Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Odpověď - jak je to s virtuálními čipovými kartami na Windows 7
leden 08
Odpověď - jak je to s virtuálními čipovými kartami na Windows 7

Právě dorazil zajímavý dotaz a vzhledem k tomu, že to může mít složitější vysvětlení, dávám to rovnou sem:

Dotaz

Obdržel jsem zajímavý dotaz a protože nevím odpověď, obracím se na největšího mně známého odborníka. Zákazník by rád využil virtuální smart karty, ale nechce přejít na Win8, rád by zůstal u Win7. V těch nativně tahle funkcionalita není, ale možná existují nějaká řešení třetích stran se stejnou funkcionalitou. Věděl bys o něčem respektive doporučil bys nějaké řešení pro tenhle scénář?

Moje odpověď

Nejprve rychle - ne, nevím o ničem pro Windows 7. Microsoft měl nějakou interní utilitku na simulaci čipové karty do souboru na testování Base Smart Card Crypto Provideru, tu jsem nějak "pokoutně" dostal, ale je to opravdu jen testovací a ne úplně to funguje. Navíc to ukládá klíče do souboru, což není bezpečné vůbec.

O jiném software nevím, podle mě to nikdo nestačil ani vyvinout, než vyšly Windows 8. Nehledě na to, že na to není trh, aby to někdo vyvíjel.

Ale lepší odpověď, možná z ní vyplyne, že to není ani tak moc výhodné a není na škodu si prostě koupit za 1000,- CZK karty fyzické, které dávají mnohem více muziky (porovnejte s cenou počítače). Kolik by asi takový software stál v porovnání s jednou kartou?

Úvod do virtuálních čipových karet

Ano, od Windows 8 je za pomoci TPM čipu na motherboard (základní desce) počítače k dispozici funkce zvaná virtual smart card. Znamená to, že si člověk může ukládat privátní klíče k certifikátům, v principu, do základní desky a nemusí být na disku počítače.

Windows umožňují teď tedy ukládat privátní klíče na třech místech:

  • na disku v profilu - normálně jsou totiž jednoduše v souborech, v profilu uživatele. Je to cesta %AppData%\Microsoft\Crypto\RSA v případě CSP poskytovatele, nebo v %AppData%\Microsoft\Crypto\Keys v případě CNG poskytovatele. Chráněno je to zde přihlašovacím heslem uživatele. Chráněno znamená zašifrováno. Pomocí DPAPI atd. Bez znalosti hesla uživatele to tedy nikdo nedostane.
  • do TPM module na základní desce. Tady to může být dále chráněno TPM PINem. Jedná se o uložení do samostatného hardware, mimo operační systém počítače.
  • do separátní fyzické čipové karty (smart card), kterou připojíte přes USB reader, nebo ve formě přímo USB tokenu.

Výhody hardware úložiště

Psal jsem o tom například zde. Nejen že to ukládá privátní klíče mimo operační systém, ale ty privátní klíče nejdou ani exportovat. Veškeré kryptografické operace provádí nikoliv Windows operační systém, ale přímo čip na čipové kartě, nebo právě TPM čip.

Tím pádem, když si uživatel stáhne do počítače nějaký exploit, tak mu to ty privátní klíče nemůže přímo ukrást z disku.

Rozdíly čipové karty a TPM virtual smart card

No v podstatě je to stejné, krom několika omezení, která TPMko má. Ano, můžete se obojím přihlašovat do Windows (pomocí Kerberos PKINIT) a samozřejmě na VPN a DirectAccess a RDP apod.

Výhody TPM:

  • oproti tokenu, nebo čipové kartě to nemusíte tahat sebou
  • nemusíte si to separátně koupit za pár korun, zatímco můžete zaplatit hodně peněz za corporate grade notebook, který má TPM :-)

Nevýhody TPM virtuální čipové karty:

  • nelze to vytáhnout, takže se na to neuplatňuje automatické zamykání počítače při vytažení
  • nemůžete v tom mít RFID anténu, takže si s tím dveře neotevřete
  • mezi více počítači je to nepřenosné - mnohdy potřebujete mít svoje přihlašovací údaje na kartě, abyste se mohli hlásit na víc strojích
  • zadáváte jen kraťoučký PIN, stejně jako u čipové karty - jenže když to kolega odpozoruje (právě, protože je tak krátký) - přijde k vašemu počítači a přihlásí se stejně
    • používat dlouhý PIN pomalu postrádá krásu čipových karet - to už můžete mít skoro heslo, ne?
  • není to multifactor autentizace, protože vám stačí pamatovat si PIN. Neznamená to, že musíte něco mít. Sice ano, musíte mít svůj počítač, ale ten musíte mít i s čipovou kartou, že?

Závěrem

Je to pěkné, pokud máte na počítači TPM a máte Windows 8 a nechce se vám kupovat kartu, tak pojďme do toho, je to pohodlné vylepšení bezpečnosti. Super.

Ale pokud už řešíte PKI a chcete opravdovou bezpečnost, potřebujete čipové karty (smart card). 

Comments

There are no comments for this post.

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments