Toon posts:

Welke Smartcards voor PKI infra onder windows 2003 server

Pagina: 1
Acties:
  • 256 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
We zijn op kantoor, in een w2k3 test omgeving, een PKI authenticatie aan het opzetten. We willen hiervoor smartcards gebruiken (om in te loggen in een w2k3 domein).

Ik heb een paar vraagjes en wil jullie vragen of jullie er ervaring mee hebben

Kan iemand mij zeggen welke smartcards (en misschien welk merk programmer) ik het beste kan gebruiken en WAAR deze te krijgen zijn? Kan namelijk geen enkel bedrijf vinden!
Ik heb gezien dat de kaarten van Gemplus GemSAFE, Schlumberger en Infinion SICRYPT
al in de cryptographic provider staan en heb gelezen dat dat dus minder werk moet zijn om op te zetten.

Zag tevens dat er sinds kort ook een "Microsoft base Smart Card crypto provider" tussen het rijtje staat bij de certsrv. Zijn hier nog voordelen aan te behalen?

Zijn de smart cards te bedrukken?/printen zodat we er fotootjes op kunnen zetten een een bedrijfslogo?

Alvast bedankt!

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 14:47
Zijn de smart cards te bedrukken?/printen zodat we er fotootjes op kunnen zetten een een bedrijfslogo?
Ik weet niet of dit nu echt een goed idee is. Als ik dan een smartcard vind, dan weet ik meteen van welk bedrijf het is Security technisch niet een goed idee.

  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Verwijderd schreef op donderdag 15 juni 2006 @ 17:57:
We zijn op kantoor, in een w2k3 test omgeving, een PKI authenticatie aan het opzetten. We willen hiervoor smartcards gebruiken (om in te loggen in een w2k3 domein).

Ik heb een paar vraagjes en wil jullie vragen of jullie er ervaring mee hebben

Kan iemand mij zeggen welke smartcards (en misschien welk merk programmer) ik het beste kan gebruiken en WAAR deze te krijgen zijn? Kan namelijk geen enkel bedrijf vinden!
Ik heb gezien dat de kaarten van Gemplus GemSAFE, Schlumberger en Infinion SICRYPT
al in de cryptographic provider staan en heb gelezen dat dat dus minder werk moet zijn om op te zetten.

Zag tevens dat er sinds kort ook een "Microsoft base Smart Card crypto provider" tussen het rijtje staat bij de certsrv. Zijn hier nog voordelen aan te behalen?

Zijn de smart cards te bedrukken?/printen zodat we er fotootjes op kunnen zetten een een bedrijfslogo?

Alvast bedankt!
Hmm, hier zou ik een antwoord op moeten kunnen geven.

Er zijn meerdere aanbieders van smartcards. Vaak zijn het allemaal de zelfde smartcards (IBM Jcop)
SafeNet is een van de aanbieders: http://www.safenet-inc.com/products/tokens/products_sc.asp
RSA heeft ze ook: http://www.rsasecurity.com/node.asp?id=1218

Daarnaast heb je ook readers nodig. OmniKey is daarin eenv an de bekendste denk ik. De Omnikey CardMan 3121 (USB) is een prima reader. Alleen voor een laptop is het niets.. Dan wil je eigenlijk een PCMCIA CardReader.

Om de cardreader aan te sprekene heb je een driver nodig voor de cardreader zelf, en om windows met de kaart zelf te laten communiceren hebje een stukje middleware nodig. Deze middleware is de zogeheten PKCS#11 software/librarie (PKCS = Public Key Cryptographic Standard)

AET levert safesign Middleware, wellke compatible is met omnikey readers. http://www.aeteurope.nl/html/aet.html

Op het moment dat je de middleware hebt geinstalleerd krijg je bij het aancragen van een certificaat (via https://certificateserver/certsrv/ ) de mogelijkheid om te kiezen voor SafeSign Cryptographic store. de Private Key wordt dan direct op de kaart weggeschreven.

De "Microsoft base Smart Card crypto provider" haal je weinig voordeel uit als je eigen middleware gebruikt.
Rolfie schreef op donderdag 15 juni 2006 @ 19:16:
[...]

Ik weet niet of dit nu echt een goed idee is. Als ik dan een smartcard vind, dan weet ik meteen van welk bedrijf het is Security technisch niet een goed idee.
Rolfie has a point.. :)
Veel toegangspassen worden niet meer voorzien van een logo omdat het dan makkelijker is om te achterhalen waar deze pas gebruikt zou kunnen worden.

Aan de andere kant wordt de pas nog wel vaak gepersonaliseerd. Het UZI-register (een agentschap van het Ministerie van Volksgezondheid, Welzijn en Sport) waar ik nu tijdelijk werkzaam ben levert passen uit aan zorgverleners met een pasfoto, naam en de naam van de zorgverleners instantie.

De reden dat dit wel wordt gedaan is omdat je naast deze pas (in tegenstelling tot een gewone toegangspas) nog een pincode nodig hebt voor het gebruik.

Hopelijk heb je er wat aan.

Verwijderd

Topicstarter
Ten eerste, alvast bedankt voor de reacties.

Jullie hebben inderdaad een goed punt om er geen logo op te zetten.

Wat betreft de cardreaders. Ik heb een paar HP keyboards besteld met ingebouwde smartcard reader. Als ik het goed heb worden die readers al "standaard" ondersteund in Windows 2k/XP (tenminste dat vond ik op de Microsoft site)
Of zeggen jullie dat ik nog steeds middleware nodig heb?

Wat betreft de pincode, ik dacht dat je bij alle kaarten toch een pincode hebt?

Nog een extra vraagje; adviseren jullie om ook een kijkje te nemen naar die contactloze smart cards? (Aangezien die normale nogal schijnen te slijten)

nogmaals bedankt!

  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Indien Windows de cardreader al kent en zijn eigen driver ervoor heeft hebje waarschijnlijk geen middleware meer nodig. Nog nooit mee gewerkt dus ik durf er mijn hand niet voor in het vuur te steken.

Een smartcard voor PKI etc. heeft inderdaad een pincode nodig. De middleware regelt wat de minimale lengte is etc.
Ik bedoelde echter toegangspassen waarop geen pincode zit. Denk aan een pas om door een deur te komen..

Contactloze smartcards ken ik niet. Zo'n kaart slijt niet harder dan een standaard chipknip

  • Bl@ckbird
  • Registratie: November 2000
  • Niet online
Je kunt ook kijken naar tokens van Aladdin.
Deze tokens hebben een USB aansluiting, maar inwendig is het gewoon een smartcard (Van Siemens)
Deze tokens zijn ook in creditcard formaat verkrijgbaar. RFID is optioneel. (Zowel bij de USB als bij de creditcard tokens.)

Aladdin heeft ook OTP tokens. Er wordt dan een code gegenereerd. Deze kun je samen met een PIN code invoeren. Dit kun je gebruiken bij RAS toepassingen, zoals VPN. Je hoeft dan geen middelware (van Aladdin) te installeren.

De OTP tokens en de PKI smardcard (USB) based token kun je beheren vanuit een centraal tokenmanagement.

Verisign OEMt ze ook bijvoorbeeld.

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~


  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Het nadeel van deze tokens (ik prefereer ook USB tokens i.p.v. smartcards) is dat je deze maar voor 1 toepassing kunt gebruiken. Een smartcard kan je ook gebruiken voor toegangs controle (deuren etc.) en tegelijkertijd kan je er ook mee betalen in de bedrijfskantine.

Het voordeel is dat je geen aparte cardreader meer nodig hebt.

OTP (One Time Password) tokens behoeven inderdaad geen middleware, maar wel weer een centrale RADIUS configuratie met alle problemen van dien. :)

Je hebt ze tegenwoordig ook gecombineerd. OTP en PKI token in 1

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 13:37

ElCondor

Geluk is Onmisbaar

Hier hebben ze Schlumberger, nu overigens overgenomen door Axalto.
Werkt op zich goed, ook te gebruiken als betaalpas, in automaten en in de kantine.
Het enige nadeel is dat de pas net wat dikker is dan de dat wat eigenlijk in de lezers van de automaten en de kassa's hoort te gaan.
Dat heeft tot gevolg dat de kaart nogal eens beschadigd, zowel fysiek, wat op zich niet echt een probleem is, als magnetisch, wat wel een probleem is, want de kaart is dan niet meer te gebruiken om te betalen, en soms ook niet meer om toegang te krijgen.
De gebruiker is dan vaak ook zijn geld kwijt (maar dat kan ook te maken hebben met de policy van dit bedrijf.

Verder zit er wel een foto op van ons, en een printje, maar geen bedrijfslogo.
Logisch, natuurlijk.
Verder willen foto's en print nog wel eens krassen vertonen, vanwege de lezers dus, zoals hierboven beschreven.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)


  • Bl@ckbird
  • Registratie: November 2000
  • Niet online
Equator schreef op dinsdag 20 juni 2006 @ 10:43:
Het nadeel van deze tokens (ik prefereer ook USB tokens i.p.v. smartcards) is dat je deze maar voor 1 toepassing kunt gebruiken. Een smartcard kan je ook gebruiken voor toegangs controle (deuren etc.) en tegelijkertijd kan je er ook mee betalen in de bedrijfskantine.

Het voordeel is dat je geen aparte cardreader meer nodig hebt.
Aladdin geeft aan dat toegangscontrolle wel mogelijk zou moeten zijn, maar ik heb hier geen concrete voorbeelden van gezien.
Equator schreef op dinsdag 20 juni 2006 @ 10:43:
OTP (One Time Password) tokens behoeven inderdaad geen middleware, maar wel weer een centrale RADIUS configuratie met alle problemen van dien. :)

Je hebt ze tegenwoordig ook gecombineerd. OTP en PKI token in 1
Die OTP tokens van Aladdin doen idd. OTP en PKI in één.
Op werkstations kun je de clientsoftware van Aladdin gebruiken. (Driver zeg maar...)

Op de server kun je de token managementsoftware installeren. Dit gaat bovenop Win2003 Server met Active Directory. Dit is voor zowel PKI als OTP tokens. RADIUS zit bij de tokenmanagent software in. (Met OTP ben de verplicht om de management software te gebruiken, anders werkt het gewoon niet.)

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~


Verwijderd

Topicstarter
Ik heb een paar Gemplus GemSAFE kaarten besteld om mee te testen.

(besteld bij www.cryptoshop.com)

Even kijken of dat allemaal gaat werken.

Ik laat het jullie weten

Verwijderd

Topicstarter
Dag allemaal,


de smartcards zijn binnen alleen heb nu het volgende probleem.

Ik heb nu dus 2 Gemplus GemSAFE Xpresso 32k kaarten. Alleen als ik nu probeer, via de certserv, certificaten te installeren dan zegt die dat de "Gemplus GemSAFE card csp v1.0" cryptografieprovider alleen maar de 4k en de 8k ondersteund :(

Iemand een idee hoe ik het certificaat er toch opkrijg of ben ik nu aangewezen op die middleware?

Alvast bedankt

[ Voor 4% gewijzigd door Verwijderd op 27-06-2006 11:12 ]


  • Equator
  • Registratie: April 2001
  • Laatst online: 16:59

Equator

Crew Council

#whisky #barista

Dan zal je toch geupdate middleware moeten installeren. Diegene die standaard in WIndows Server zit is outdated zo te zien.
Pagina: 1