» Home » Verschiedenes » Endpoint Security » Smartcard

Endpoint Security - Smartcard

Vielen Firmen ist eine Anmeldung allein durch Benutzername und Kennwort nicht sicher genug. Kennworte können einfach weiter gegeben werden so dass eine klassische "Zwei-Faktor Authentifizierung" immer wieder nachgefragt wird. Ist ist natürlich für Zugriffe auf Outlook Web App und VPNs eine sehr wichtige Aufgabenstellung. Aber auch bei einem Notebooks und selbst einem Desktop kann es durchaus gerechtfertigt sein, auch hier eine stärkere Anmeldung zu erfordern. Eine Smartcard ist hier das häufigste Mittel, welches von Microsoft schon seit  Windows 2000 und höher unterstützt wird.

Und die Einrichtung ist gar nicht mal so schwer. Schade ist nur, dass die Anbieter entsprechender Kartenleser und der Smartcards relativ hohe Preise für die Ausstattung verlangen und zudem es nicht immer offensichtlich ist, welche Ausstattung denn nun für die Anmeldung erforderlich ist. Viele "verbinden" ihre Pakete Zum Teil mit Passwort Managern, GSM-Karten-Lese-Tools, HBCI oder Bank-Karten Funktion. Das ganze verwirrt aber mehr, wenn man eigentlich "nur" eine Smartcard Anmeldung umsetzen möchte.

Achtung:
Es gibt verschiedene Anbieter, die Produkte zur "Smartcard-Anmeldung" am Betriebssystem anbieten. Einige hinterlegen dazu aber das Windows Kennwort auf der Smartcard und ein Treiber "tippt" dies für sie dann ein, d.h. es ist keine echte kryptografische Anmeldung. Solche Karten werden oft auch als Passwordsafe etc. bezeichnet oder werben damit, dass "jede" Karte (z.B. auch die österreichische Bürgerkarte, Bankkarten o.ä.) eingesetzt werden kann.
Andere USB-Tokens (z.B. der Rainbow iKey sind zwar gültige Smartcard-Tokens aber der iKey 1000 verschlüsselt NICHT auf dem USB-Key sondern dort liegt nur der Private Key in auslesbarer Form, damit die Clientsoftware dann damit arbeiten kann.

Hier hilft also nur das ganz genaue Nachfragen mit Zusicherung der geforderten Eigenschaften. Allerdings ist es dann schon noch ratsam, sich über Zertifizierungsstellen und den Prozess der Zertifikatsausstellung etc. Gedanken zu machen. (Siehe auch Firmen CA ff). Kaum hat man aber einen entsprechenden CSP (Cryptocraphic Service Provider) installiert, erscheinen an vielen Stellen die Smartcard-Optionen, z.B. bei RDP:

Allerdings sind dafür einige Voraussetzungen zu erfüllen, die vermutlich niemand auf der MSXFAQ suchen würde. Einen sehr guten langen Artikel der Zusammenhänge finden Sie auf:

Windows Vista Smart Card Infrastructure
http://msdn.microsoft.com/en-us/library/bb905527.aspx

Matrix der Karten

• Unterstützte Smartcards
  http://technet.microsoft.com/de-de/library/cc780058(WS.10).aspx

Die Karten Unterscheiden sich bezüglich mehrerer Merkmale, so dass ein direkter Vergleich eigentlich nicht möglich ist

• CSP Unterstützung und Windows Version
  Einige Karten werden von Windows direkt alleine erkannt, während andere Karten noch einen Treiber benötigen. Einige Hersteller von Karten erfordern sogar, dass Sie den Treiber lizenzieren. Zudem hat Microsoft mit Vista das CSP-Modell geändert, so dass auch hier Karten unter 2000,XP,2003 noch gehen und später nicht bzw. umgekehrt.
• Formfaktor: Karte, USBToken
  Es gibt Karten im EC-Format oder SIM-Format zum Einlegen in entsprechende Kartenleser. Einige Karten sind in einem USB-Token eingebaut, so dass sie eine Einheit bilden (Karte und Leser)
• Zusatzspeicher
  Einige Karten sind nicht nur Smartcards, sondern auch kleiner USB-Speicher. Interessant, wenn Sie auf diesem Speicherplatz z.B. ihr Passworddatenbank samt Programm (z.B. Keepass, TrueCrypt o.ä.) oder Treiber für die Smartcard ablegen können. So ist es einfacher auch an einem fremden System "mal schnell" die Smartcard zu verwenden.
• Bitlänge und Zertifikatanzahl
  Erschreckend viele Karten unterstützen nur 1024bit Zertifikate, die in einigen Jahren wohl "geknackt" sein dürften. Und auch bei der Anzahl der auf der Karte ablegbaren Zertifikate gibt es Unterschiede.

Sicher finden Sie noch weitere Unterschiede.

Diese Liste ist bei weitem noch nicht fertig und da ich nicht alle Karten testen kann, bitte ich um Feedback durch Kunden

Hersteller/Name	ca. Preis	Typ (USB-Token, Smartcard, MicroSim	Funktion	OS-Version	CSP
Aladdin eToken http://www.aladdin.de/etoken/windows-logon.aspx		USB-Token
Feitan ePass3000 http://www.ftsafe.com/products/epass3000.html		USB-Token	2048k
MiniKey5		USB-Token
Gemalto .NET Cards http://www.gemalto.com/products/dotnet_card/		Smartcards
Gemalto Smart Enterprise Guardian (SEG) http://www.gemalto.com/products/seg/index.html		USB-Token mit RAM
ePass2000		USB-Token
StarKey100		USB-Token
Eutron CryptoIdentity5 (nicht mehr am Markt ?)		USB-Token
SafeNet iKey 2032 / Rainbow http://www.safenet-inc.com/products/data_protection/multi-factor_authentication/certificate-based_(pki)_usb_authenticators/ikey_usb_2032.aspx		USB-Token
Kobil mIDentity http://www.kobil.com/de/produkte/midentity-technologie.html Siehe auch Datev http://www.datev.de/inus2/inus?handler=doc&type=0&docnr=0903434&outfmt=view&acc=1 Kobit Smart Token http://www.kobil.com/de/produkte/smart-token-technologie/smart-token.html		USB-Token
AR PrivateCard		SmartCard
D-Trust		SmartCard
Giesecke & Devrient		SmartCard
Reiner SCT mateKey		SmartCard
SignTrust		SmartCard
TeleSec NetKey http://www.pressebox.de/pressemeldungen/kobil-systems-gmbh/boxid/3093		SmartCard
Gemplus GemSAFE 4k
Gemplus GemSAFE 8k
Infineon SICRYPT v2	ca 18€	Smartcard		2000 mit Update XP,2003
Schlumberger Cryptoflex 4k
Schlumberger Cryptoflex 8k
Schlumberger Cyberflex Access 16k
Raak C2-10 Raak C2-40 Minidriver Smart Card http://www.raaktechnologies.com/store/smart_cards.html	$12 $16	Smartcard
Raak Cryptoken CT-40 Omnikey 6121 with C2-10 Smart Card http://www.raaktechnologies.com/store/tokens.html	$80 $30	USB Token

Für Windows XP oder 2003 könnte ein Update des CSP erforderlich sein:

909520 Description of the software update for Base Smart Card Cryptographic Service Provider

Unabhängig von der Smartcard selbst (Sei es als Chipkarte oder in einem USB-Token eingebaut, muss der PC natürlich einen Smartcard-Reader haben. Das können eigenständige Systeme sein (Siehe Windows HCL und http://blogs.msdn.com/b/shivaram/archive/2007/03/22/pc-sc-standards-support-and-windows-logo-for-smart-card-readers-and-drivers.aspx) oder sind ebenfalls mit dem USB-Token.

Weitere Links

• Firmen CA
• Einrichten einer Smartcard für die Benutzeranmeldung
  http://technet.microsoft.com/de-de/library/cc775842(WS.10).aspx
• Unterstützte Smartcards
  http://technet.microsoft.com/de-de/library/cc780058(WS.10).aspx
• Buying Smart Cards that work with Windows XP/Vista
  http://blogs.msdn.com/shivaram/archive/2008/05/27/buying-smart-cards-that-work-with-windows-xp-vista.aspx
• 281245 Guidelines for enabling smart card logon with third-party certification authorities
• http://www.heise.de/open/artikel/Smartcard-Authentifizierung-bei-der-Nordrheinischen-aerzteversorgung-221525.html
• Wikipedia zu Smartcards und CSPs
  http://en.wikipedia.org/wiki/Smart_cards
  http://de.wikipedia.org/wiki/Cryptographic_Service_Provider
• Smartcard Infrastrukture Blog
  http://blogs.msdn.com/b/shivaram/archive/2007/02/26/smart-card-tools-and-debugging.aspx
  http://blogs.msdn.com/b/shivaram/archive/2008/05/27/buying-smart-cards-that-work-with-windows-xp-vista.aspx
  http://blogs.msdn.com/b/shivaram/archive/2007/03/22/pc-sc-standards-support-and-windows-logo-for-smart-card-readers-and-drivers.aspx
  http://blogs.msdn.com/b/shivaram/archive/2007/01/23/smart-cards-and-readers-that-work-with-windows.aspx
  http://blogs.msdn.com/b/shivaram/archive/2007/02/26/smart-card-logon-on-windows-vista.aspx
• Humbold Uni Berlin: Smartcard Based Authentication
  http://sarwiki.informatik.hu-berlin.de/Smartcard_Based_Authentication
• MicrosoftCertificate Authority
  http://www.cryptoshop.de/de/knowledgebase/howto/enterpriseca/index.php
• DATEV Dok.-Nr.: 0903434 : Anmeldung am Microsoft Netzwerk mit DATEV mIDentity
  http://www.datev.de/inus2/inus?handler=doc&type=0&docnr=0903434&outfmt=view&acc=1
  Achtung: Die Anleitung sollte kritisch gesehen werden, da ein Setup einer Firmen CA eben grade nicht nur ein Mausklicks sind. So ist die Gültigkeit der StammCA mit 5 Jahren deutlich zu kurz für einen sinnvollen Einsatz.

Keywords:

Endpoint Security CA 802.1x Virenscanner

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
  • Infofilm
  • NTFS Intern
  • Timesync/NTP
  • Gruppenrichtlinien
  • Windows Gruppen
  • NLB
  • Datenhaltung
  • Vererbung
  • Kerberos
  • Schattenkopien
  • Imagebackup
  • Update/Patch
  • Bluescreen
  • WSUS
  • RPC
  • RIS und PXE
  • WDS/WAIK
  • Endpoint Security
    • Client Management
    • Bitlocker
    • Devicelock
    • Smartcard
    • Security
    • 802.1x
  • NIS und NFS
  • WPad
  • SQL-Server
  • Cityhosting
  • Podcast
  • MSBlaster
  • Privat PC Sicherheit
  • IBM R40 Praxisbericht
  • Windows Home Server
  • Maus8000
  • Wiki
  • Blog
  • Wurmmails
  • Filesync
  • Contoso
  • GUIDAccess
  • ISDNTechnik
  • Meine erste Facharbeit
  • 6h Lader
  • Bluefritz! Umbau
  • 220V Adapterstecker
  • Hauptschalter
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages