SmartCard voor SSH toegang - Privacy en beveiliging

maandag 19 oktober 2009 20:16

Acties:

Topicstarter

Hallo allemaal,

Allereerst: misschien hoort dit hier niet helemaal thuis, maar het leek me de beste plaats voor dit topic

Sinds kort weet ik dat je je kunt authentificeren met een public/private-key pair bij een SSH server. Nu heb ik niet zo lang geleden een nieuwe laptop gekocht waar zich een SmartCard slot en een TPM in bevinden. Naar ik dit vrij interessante hardware vind vroeg ik me af of ik die zou kunnen gebruiken. Zie daar, de combinatie van deze 2 interessegebieden is een feit.

Nu zijn mijn vragen: kan ik de TPM gebruiken voor dit soort spul, of is dat niet mogelijk? Zo ja, waar kan ik meer informatie vinden (en belangrijker, waar vind ik een SSH client die hiermee overweg kan) Waar kan ik cryptografische smartcards (met PKCS#11 drivers) krijgen voor een redelijk bedrag? Ik dacht zelf niet meer dan 20 euro per kaart te besteden en dit met PuTTY SC voor te gebruiken, is dit veilige software? Misschien belangrijker: is dit eigenlijk wel een goed idee, of ben ik belachelijk bezig en moet ik het maar gewoon bij een wachtwoord houden?

Alvast bedankt!

maandag 19 oktober 2009 20:50

Acties:

Equator

Crew Council

#whisky #barista

Als je het niet erg vind, verplaats ik dit topic even naar Beveiliging & Virussen

Waar je even rekening mee moet houden is dat een stuk software alleen maar gebruik van een cryptografische module kan maken als deze support er ook daadwerkelijk inzit.

Voor wat betreft de kaarten en PKCS#11 software, makkelijkste is om te kijken naar AET's SafeSign software. Deze kan met de meeste (interne) kaartlezers wel overweg. En de meeste kaarten gaan ook gewoon werken.

kaarten kan je bij verschillende leveranciers kopen. RSA, Gemalto, Vasco etc. Er zijn er legio.

maandag 19 oktober 2009 21:50

Acties:

ktf

Topicstarter

Dankje voor de verplaatsing ^^

PuTTY SC kan overweg met smartcards als je aangeeft waar de PKCS#11 driver staat. Ik heb de (Windows) drivers voor de reader geinstalleerd staan, dus de software lijkt me geen probleem, of zie ik iets over het hoofd? Ik kan toch de drivers voor de kaarten gewoon downloaden neem ik aan? Het enige probleem is denk ik het aansturen van de smartcard om een key aan te maken, maar PuTTY SC kan de public keys blijkbaar zowiezo uitlezen.

Nu vroeg ik me af of ik die kaarten ook 'gewoon', 'simpel' in Nederland ergens bij een (web)winkel zou kunnen kopen. Ik hou er niet zo van overzees te bestellen, en aangezien ik nog aan het experimenteren ben hoef ik nu maar 2 kaarten te hebben.

dinsdag 20 oktober 2009 07:11

Acties:

Equator

Crew Council

#whisky #barista

Tuurlijk:

Dit is (een van de bekendere) resellers van Aladdin eTokens (dus ook de eToken smartCard)

AAC Cosmos
J.F. Kennedylaan 71
Valkenswaard
5555 XC
Phone: +31 (0)40 2046705
www: http://www.aaccosmos.nl
Contact:
Partner Program Level: Gold

Zie: http://www.aladdin.com/how/resellers.aspx voor meer resellers

Nadeel is dat ze nou niet echt zullen staan te springen om er 1 te verkopen.. Misschien dat ze een minimaal aantal accepteren..

[ Voor 16% gewijzigd door Equator op 20-10-2009 07:12 ]

dinsdag 20 oktober 2009 07:40

Acties:

Verwijderd

Ik denk dat jij een Yubikey wilt hebben. Echt een prachtig product

http://www.yubico.com/home/index/

dinsdag 20 oktober 2009 08:21

Acties:

Equator

Crew Council

#whisky #barista

quote: http://www.yubico.com/products/description/
The Key generates and sends unique time-variant authentication codes by emulating keystrokes through the standard keyboard interface. The computer to which the Key is attached receives this authentication code character by character just as if it were being typed in from the keyboard – yet it's all performed automatically. This process allows the Key to be used with any application or Web-based service without any need for special client computer interaction or drivers.

Dat is dus geen cryptografisch token of smartcard, maar een ding dat voor jou je wachtwoord intypt.

Vanuit security oogpunt niets anders dan een post-it met userid + password onder het toetsenbord, maar dan geautomatiseerd.

dinsdag 20 oktober 2009 09:48

Acties:

ktf

Topicstarter

Ik ben eruit, denk ik

Ik heb de PKCS#11 driver van de TPM kunnen vinden, ik heb alleen de adminkey van de TPM thuis liggen, dus dat komt vanmiddag. Straks kwestie van TPM aanzetten, RSA-key genereren, public exporteren, uploaden naar de server en klaar is kees, hoop ik

Ik breng verslag uit als het lukt. (of niet)

Voor het invoeren van dit in het systeem dat ik momenteel beheer ben ik wel geintereseerd in het experimenteren met smartcards of USB-tokens (ik ben ook wel in OTPs geintereseerd eigenlijk, dus daar ga ik zeker naar kijken) dus mocht er iemand een adresje weten dan hoor ik het graag.

[ Voor 7% gewijzigd door ktf op 20-10-2009 09:49 ]

dinsdag 20 oktober 2009 10:11

Acties:

Equator

Crew Council

#whisky #barista

Misschien wel leuk om een linkje naar de PuTTY SC en een eventuele uitleg van het aanmelden via een asymmetrisch cryptografische sleutel op SSH te posten.

* Equator wist overigens niet dat je de TPM op die manier als cryptochip kon gebruiken. Eens even naar kijken..

dinsdag 20 oktober 2009 11:20

Acties:

ktf

Topicstarter

Ik zal het wel even uitleggen in het Nederlands, het is namelijk heel eenvoudig ^^

Het overbekende PuTTY heeft standaard al mogelijkheden voor private key authentificatie via het programma PuTTYgen wat op de PuTTY pagina te downloaden is. Je maakt dan een key-pair, slaat de private key ergens op je computer op en kopieert de public-key in het SSH formaat zoals PuTTYgen dat speciaal aanlevert naar het bestand ~/.ssh/authorized_keys op de server waarop je wilt inlogt.

Als je nu de private key in PuTTY aanwijst kun je zonder wachtwoord inloggen bij alle gebruikers waarbij je de andere helft van het keypair in de ~/.ssh/authorized_keys bestand hebt gezet.

PuTTY SC is een mod van iemand anders en kun je hier downloaden: http://www.joebar.ch/puttysc/ Het voegt bij de SSH opties een menuutje Pkcs11 toe, waar je het dlldriverbestand kunt instellen. Je moet eerst met de TPM software (die heb ik van HP met mijn computer meegeleverd gekregen) een keypair genereren op de TPM, vervolgens kun je als het goed is de public-key zo tevoorschijn toveren, en anders moet je PuTTY SC de key laten loggen en dan uploaden. Eventueel kun je daar meer infomatie over vinden op de PuTTY SC site.

Edit: ik zie nu pas dat die Yubikey geen OTP-key is maar een wachtwoordtyper... leuke oplossing, maar verre van het veiligheidsniveau dat ik met deze oplossing probeer te halen

Ik realiseer me nu ook pas hoe cool een TPM op deze manier is, ik kan dingen zo instellen dat ik echt alleen met deze computer in kan loggen.

[ Voor 11% gewijzigd door ktf op 20-10-2009 11:39 ]

dinsdag 20 oktober 2009 17:39

Acties:

ktf

Topicstarter

Hmm... twil niet echt lukken helaas. Ik heb het (eindelijk) voor elkaar gekregen in HP Protecttools keys aan te maken, maar die wil ie alleen maar gebruiken voor File System Encryption (waar ik helemaal geen behoefte aan heb) en PuTTY SC kan ze blijkbaar niet bereiken. Ik heb FreeOTFE geprobeerd, maar als ik daar probeer keys aan te maken staat er dat ik geen cyphers heb geinstalleerd, wat ook niet nodig zou moeten zijn omdat de processor op de TPM dat moet doen.

Iemand ervaring wat betreft het aansturen van een TPM?

dinsdag 20 oktober 2009 20:59

Acties:

ktf

Topicstarter

Het is niet mogelijk om PKCS#11 keys te genereren blijkbaar

Heel vreemd. Er wordt in de handleiding omheen gepraat, maar het komt er wel op neer. Er moeten dus wel keys op kunnen, maar je kunt ze niet genereren op de TPM. Ik heb met OpenSSH een X509 certificaatje gemaakt en die geimporteerd, maar die komt ook bij 'de andere' certificaten terecht.

woensdag 21 oktober 2009 09:59

Acties:

Equator

Crew Council

#whisky #barista

Misschien niet geheel duidelijk, maar PKCS#11 is een standaard manier om cryptografische chips te benaderen.
Een dergelijke cryptochip wil waarschijnlijk een X.509 certificaat hebben i.p.v. een los RSA keypair. Een getekend certificaat inclusief de private key is natuurlijk hetzelfde.

Ik zou een certificaat proberen te importeren op die cryptochip. Probeer met OpenSSL de losse public key eruit te krijgen (is niet moeilijk) en probeer die dan te gebruiken op de server.

De keygeneration op de TPM zelf is iets waar je de juiste CSP voor nodig hebt. Bij het aanvragen van een certificaat kan je vaak kiezen op welke CSP je de keys wilt opslaan. Daar dien je dan te kiezen voor de CSP behorende bij jou cryptochip. Anders kan je kiezen voor de MS Certificate opslag (wat dus in het register is, en dat wil je niet)

* Equator heeft geen TPM op het netbook, dus ik kan het niet testen.

Maar heb je geen software voor die TPM waarmee je een PKCS#12 (.p12 / .pfx ) bestanden kan importeren op de TPM?

woensdag 21 oktober 2009 13:26

Acties:

ktf

Topicstarter

Oke, dan snap ik het, ik dacht dat PKCS#11 een universele toegangslaag naar securitydevices bood, ook voor het sturen van commando's.

Wat ik ook zo vreselijk irritant vindt is dat als je bij de TPM module in MMC kijkt je heel veel mogelijke commando's ziet, en die kun je alleen maar blokkeren en niet uitvoeren. Ik heb dus gisteren uren gezocht naar een programma waarmee ik die commando's kan uitvoeren. Heel frustrerend, en de Infineon site verwijst mij door naar de laptopfabrikant (de HP protecttools embedded security tools is min of meer geskinde en licht aangepaste Infineon software) en de extra software die ze aanbieden zijn SDK's en Windows 2000 tools die niet werken op Vista.

Ik heb dus al met openSSL een PKCS#12 X.509 cert gemaakt en deze geïmporteerd, maar die komt bij 'de andere' certificaten terecht, die zijn niet te bereiken via PKCS#11. Ter verduidelijking zal ik even deze screenshots invoegen.

Afbeeldingslocatie: http://www.icer.nl/images/ktf/protecttools.png

Afbeeldingslocatie: http://www.icer.nl/images/ktf/protecttools.png

Dat is het HP Protecttools scherm, en ik ben nu in het TPM -> Gebruiker submenu

Ik klik op Manage en krijg...

Afbeeldingslocatie: http://www.icer.nl/images/ktf/certificateviewer.png

Dit. De knop Import importeert met PKCS#12, en dan kan ik een positie kiezen in een boomstructuur die erg lijkt op de Windows Certificaten-MMC. Er zit wel een vinkje waarmee ik de privatekey op de TPM opsla in plaats van in het register. Als ik Show PKCS#11 private certificates also aanklik komen er geen dingen bij. Zoals je kunt zien staan er nu geen certificaten, ik heb net de TPM gereset.

[ Voor 6% gewijzigd door ktf op 21-10-2009 15:08 ]

donderdag 22 oktober 2009 07:22

Acties:

Equator

Crew Council

#whisky #barista

Dan zou het nog aan het certificate purpose kunnen liggen. Kan jij een dit uitvoeren en posten:

openssl x509 -in <je certificaat> -noout -text

Als het goed is krijgen we dan alle info van het certificaat (incl. publieke sleutel) te zien.

Een selfsigned certificaat heeft al snel een CA=TRUE, en die heeft als purpose "CRL signing, offline-CRL signing, Certificate Signing" en dus geen Client Authentication.

Edit: Desnoods kan ik wel een temporary cert voor je aanmaken met de juiste purpose. Maar laten we eerst dit eens proberen

[ Voor 13% gewijzigd door Equator op 22-10-2009 07:23 ]

donderdag 22 oktober 2009 08:59

Acties:

ktf

Topicstarter

Tuurlijk

code:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            9e:58:18:75:d8:b8:b3:8b
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=NL, ST=Zuid-Holland, L=Delft, O=None, OU=None, CN=Martijn van Beurden/emailAddress=*poetspoets*
        Validity
            Not Before: Oct 21 11:40:55 2009 GMT
            Not After : Nov 20 11:40:55 2009 GMT
        Subject: C=NL, ST=Zuid-Holland, L=Delft, O=None, OU=None, CN=Martijn van Beurden/emailAddress=*poetspoets*
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:cb:9d:6a:b6:cc:89:49:07:88:ab:38:e8:d4:6e:
                    ce:33:34:32:ee:d5:74:5a:50:ff:2c:c0:27:fd:af:
                    d6:e1:2a:0e:54:58:d8:78:f0:81:02:89:59:b4:86:
                    eb:01:49:2e:d4:ec:67:7b:4f:e1:78:fc:8d:a3:25:
                    d1:82:e5:fe:50:8f:8a:ab:8c:b7:e5:b3:28:65:6b:
                    98:11:06:f8:3f:aa:0e:3c:77:c5:48:2e:fb:2d:ff:
                    60:e0:21:27:b6:9c:92:92:b1:07:e9:e6:8e:91:e5:
                    1e:14:5b:23:9d:80:50:ef:69:77:83:a4:48:ca:ff:
                    3b:3d:c8:8b:ff:4a:1f:ad:37:77:ca:d3:70:91:73:
                    ce:fc:88:2c:22:e5:84:a4:25:f2:eb:b7:a2:ac:99:
                    5d:41:27:3f:4e:45:bf:13:bc:4c:50:7d:d0:d1:05:
                    31:10:ff:a0:34:37:7c:79:46:23:87:70:b0:f8:73:
                    89:92:cc:6a:f0:c4:59:12:c3:0c:6f:ac:8d:e2:e6:
                    a7:c3:b7:ba:68:1a:e0:a8:a1:46:62:e4:09:01:cc:
                    2b:2d:7b:c4:29:19:fa:91:b3:dc:56:d9:f9:92:b7:
                    0d:9a:a7:76:e8:df:50:8c:b7:ee:6a:1f:4a:13:3c:
                    b3:b9:ce:ba:8f:75:60:c7:f8:8c:3f:47:9b:d7:76:
                    ad:ff
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                79:38:29:87:96:10:C3:C1:54:82:89:7E:05:4D:17:4F:26:50:A7:17
            X509v3 Authority Key Identifier: 
                keyid:79:38:29:87:96:10:C3:C1:54:82:89:7E:05:4D:17:4F:26:50:A7:17
                DirName:/C=NL/ST=Zuid-Holland/L=Delft/O=None/OU=None/CN=Martijn van Beurden/emailAddress=*poetspoets*
                serial:9E:58:18:75:D8:B8:B3:8B

            X509v3 Basic Constraints: 
                CA:TRUE
    Signature Algorithm: sha1WithRSAEncryption
        88:8d:ab:f5:d4:1d:72:91:8c:f4:6d:86:f4:af:b8:26:f8:11:
        f8:1a:5f:90:3f:f1:64:3e:6e:2a:62:12:fe:b1:a5:8c:66:10:
        94:de:c6:09:62:a0:00:58:2c:b5:4e:10:13:74:fe:e5:0e:25:
        89:88:5b:c2:67:94:ba:81:ee:42:da:c1:4f:61:0f:d0:7b:f4:
        72:00:fd:b5:76:0f:2f:82:98:f8:ec:b1:f8:c1:ff:6d:4b:1b:
        04:ca:c5:ca:af:8b:53:52:46:52:96:58:12:b2:f6:5a:94:50:
        66:52:e7:92:bb:01:11:a4:68:f4:18:59:7b:b5:75:31:14:01:
        4b:e8:cc:98:d7:f5:92:22:0a:e0:25:14:f7:74:9a:4c:77:fa:
        45:8d:d1:45:5a:e1:d8:75:68:c3:e7:36:52:12:bd:71:b3:b0:
        00:a1:a3:ed:f1:1f:f8:52:39:c0:12:7f:c9:9a:64:ed:fb:c9:
        4a:e7:af:e7:8e:46:6f:a3:9e:bd:b3:d2:51:61:2b:cb:54:86:
        a4:96:86:8e:84:65:d9:b4:7a:51:7f:59:d8:fa:51:a3:ae:f7:
        33:3b:2f:f3:3d:fb:96:f3:49:28:d4:aa:f7:2c:ce:77:c9:ad:
        2a:0b:8f:0f:52:6e:89:a2:2c:b5:0b:5a:a3:a5:4b:75:02:89:
        96:80:e8:16

Ondertussen ben ik ook aan de slag gegaan met Firefox, die ook een PKCS#11 module heeft, en daar heb ik de TPM ook binnen gekregen. Daar zit een mogelijkheid tot het importeren van certificaten, en dan vraagt hij waar ik dat certificaat wil hebben. Daar zit ook de mogelijkheid bij om dit op de TPM te doen.

Probeer ik dit, dan voer ik het wachtwoord van de TPM in, geef p12 file door, voer wachtwoord voor p12-bestand in en dan sluit ie af met "De PKCS #12-verwerking is om onbekende redenen mislukt". Importeer ik hem echter in de standaard softwarecryptodevice van Mozilla, dan werkt het wel.

donderdag 22 oktober 2009 13:31

Acties:

yade

Een veilig systeem importeert geen private keys, maar genereert ze zelf en laat ze tevens ook niet exporteren. Anders is niet te garanderen dat de private key niet in andermans handen terecht is/kan komen. Je zal dus moeten proberen een RSA private/public key te gereneren op de TPM en de public key zien te exporteren naar een formaat die je SSH server accepteerd.

Misschien heb je hier wat aan? http://docs.hp.com/en/5992-4672/ch05s03.html

[ Voor 9% gewijzigd door yade op 22-10-2009 13:34 ]

donderdag 22 oktober 2009 14:28

Acties:

Equator

Crew Council

#whisky #barista

yade schreef op donderdag 22 oktober 2009 @ 13:31:
Een veilig systeem importeert geen private keys, maar genereert ze zelf en laat ze tevens ook niet exporteren. Anders is niet te garanderen dat de private key niet in andermans handen terecht is/kan komen.

Daar heb je inweze gelijk in, maar bij 9 van de 10 cryptografische chips is er gewoon de mogelijkheid om een eerder gegenereerd P12 te importeren.

Je zal dus moeten proberen een RSA private/public key te gereneren op de TPM en de public key zien te exporteren naar een formaat die je SSH server accepteerd.

Dat had hij volgens mij al geprobeerd

zaterdag 24 oktober 2009 11:27

Acties:

ktf

Topicstarter

Ik heb inderdaad geprobeerd een key op de TPM te maken, maar dat is me niet gelukt. Dat artikel gaat over HP-UX, en daar beschik ik niet over

In het artikel staat wel het een en ander over openSSL met TPM ondersteuning, daar ga ik binnenkort (na mijn tentamenperiode) eens goed naar kijken. Dankjewel

maandag 26 oktober 2009 06:56

Acties:

Equator

Crew Council

#whisky #barista

Btw:

X509v3 Basic Constraints:
CA:TRUE

Houdt dus in dat het een self signed certificaat is, en die heeft waarschijnlijk de verkeerde key-usage voor wat jij er mee wilt doen

woensdag 28 oktober 2009 15:49

Acties:

T_E_O

Ik ben de afgelopen dagen ook druk bezig geweest met certificaten, keys etc. aangezien ik een heel stel Aladdin NG-OTP tokens heb liggen hier. Ik weet niet direct waarom je TPM geen keys wil genereren, maar wil wel even deze link dumpen: https://addons.mozilla.org/en-US/firefox/addon/4471

Lijkt behoorlijk wat nuttige features te hebben en wellicht krijg je hiermee je TPM zover dat 'ie keys gaat genereren.