:strip_icc():strip_exif()/u/85602/ElvisSpace_112.jpg?f=community)
Ik ben bezig met een projectje om de toegang tot een website met gevoelige gegevens te beveiligen. Dit moet gebeuren met behulp van een smartcard en reader, (ongeveer) op de zelfde manier als dat bij bv de Rabobank gaat. De smartcard+reader produceren steeds een OTP (One Time Password).
Het is niet mijn eigen website, het enige wat ik ermee te maken heb is dat ik dit gedeelte ga maken. Er wordt erg gelet op de kosten, het moet allemaal zo goedkoop mogelijk. (Ja, het moet dus veilig en goedkoop, don't ask)
Procedure in het kort:
- De gebruiker voert de kaart in in de reader en toetst een PIN-code in op de reader. Na 5 foute codes blokkeert de kaart.
- Op de inlogpagina op de website staat een eenmalige 'challenge'.
- De gebruiker voert deze challenge in op de reader.
- De reader transformeert deze challenge, mbv een private key die is opgeslagen op de kaart, tot een response. Deze response is het eenmalige wachtwoord (OTP) voor de website.
- De webserver probeert met dezelfde transformatie tot dezelfde response te komen. Komt dit overeen dan is de gebruiker geauthenticeerd.
Smartcards:
Er is al een producent van smartcards uitgezocht, www.basiccard.com. Deze kaartjes zijn erg goedkoop en eenvoudig te programmeren. De development kit heb ik inmiddels in mijn bezit, dit werkt allemaal prima. De gebruikte kaartjes kosten een paar euro per stuk.
Reader:
En hier komt mijn probleem.
De leverancier van deze smartcards heeft niet de juiste readers in zijn assortiment zitten, nml een reader met numerieke invoer toetsen.
Er is reeds een andere producent van readers benaderd. Deze reader zou ongeveer een tientje moeten kosten heb ik begrepen. Het gaat om deze reader (nog niet in bezit): http://www.todos.se/Todos...oducts_Authenticator.html
Nou kan ik nergens vinden hoe je deze reader zou moeten programmeren. De leverancier is een paar weken op vakantie, dus dat schiet even niet op. Ook staat er erg weinig documentatie op de website.
Ik kan nu al wel een zgn 'terminal program' schrijven in BasicCard dat communiceert met de nu op mijn pc aangesloten reader met kaart, maar ik zou niet weten hoe ik dit programma op een reader krijg. Daarnaast vermoed ik dat een reader helemaal niet om kan gaan met een programma in dit BasicCard formaat.
Wat ik graag zou willen weten is:
1) Is het de bedoeling dat je zelf het programma voor zo'n reader schrijft? Of staat er bijvoorbeeld al een standaard programma voor een OTP-procedure op zo'n reader?
2) Zijn er andere/betere (goedkope) oplossingen voor deze hele procedure? (Ik bedoel hiermee een combinatie van kaart, reader en OTP-software). Ben ik hier het wiel opnieuw aan het uitvinden?
Is er hier iemand die ervaring heeft met smartcards en readers?
Het is niet mijn eigen website, het enige wat ik ermee te maken heb is dat ik dit gedeelte ga maken. Er wordt erg gelet op de kosten, het moet allemaal zo goedkoop mogelijk. (Ja, het moet dus veilig en goedkoop, don't ask)
Procedure in het kort:
- De gebruiker voert de kaart in in de reader en toetst een PIN-code in op de reader. Na 5 foute codes blokkeert de kaart.
- Op de inlogpagina op de website staat een eenmalige 'challenge'.
- De gebruiker voert deze challenge in op de reader.
- De reader transformeert deze challenge, mbv een private key die is opgeslagen op de kaart, tot een response. Deze response is het eenmalige wachtwoord (OTP) voor de website.
- De webserver probeert met dezelfde transformatie tot dezelfde response te komen. Komt dit overeen dan is de gebruiker geauthenticeerd.
Smartcards:
Er is al een producent van smartcards uitgezocht, www.basiccard.com. Deze kaartjes zijn erg goedkoop en eenvoudig te programmeren. De development kit heb ik inmiddels in mijn bezit, dit werkt allemaal prima. De gebruikte kaartjes kosten een paar euro per stuk.
Reader:
En hier komt mijn probleem.
De leverancier van deze smartcards heeft niet de juiste readers in zijn assortiment zitten, nml een reader met numerieke invoer toetsen.
Er is reeds een andere producent van readers benaderd. Deze reader zou ongeveer een tientje moeten kosten heb ik begrepen. Het gaat om deze reader (nog niet in bezit): http://www.todos.se/Todos...oducts_Authenticator.html
Nou kan ik nergens vinden hoe je deze reader zou moeten programmeren. De leverancier is een paar weken op vakantie, dus dat schiet even niet op. Ook staat er erg weinig documentatie op de website.
Ik kan nu al wel een zgn 'terminal program' schrijven in BasicCard dat communiceert met de nu op mijn pc aangesloten reader met kaart, maar ik zou niet weten hoe ik dit programma op een reader krijg. Daarnaast vermoed ik dat een reader helemaal niet om kan gaan met een programma in dit BasicCard formaat.
Wat ik graag zou willen weten is:
1) Is het de bedoeling dat je zelf het programma voor zo'n reader schrijft? Of staat er bijvoorbeeld al een standaard programma voor een OTP-procedure op zo'n reader?
2) Zijn er andere/betere (goedkope) oplossingen voor deze hele procedure? (Ik bedoel hiermee een combinatie van kaart, reader en OTP-software). Ben ik hier het wiel opnieuw aan het uitvinden?
Is er hier iemand die ervaring heeft met smartcards en readers?
How much can you compute with the "ultimate laptop" with 1 kg of mass and 1 liter of volume? Answer: not more than 10^51 operations per second on not more than 10^32 bits.
