőségünk van: Smart Card Logon vagy Smart Card User. A kettő között az a különbség, hogy az előbbi csak „Smart Card Logon” és „Client Authentication” (magyarul SmartCard általi felhasználói hitelesítésre) lesz használható, utóbbi ezen kívül „Secure email” (elektronikus levelek aláírására, valamint titkosítására) szereppel is felruházza a tulajdonosát.

A testreszabáshoz duplikáljuk a kettő közül kiválasztott sablont, majd legalább a nevét módosítva a „Request handling” fülön a CSP-k közül kiválasztjuk a „Microsoft Base Smart Card Crypto Provider”-t, valamint az „Issuance Requirements” fülön 1-re állítjuk az engedélyezések számát. Végül a házirendnél „Application policy”, azon belül „Certificate Request Agent” opciót kell válasszunk, majd jöhet a két sablon (ügynök és az előbb testreszabott duplikált intelligens kártya) publikálása.

Következő lépésként már a kliensen kell igényeljük a tanúsítványokat. Előbb az ügynök tanúsítványát, majd utána haladó opcióként az ügynök nevében kérünk egy SmartCard tanúsítványt – ez, ha megadjuk helyesen a PIN-kódot, egyből rákerül a „kártyára” (esetünkben az USB-kulcsra), de bekerül a helyi felhasználói tanúsítvány-tárolónkba is…

Végezetül arra (az egyik kolléga által felvetett kérdésre) reagálnék, hogy az intelligens kártyának mekkora a létjogosultsága. Az mondjuk igaz, hogy az ő ujjlenyomat-olvasójával (volt szerencsém nekem is huzamosabb ideig ilyen laptopot használnom) nem veheti fel a versenyt kényelem szempontjából. Ott akár indításnál is kérheti az ujjunkat, így már az OS sem indul el megfelelő hitelesítés nélkül. Futó oprendszernél pedig elég lehúzni, s máris megfelel egy jelszó-beírásnak – például egy zárolás esetén is.

Ezzel szemben itt szükséges az OS (bár lehet, hogy léteznek olyan hordozható gépek, amelyek – mivel be van építve a kártya-olvasó – szintén hitelesítés után adják át a vezérlést az oprendszernek). Ezen kívül pedig tudnunk kell (sőt, be is kell ütnünk J) a PIN-kódot is, amivel a kártya tartalmához hozzáférhetünk. Igaz, hogy pl. zárolás esetén nem használhatjuk, tehát kényelem szempontjából valóban „nehézkesebb”, viszont kicsit más a felhasználhatósági területe. Például egy kártyán több felhasználó tanúsítványa lehet, így ahol létezik egy meghatalmazotti viszony, ott mindenképp használhatóbb, hiszen elég kiválasztani a meghatalmazó(k) tanúsítványát, nem kell tudni sem a bejelentkezési nevét, sem a jelszavát. Sőt, egy kártya olyan azonosításra szolgáló adatokat is tárolhat, amelyek nem csak számítógépes hálózatokban használt hitelesítésre alkalmasak – de ez már messzire vezet J

Sok embernek az intelligens kártya hallatán a multi-faktoros hitelesítés ugrik be. Tisztázandó, hogy nem csak ezzel lehet ilyent, listáznám a három módszert, amely közül legalább kettőnek kell teljesülni:

–       valamit tudunk (PIN, jelszó, stb)

–       valamink van (SmartCard, SecurID, OTP-s eszköz, stb)

–       valakik vagyunk (biometrikus azonosítás, pl. ujjlenyomat)

Ennek következtében mindkét fenti esetben (ujjlenyomat-olvasó, SmartCard) kialakítható egy multi-faktoros hitelesítés.

Zárásképp még egy tulajdonságát említeném meg az eszköznek, amit egyelőre még nem használok ki: OTP-t (One Time Password) is tud generálni, sőt, a „kisebbik” testvér, az SG is…

u.i. Vistánál régebbi rendszerek esetén a SmartCard használata esetén a következő hibaüzenet fogad:

„The card supplied requires drivers that are not present on this system.” („A megadott kártyához olyan illesztőprogramra van szükség, amely nincs meg a rendszerben”)

Ez nem azt jelenti, hogy az usb-kulcson található driver nincs telepítve (az csak az “olvasó”-t telepíti), hanem, hogy ezeken a rendszereken alapból nincs feltelepítve a megfelelő CSP, teljes nevén “Microsoft Base Smart Card Cryptographic Service Provider“. Ezt innen tudjuk letölteni, s ennek telepítése után már itt is élvezhetjük a SmartCard előnyeit 🙂

Reklámok
Kategóriák:General, PKI
  1. június 15, 2012 - 4:01 du.

    Még egy komoly probléma van az ujjlenyomatos azonosítással, mégpedig az h a smartcard-dal ellentétben egy tartományban az ujjlenyomat sosem a címtárral kommunikál és nem a címtárban “van”, hanem a helyi gépen, mivel az AD összesen egyetlen multifaktoros hitelesítést támogat direktben, és az a smartcard. Ezért kezdődik minden ujjlenyomat- varázsló azzal, hogy “írd be a jelszavad” 😀

  2. június 18, 2012 - 10:22 de.

    egyébként – mivel nekem is van porosodó usb-s smartcardom -, az útmutatód alapján tökjól megcsináltam az itthoni domainben a belépést, ami majdnem működik is (csak a CRL-el van gond, de arra már nem volt időm) 🙂

    • június 18, 2012 - 10:31 de.

      Örülök, hogy tudtam segíteni 😀 Na erre jó a blog, hogy néha, időnként, hátha másnak is jól jön 😀

  3. augusztus 14, 2013 - 2:55 de.

    “Zárásképp még egy tulajdonságát említeném meg az eszköznek, amit egyelőre még nem használok ki: OTP-t (One Time Password) is tud generálni”

    Azt lehet tudni,hogy GoogleAuthenticator -kompatibilis OTP kulcsot tud-e generalni?

  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: