ActivCard Gold w zastosowaniach Entrust/PKI i innych

Transkrypt

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
ActivCard Gold w zastosowaniach Entrust/PKI
i innych systemach identyfikacji cyfrowej
Przygotował:
Mariusz Stawowski
Entrust Certified Consultant
CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
ActivCard Gold w zastosowaniach Entrust/PKI i innych systemach identyfikacji cyfrowej
Spis treści
1. WPROWADZENIE
3
2. INICJALIZACJA KARTY SMART CARD
5
3. ZMIANA KODU DOSTĘPU PIN
6
4. ZARZĄDZANIE SMART CARD
7
5. PROGRAMOWANIE ACTIVCARD GOLD PRZEZ ENTRUST/PKI
8
6. ZARZĄDZANIE ACTIVCARD GOLD PRZEZ ENTRUST/PKI
13
7. ZARZĄDZANIE ACTIVCARD GOLD PRZEZ ACTIVPACK
14
8. ACTIVCARD GOLD JAKO REPOZYTORIUM POUFNYCH DANYCH UŻYTKOWNIKA
15
9. PODSUMOWANIE
17
 Copyright by CLICO, 1991-2002.
2
1. Wprowadzenie
ActivCard Gold to kompleksowy, wielo-platformowy system identyfikacji cyfrowej oparty
na kartach inteligentnych Smart Card. Oprogramowanie ActivCard Gold współpracuje z
wiodącymi systemami operacyjnymi, aplikacjami i Urzędami Certyfikacji, dostarczając
instytucjom dużą elastyczność i bardzo wysokie bezpieczeństwo rozwiązania.
ActivCard Gold składa się z następujących komponentów:
• oprogramowanie,
• wielo-funkcyjna karta Smart Card,
• czytnik kart (port szeregowy, USB lub PCMCIA).
Zakres funkcjonalny ActivCard Gold obejmuje m.in.:
• Oparte na kryptografii logowanie do Windows® 2000/NT/98/95/Me.
• Oparte na kryptografii logowanie do Novell® NDS eDirectory™.
• Bezpieczny zdalny dostęp poprzez Dial-Up/VPN.
• Własność "Quick Fill" dla dowolnego systemu logowania za pomocą składowanych w
karcie haseł statycznych oraz możliwość przekazywanie do aplikacji w bezpieczny
sposób innych zapisanych w karcie poufnych informacji.
• Obsługa bezpiecznego dostępu WWW (Internet Explorer®, Communicator™).
• Obsługa operacji kryptograficznego zabezpieczenia poczty elektronicznej (Outlook®,
Outlook Express, Communicator, GroupWise®).
• Pełna kompatybilność z wiodącymi Urzędami Certyfikacji m.in. Entrust®, iPlanet™,
Baltimore™, Microsoft®, Novell®, VeriSign®.
• Wsparcie dla systemu Identrus™ (bezpieczne transakcje finansowe).
ActivCard Gold umożliwia sprawne i szybkie wdrożenie Smart Card nawet w dużych
korporacjach. Jest to możliwe dzięki zcentralizowanej dystrybucji, instalacji i aktualizacji
ActivCard Gold (m.in. z wykorzystaniem mechanizmów Microsoft® Installer). Opcja "silent setup"
eliminuje potrzebę angażowania w proces wdrożenia użytkownika końcowego. Administratorzy
mogą pre-definiować opcje konfiguracyjne i zapisać je w programie instalacyjnym (m.in. kod PIN
i politykę blokowania kart, dodawanie i instalowanie sterowników i aplikacji, wprowadzanie
własnych komunikatów w wybranym języku).
3
Nie ulega wątpliwości, że Infrastruktura Klucza Publicznego w połączeniu z technikami
„mocnej” kryptografii wprowadzają do systemu informatycznego bardzo wysoki poziom
bezpieczeństwa. Należy jednak pamiętać, że PKI bez kart inteligentnych Smart Card, gdy klucze
kryptograficzne i certyfikaty są zapisywane na dysku komputera PC jest z punktu widzenia
bezpieczeństwa niewiele warte. Odpowiednio spreparowany wirus, czy „koń trojański” może
odczytać profil kryptograficzny użytkownika razem z hasłem dostępu i przesłać całość do
dalszego, nieupoważnionego wykorzystania.
Klucze prywatne użytkownika nie powinny opuszczać karty Smart Card (m.in. nie
powinno być możliwości ich nieupoważnionego odczytania przez oprogramowanie komputera
PC). Karta ActivCard Gold oprócz bezpiecznego składowania materiału kryptograficznego,
umożliwia także na wewnętrzne generowanie kluczy kryptograficznych, wykonywanie podpisów
cyfrowych oraz szyfrowanie kluczy sesji (tzn. kluczy użytych do szyfrowania danych aplikacji).
Karta inteligentna Smart Card jest urządzeniem elektronicznym zbudowanym na wzór
komputera (m.in. posiada procesor, pamięć i system operacyjny). Karta Smart Card
wyposażona w odpowiednie oprogramowanie może użytkownikowi służyć do wielu zastosowań.
Oprócz w/w karta ActivCard Gold może zostać dostosowana np. do użytku w systemie kontroli
dostępu do pomieszczeń i stref bezpieczeństwa. Wdrożenie kart inteligentnych nie jest wbrew
powszechnie panującej opinii bardzo czasochłonne i kosztowne. Wymaga to jedynie
zamontowania na stacjach PC czytników kart (zwykle podłączanych do portu szeregowego
COM, portu USB lub montowanych jako karty PCI) lub zainstalowania sterowników do obsługi
kart USB (tzn. kart podłączanych bezpośrednio do portu USB bez dodatkowego czytnika). Nie
wymaga to więcej pracy od np. zamontowania w komputerze modemu zewnętrznego, czy
drukarki. Często też markowe stacje PC dostarczane są o razu z czytnikiem Smart Card.
W rozwiązaniu ActivCard kod dostępu do karty Smard Card (PIN), dzięki zastosowaniu
specjalnie opracowanego czytnika ActivReader może być wpisywany bezpośrednio do czytnika.
Po włożeniu karty do czytnika i wpisaniu kodu PIN użytkownik nie musi wykonywać żadnych
dodatkowych czynności. Wszystko załatwiane jest przez oprogramowanie ActivCard (np.
logowanie do serwera aplikacji, systemu Firewall/VPN). Z kolei po wyjęciu karty następuje
automatyczne zablokowanie dostępu do komputera.
Dobór odpowiedniego rozwiązania Smart Card ma duży wpływ na możliwości rozwoju
i funkcjonalność wdrażanego systemu zabezpieczeń. Dla zastosowań korporacyjnych nie jest w
tym zakresie wskazane opieranie się na rozwiązaniach od producentów samego sprzętu Smart
Card. Są one zwykle atrakcyjne cenowo, ale dostarczana funkcjonalność takich rozwiązań jest
bardzo ograniczona. Karta Smart Card jest jak komputer, który bez dobrego oprogramowania
ma niewielką funkcjonalność.
4
2. Inicjalizacja karty Smart Card
Karty Smart Card przed wprowadzeniem do użytku należy poddać inicjalizacji i ustalić ich
kodu dostępu PIN. Czynności te są zwykle wykonywane przez administratora. Kartę należy
wprowadzić do czytnika i uruchomić konsolę ActivCard Gold Utilities (patrz rysunek).
Karty ActivCard Gold mogą być także bezpośrednio inicjowane przez systemy, w których
będą stosowane np. Entrust/PKI.
Ustalamy właściciela karty oraz kod dostępu PIN.
5
3. Zmiana kodu dostępu PIN
Użytkownik po otrzymaniu karty Smart Card jako jej właściciel powinien uruchomić
ActivCard Gold Utilities i ustalić tylko sobie znany kod dostępu PIN. Właściciel karty powinien
być świadomy obowiązku ochrony karty.
6
4. Zarządzanie Smart Card
Karty ActivCard Gold w zakresie kontroli dostępu są zarządzanie lokalnie przez
użytkownika (tzn. użytkownik jako właściciel karty ustala dla niej tylko sobie znany kod PIN).
W większości zastosowań karty ActivCard Gold w zakresie funkcjonalnym są zarządzane
centralnie przez systemy, przez które są wykorzystywane. Dla przykładu, Entrust/PKI centralnie
zarządza kartami ActivCard Gold w czasie eksploatacji PKI, m.in.: centralnie realizuje operacje
odnawianie kluczy i certyfikatów.
ActivCard w razie potrzeby dostarcza pakiet ActivCard SDK za pomocą, którego można
utworzyć narzędzia do zcentralizowanego zarządzania Smart Card z uwzględnieniem potrzeb
określonej instytucji.
W razie zablokowania karty Smart Card na skutek trzykrotnego wprowadzenia przez
użytkownika niewłaściwego kodu PIN wymagane jest jej odblokowanie przez administratora z
użyciem kodu Unlock Code. Kod ten jest wyświetlany po uzyskaniu dostępu do zainicjalizowanej
karty (patrz rysunek). W razie potrzeby administrator może także wyczyścić zawartość karty
(Reset Card).
7
5. Programowanie ActivCard Gold przez Entrust/PKI
Entrust/PKI wykorzystuje karty ActivCard Gold do przechowywania poufnego materiału
kryptograficznego użytkownika oraz do wykonywania wewnątrz karty Smart Card
newralgicznych operacji PKI - generowania kluczy, podpis cyfrowy, szyfrowanie klucza sesji.
Programowanie składowanego na kartach materiału kryptograficznego jest realizowane za
pomocą narzędzi Entrust.
Programowanie kart Smart Card wykonywane jest w następujących sytuacjach:
• tworzenie profilu kryptograficznego (tzn. generowanie kluczy i certyfikatów
cyfrowych),
• odzyskiwanie kluczy (ang. key recovery).
Odbywa się to za pomocą narzędzi Entrust Profile (patrz rysunek). Po zaprogramowaniu
kart ich dalsze zarządzanie odbywa się centralnie w sposób przezroczysty dla użytkowników.
Administrator Entrust/PKI, bądź sam użytkownik tworzy profil kryptograficzny na karcie
Smart Card (tzn. generuje i zapisuje klucze i certyfikaty). Profil kryptograficzny Entrust tworzony
jest po wprowadzeniu 'Reference Number' i 'Authorization Code', wygenerowanych przez
Entrust/RA w czasie rejestracji użytkownika.
8
9
10
11
Operacja odzyskiwania kluczy (ang. key recovery) odbywa się w analogiczny sposób.
12
6. Zarządzanie ActivCard Gold przez Entrust/PKI
Operacje zarządzania Smart Card w trakcie eksploatacji PKI (m.in. odnawianie kluczy
i certyfikatów) wykonywane są centralnie przez Entrust/PKI zgodnie z ustalonym w polityce
bezpieczeństwa czasem życia kluczy i certyfikatów, bądź na żądanie administratora (tzn.
administrator może wymusić operacje odnowienia kluczy użytkownika).
Koncepcja zarządzania Entrust/PKI zakłada, że w tracie eksploatacji PKI nie ma potrzeby
wykonywania żadnych lokalnych czynności administracyjnych na stacjach użytkowników.
Zarządzanie składowanego na kartach materiału kryptograficznego jest realizowane
centralnie przez Entrust/PKI za pośrednictwem funkcjonującego na stacjach użytkowników
modułu Entrust/Entelligence.
13
7. Zarządzanie ActivCard Gold przez ActivPack
ActivCard Gold umożliwia generowanie wewnątrz kart Smart Card haseł dynamicznych,
za pomocą których może odbywać się wiarygodne uwierzytelnianie tożsamości użytkowników w
systemach nie posiadających wsparcia dla PKI (np. urządzeń RAS obsługujących protokół
RADIUS lub TACACS+).
ActivCard Gold współdziała w tym zakresie z serwerem ActivPack. Przed przekazaniem
do użytkownika karta Smart Card powinna zostać zaprogramowania za pomocą narzędzi
ActivPack (m.in. wygenerowany kod Master Key /seed). ActivCard Gold jest obecnie jedynym
dostępnym rozwiązaniem Smart Card generującym hasła dynamiczne wewnątrz karty (produkty
konkurencyjne generują hasła w komputerze PC z użyciem klucza zapisanego na karcie).
Więcej technicznych informacji na ten temat ActivPack można znaleźć na stronie:
http://www.clico.pl/software/activcard/html/przewodniki.html
14
8. ActivCard Gold jako repozytorium poufnych danych
użytkownika
Karty ActivCard Gold oprócz obsługi PKI i generowania haseł dynamicznych mogą
służyć użytkownikowi jako bezpieczna składnica poufnych danych (np. haseł dostępu do
aplikacji, numerów kart kredytowych).
15
Użytkownik wykorzystując ActivCard Quick Fill może w sprawny i szybki sposób
wykorzystywać składowane na karcie Smart Card informacje.
16
9. Podsumowanie
ActivCard Gold posiada bardzo szeroki zakres zastosowań, zarówno w tradycyjnych
systemach kontroli dostępu (hasła statyczne i dynamiczne), jak i środowiskach korporacyjnych
opartych na Infrastrukturze Klucza Publicznego.
W obu przedstawionych zastosowaniach ActivCard Gold oferuje najwyższy, możliwy
technologicznie do osiągnięcia poziom bezpieczeństwa, m.in.:
• operacje kryptograficzne PKI wymagające użycia kluczy prywatnych wykonywane są
wewnątrz karty (m.in. generowanie kluczy, podpis cyfrowy, szyfrowanie klucza sesji).
• hasła dynamicznie są generowane wewnątrz karty ActivCard Gold w oparciu o
sprawdzone standardy kryptograficzne (konkurencyjne rozwiązania Smart Card
generują hasła dynamiczne przez oprogramowanie w komputerze PC, a sama karta
służy do przechowywania tajnego klucza Master Key/seed).
W przedstawionej powyżej przykładowej konfiguracji ActivCard Gold spełnia następujące
funkcje bezpieczeństwa:
1. Logowanie do stacji Windows 9x/NT/2K za pomocą hasła statycznego lub
dynamicznego.
2. Logowanie w systemie zaporowym Check Point VPN-1/FireWall-1 w trakcie
otwierania sesji VPN z Internetu za pomocą hasła statycznego, dynamicznego lub
certyfikatu X.509.
3. Logowanie do serwerów intranetowych (np. IIS, iPlanet, Apache) za pomocą hasła
statycznego lub dynamicznego.
4. Logowanie w systemie zaporowym Check Point VPN-1/FireWall-1 przy wyjściu do
Internetu z wewnątrz sieci za pomocą hasła statycznego lub dynamicznego.
17

ActivCard Gold w zastosowaniach Entrust/PKI i innych

Transkrypt

Podobne dokumenty

4. Wykorzystanie kart Smart Card

Gra PC ArcaniA Gold Edition (klucz do pobrania)

Kliknij aby pobrać dokument w formacie PDF

www.pansamochodzik.com.pl

Pobierz - ePrasa.pl

Więcej informacji

generuj PDF