Welke Smartcards voor PKI infra onder windows 2003 server

Zijn de smart cards te bedrukken?/printen zodat we er fotootjes op kunnen zetten een een bedrijfslogo?

Ik weet niet of dit nu echt een goed idee is. Als ik dan een smartcard vind, dan weet ik meteen van welk bedrijf het is Security technisch niet een goed idee.

Verwijderd schreef op donderdag 15 juni 2006 @ 17:57:
We zijn op kantoor, in een w2k3 test omgeving, een PKI authenticatie aan het opzetten. We willen hiervoor smartcards gebruiken (om in te loggen in een w2k3 domein).

Ik heb een paar vraagjes en wil jullie vragen of jullie er ervaring mee hebben

Kan iemand mij zeggen welke smartcards (en misschien welk merk programmer) ik het beste kan gebruiken en WAAR deze te krijgen zijn? Kan namelijk geen enkel bedrijf vinden!
Ik heb gezien dat de kaarten van Gemplus GemSAFE, Schlumberger en Infinion SICRYPT
al in de cryptographic provider staan en heb gelezen dat dat dus minder werk moet zijn om op te zetten.

Zag tevens dat er sinds kort ook een "Microsoft base Smart Card crypto provider" tussen het rijtje staat bij de certsrv. Zijn hier nog voordelen aan te behalen?

Zijn de smart cards te bedrukken?/printen zodat we er fotootjes op kunnen zetten een een bedrijfslogo?

Alvast bedankt!

Hmm, hier zou ik een antwoord op moeten kunnen geven.

Er zijn meerdere aanbieders van smartcards. Vaak zijn het allemaal de zelfde smartcards (IBM Jcop)
SafeNet is een van de aanbieders: http://www.safenet-inc.com/products/tokens/products_sc.asp
RSA heeft ze ook: http://www.rsasecurity.com/node.asp?id=1218

Daarnaast heb je ook readers nodig. OmniKey is daarin eenv an de bekendste denk ik. De Omnikey CardMan 3121 (USB) is een prima reader. Alleen voor een laptop is het niets.. Dan wil je eigenlijk een PCMCIA CardReader.

Om de cardreader aan te sprekene heb je een driver nodig voor de cardreader zelf, en om windows met de kaart zelf te laten communiceren hebje een stukje middleware nodig. Deze middleware is de zogeheten PKCS#11 software/librarie (PKCS = Public Key Cryptographic Standard)

AET levert safesign Middleware, wellke compatible is met omnikey readers. http://www.aeteurope.nl/html/aet.html

Op het moment dat je de middleware hebt geinstalleerd krijg je bij het aancragen van een certificaat (via https://certificateserver/certsrv/ ) de mogelijkheid om te kiezen voor SafeSign Cryptographic store. de Private Key wordt dan direct op de kaart weggeschreven.

De "Microsoft base Smart Card crypto provider" haal je weinig voordeel uit als je eigen middleware gebruikt.

Rolfie schreef op donderdag 15 juni 2006 @ 19:16:
[...]

Ik weet niet of dit nu echt een goed idee is. Als ik dan een smartcard vind, dan weet ik meteen van welk bedrijf het is Security technisch niet een goed idee.

Rolfie has a point..
Veel toegangspassen worden niet meer voorzien van een logo omdat het dan makkelijker is om te achterhalen waar deze pas gebruikt zou kunnen worden.

Aan de andere kant wordt de pas nog wel vaak gepersonaliseerd. Het UZI-register (een agentschap van het Ministerie van Volksgezondheid, Welzijn en Sport) waar ik nu tijdelijk werkzaam ben levert passen uit aan zorgverleners met een pasfoto, naam en de naam van de zorgverleners instantie.

De reden dat dit wel wordt gedaan is omdat je naast deze pas (in tegenstelling tot een gewone toegangspas) nog een pincode nodig hebt voor het gebruik.

Hopelijk heb je er wat aan.

Indien Windows de cardreader al kent en zijn eigen driver ervoor heeft hebje waarschijnlijk geen middleware meer nodig. Nog nooit mee gewerkt dus ik durf er mijn hand niet voor in het vuur te steken.

Een smartcard voor PKI etc. heeft inderdaad een pincode nodig. De middleware regelt wat de minimale lengte is etc.
Ik bedoelde echter toegangspassen waarop geen pincode zit. Denk aan een pas om door een deur te komen..

Contactloze smartcards ken ik niet. Zo'n kaart slijt niet harder dan een standaard chipknip

Je kunt ook kijken naar tokens van Aladdin.
Deze tokens hebben een USB aansluiting, maar inwendig is het gewoon een smartcard (Van Siemens)
Deze tokens zijn ook in creditcard formaat verkrijgbaar. RFID is optioneel. (Zowel bij de USB als bij de creditcard tokens.)

Aladdin heeft ook OTP tokens. Er wordt dan een code gegenereerd. Deze kun je samen met een PIN code invoeren. Dit kun je gebruiken bij RAS toepassingen, zoals VPN. Je hoeft dan geen middelware (van Aladdin) te installeren.

De OTP tokens en de PKI smardcard (USB) based token kun je beheren vanuit een centraal tokenmanagement.

Verisign OEMt ze ook bijvoorbeeld.

Het nadeel van deze tokens (ik prefereer ook USB tokens i.p.v. smartcards) is dat je deze maar voor 1 toepassing kunt gebruiken. Een smartcard kan je ook gebruiken voor toegangs controle (deuren etc.) en tegelijkertijd kan je er ook mee betalen in de bedrijfskantine.

Het voordeel is dat je geen aparte cardreader meer nodig hebt.

OTP (One Time Password) tokens behoeven inderdaad geen middleware, maar wel weer een centrale RADIUS configuratie met alle problemen van dien.

Je hebt ze tegenwoordig ook gecombineerd. OTP en PKI token in 1

Hier hebben ze Schlumberger, nu overigens overgenomen door Axalto.
Werkt op zich goed, ook te gebruiken als betaalpas, in automaten en in de kantine.
Het enige nadeel is dat de pas net wat dikker is dan de dat wat eigenlijk in de lezers van de automaten en de kassa's hoort te gaan.
Dat heeft tot gevolg dat de kaart nogal eens beschadigd, zowel fysiek, wat op zich niet echt een probleem is, als magnetisch, wat wel een probleem is, want de kaart is dan niet meer te gebruiken om te betalen, en soms ook niet meer om toegang te krijgen.
De gebruiker is dan vaak ook zijn geld kwijt (maar dat kan ook te maken hebben met de policy van dit bedrijf.

Verder zit er wel een foto op van ons, en een printje, maar geen bedrijfslogo.
Logisch, natuurlijk.
Verder willen foto's en print nog wel eens krassen vertonen, vanwege de lezers dus, zoals hierboven beschreven.

Equator schreef op dinsdag 20 juni 2006 @ 10:43:
Het nadeel van deze tokens (ik prefereer ook USB tokens i.p.v. smartcards) is dat je deze maar voor 1 toepassing kunt gebruiken. Een smartcard kan je ook gebruiken voor toegangs controle (deuren etc.) en tegelijkertijd kan je er ook mee betalen in de bedrijfskantine.

Het voordeel is dat je geen aparte cardreader meer nodig hebt.

Aladdin geeft aan dat toegangscontrolle wel mogelijk zou moeten zijn, maar ik heb hier geen concrete voorbeelden van gezien.

Equator schreef op dinsdag 20 juni 2006 @ 10:43:
OTP (One Time Password) tokens behoeven inderdaad geen middleware, maar wel weer een centrale RADIUS configuratie met alle problemen van dien.

Je hebt ze tegenwoordig ook gecombineerd. OTP en PKI token in 1

Die OTP tokens van Aladdin doen idd. OTP en PKI in één.
Op werkstations kun je de clientsoftware van Aladdin gebruiken. (Driver zeg maar...)

Op de server kun je de token managementsoftware installeren. Dit gaat bovenop Win2003 Server met Active Directory. Dit is voor zowel PKI als OTP tokens. RADIUS zit bij de tokenmanagent software in. (Met OTP ben de verplicht om de management software te gebruiken, anders werkt het gewoon niet.)

Dan zal je toch geupdate middleware moeten installeren. Diegene die standaard in WIndows Server zit is outdated zo te zien.