Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartcard w srodowisku windows v2
1. Praktyczne spojrzenie na zastosowanie
SMARTCARD w środowisku Windows
KRZYSZTOF BIŃKOWSKI
Trener, Konsultant | Compendium CE, ISSA Polska
2. Agenda
• Co to jest Smart Card ? Rodzaje SmartCard
• Zastosowanie SmartCard w środowisku Windows
• SmartCard .NET
• Smart Card + EFS / Demo
• Smart Card + CA Root / Demo
• Smart Card + podpis elektroniczny
kwalifikowany
• Smart Card + podpis cyfrowy w Office / Demo
• Elektroniczna legitymacja studencka
• Smart Cart +badge
• Smart Card + Biometric / Demo
• Darmowe certyfikaty Thawte i CaCert
3. Smart Card w języku polskim
Karta inteligentna ?
Karta elektroniczna ?
Karta chipowa ?
Karta kryptograficzna ?
Karta mikroprocesorowa ?
4. Co to jest Smart Card ?
Urządzenie, które przechowuje w sposób bezpieczny i
chroni prywatne klucze kryptograficzne przed
skopiowaniem i użyciem bez dodatkowego
uwierzytelnienia.
2FA – Two Factor Authentication
Personal factors - "Something you know”- PIN
Technical factors - "Something you have” - Smart Card
5. Budowa Smart Card
- Posiada wbudowany procesor
- Jest programowalna
- Dostarcza bezpieczny magazyn dla kluczy prywatnych
- Oddziela krytyczne dla bezpieczeostwa operacje od komputera
Karta przechowuje:
Klucz prywatny
Klucz publiczny
Powiązany certyfikat
6. Rodzaje kart
Źródło - Smart Card Product Selection Guide Źródło - http://www.smartcardbasics.com/cardtypes.html
http://www.cardlogix.com/docs/guides/CardLogix_7100002_PSG_Sm
artCard.pdf
14. Microsoft Windows Smart Card
Framework
The new Windows Smart Card Framework
CAPI-based Crypto CAPI-based Crypto
Application Application replaces the traditional monolithic architecture
Any CAPI-based
Crypto Application (i.e., Secure Email) (i.e., Smart Card Logon) for Smart Card Cryptographic Services.
The WSCF defines a Base Crypto Service Provider
as a common interface for all WSCF compliant
smart cards.
Microsoft Smart Card Base Cryptographic Service Provider
(BaseCSP.DLL)
SC Vendors shall no longer provide a full blown
proprietary middleware to support their smart
Vendor-Specific CSP cards on Windows OSs.
SC Vendors now shall only provide a small
footprint dll, called smart card minidriver, to
Gemalto .NET 2.0 Other Base CSP compliant communicate with the Base CSP.
Smart Card Minidriver Smart Card Minidriver
For Windows 2000, XP & Server 2003, The Smart
Card Base CSP is an optional component available
for download via Windows Update (KB909520).
The Gemalto .NET Minidriver (axaltoCM.dll) is
WinSCard API
(WinSCard.DLL)
included in the downloadable package.
Smart Card Resource Manager On Windows Vista and Windows Server 2008 the
Smart Card Crypto Service Provider is called Smart
Card Key Storage Provider (KSP), and it is a core
component of the OS.
The Gemalto .NET Minidriver is also a native
component in Vista.
Smart Card #1 Gemalto .NET 2.0 Smart Card Smart Card #3
Microsoft Base Smart Card CSP vs. Vendor-Specific Monolithic CSP
15. .NET w Microsoft Vista
Crypto Next Generation (CNG)
Minidriver Key Storage
GTO.NET Provider (KSP)
Monolithic
Zoom CSP Minidriver Minidriver
In Card X Card Y Card Z
CAPI / CSP
Windows SC API + SC Resource Mgr
16. Smart Card + EFS
Czy EFS w systemie Vista obsługuje SMARTCARD?
Computer ConfigurationWindows SettingsSecurity SettingsPublic Key PoliciesEncrypting File System
17. Smart Card + EFS
Windows 7
Computer ConfigurationWindows SettingsSecurity SettingsPublic Key PoliciesEncrypting File System
22. Smart Card – podpis elektroniczny kwalifikowany
Ustawa z dnia 18 września 2001 r. o podpisie
elektronicznym, Dz.U. 2001 nr 130 poz. 1450
W praktyce złożenie bezpiecznego podpisu elektronicznego,
równoważnego z mocy prawa podpisom własnoręcznym jest stosunkowo
proste. Aby to zrobid trzeba się zaopatrzyć w zestaw do jego składania. Na
podstawowy zestaw składa się:
certyfikat kwalifikowany;
karta kryptograficzna;
aplikacja do składania i weryfikacji bezpiecznych podpisów
elektronicznych;
oraz czytnik kart
23. Smart Card – podpis elektroniczny kwalifikowany
Certyfikat kwalifikowany można wykorzystywać między innymi do:
kontaktów drogą elektroniczną z Zakładem Ubezpieczeo Społecznych (ZUS),
np. podpisania wniosku o wydanie zaświadczenia o niezaleganiu ze składkami na
ubezpieczenie społeczne, podpisania deklaracji,
nadawania mocy prawnej dokumentom w kontaktach prawnych przez Internet (np.
upoważnienia elektroniczne w ZUS),
pozyskiwania wypisów elektronicznych dotyczących wszystkich podmiotów
gospodarczych wpisanych do Krajowego Rejestru Sądowego (KRS) (pdi.cors.gov.pl),
podpisywania urzędowej korespondencji z podmiotami administracji publicznej za
pośrednictwem elektronicznej skrzynki podawczej,
składania e-deklaracji podatkowych (www.e-deklaracje.gov.pl),
zawierania umów cywilno-prawnych w formie elektronicznej,
wystawiania faktur w formie elektronicznej,
uczestniczenia w aukcjach i przetargach elektronicznych (np. www.e-przetarg.pl),
podpisywania raportów do Generalnego Inspektora Informacji Finansowej (GIIF),
zgłaszania drogą elektroniczną zbiorów danych osobowych do Generalnego
Inspektora Ochrony Danych Osobowych (GIODO),
składania e-deklaracji do Ubezpieczeniowego Funduszu Gwarancyjnego (UFG).
24. Smart Card + podpis cyfrowy w Office
Po co nam podpis cyfrowy ?
Autentycznośd
Integralnośd
Niezaprzeczalnośd
Zabezpieczanie poczty elektronicznej
podpisywanie i szyfrowanie poczty
Dodawanie podpisu cyfrowego w Office 2007
27. Elektroniczna Legitymacja
Studencka
Przykładowe zastosowanie:
Bilet elektroniczny – publiczne środki komunikacji
Kontrola dostępu (biblioteka, akademik, sala
gimnastyczna)
Elektroniczne płatności (możliwośd płacenia za xero,
w bufecie)
Uwierzytelnienie PKI
28. Dostępnośd dodatkowych funkcji
Jakie dodatkowe funkcje, poza identyfikacją na studiach, posiada używana przez
Pana(ią) elektroniczna legitymacja studencka? Odpowiedź spontaniczna i
wspomagana
Karta wstępu do obiektów studenckich: biblioteka, akademik, basen itp. 47%
77%
Bilet komunikacji miejskiej 53%
63%
Logowanie do komputerów i systemów 8%
20%
Bezpieczny dostęp do baz danych i dokumentów 8%
17%
Elektroniczna portmonetka 3%
8%
Automatyzacja i kontrola wydruku dokumentów 2%
7%
Ulgi/ zniżki 5%
5% Znajomość spontaniczna
0% (bez listy)
Bezpieczna wymiana poczty elektronicznej
3%
1%
Znajomość wspomagana (z
Dokumenty cyfrowe z podpisem elektronicznym
3% listą)
Kioski informacyjne 0%
3%
Dokument tożsamości 2%
2%
Inne 0%
1%
Żadna 12%
12%
Nie wiem 16%
1%
Źródło: Ankieta TNS OBOP – IV 2009
Wyniki badao ilościowych na temat ELS na polskich uczelniach
29. Smart Card + Biometric
Czy zdarza się zapomnied PIN’u ?
Czy Twój laptop posiada czytnik linii papilarnych?
Dodatkowa metoda uwierzytelnienia
Jeszcze większe bezpieczeostwo
31. .NET Bio for Vista SP1 - Architecture
.NET Bio
Credential
Provider
Crypto Next Generation (CNG)
Base CSP v6
AxaltoCM.dll
Gemalto .NET Fingerprint Fingerprint Enrollment
Minidriver DLL Verification UI & OM Selection UI
Native Vista SP1
Minidriver Gemalto
Precise Biometrics
Biomanager
32. 4 Tryby– 4 sposoby uwierzytelnienia
Fingerprint Authentication
Biometric Verification
Please swipe your finger on the biometric reader.
Biometric Authentication
SWIPE FINGER
Select Finger Click here for more information
OK Cance
l
PIN or Fingerprint Authentication PIN and Fingerprint Authentication
Biometric Verification Biometric Verification
Please swipe your finger OR enter your PIN Please swipe your finger first, then enter your PIN
Biometric Authentication Biometric Authentication
SWIPE FINGER SWIPE FINGER
PIN Authentication PIN Authentication
PIN PIN
Select Finger Click here for more information Select Finger Click here for more information
OK Cance OK Cance
l l
32
35. Praktyczne rady przy wyborze kart
Długośd klucza 1024, 2048(zalecane)
Pojemnośd
CPS i minidriver
Sterowniki
Obsługa karty (zmiana PIN, import certyfikatów)
Wbudowany generator liczb losowych
Obsługa algorytmów kryptograficznych
Rodzaj karty
36. Darmowy certyfikat Thawte
http://www.thawte.com/secure-email/personal-email-certificates/
Zalety :
• Wystawiony przez zaufany główny urząd certyfikacji (certyfikat Thawte CA Root znajduje się
w każdym systemie operacyjnym na liście zaufanych wystawców certyfikatów)
• Darmowy dostępny od zaraz
• Dostępny również z własnym imieniem i nazwiskiem
Wady:
• Otrzymanie certyfikatu z imieniem i nazwiskiem wiąże się ze spotkaniem z notariuszami (50
pkt) i przekazanie kopii ksero 2 dokumentów ze zdjęciem
Darmowy podpis cyfrowy do zabezpieczania
poczty elektronicznej na przykładzie Thawte
http://www.wss.pl/Articles/7641.aspx
38. Darmowy certyfikat CaCert
http://www.cacert.org/
Zalety :
• Darmowe Certyfikaty : Client Certificates, Server Certificates, Code Signing
• Możliwośd przepisania punktów z Thawte WOT / ?
• Nie trzeba przekazad ksero dokumentów, tylko okazad
Wady:
• Wystawiony przez niezaufany główny urząd certyfikacji
certyfikat CACert CA Root nie znajduje się w każdym systemie operacyjnym na
liście zaufanych wystawców certyfikatów
• Wymaga importu certyfikatu CACert root certificate
39. Akcja specjalna grup MSSUG i WGUiSW
Zdobądź darmowy imienny certyfikat Thawte i
CACert do ochrony poczty elektronicznej i nie
tylko
Warszawska Grupa Użytkowników i
Specjalistów Windows
http://ms-groups.pl/
40. Grupa MSSUG
Tematyka najbliższych spotkao:
Smart Card (warsztaty)
OTP ( One Time Password)
Zapraszamy na comiesięczne spotkania w Warszawie
http://ms-groups.pl/MSSUG
41. Oceo moją sesję
Ankieta dostępna na stronie www.mts2009.pl
Wygraj wejściówki na następny MTS!