Smartcard cards en software

Er is geen 'software voor smartcards'. Ze doen namelijk op zichzelf niks. Je kan ze bijvoorbeeld als credential inzetten, dan heb je geen software voor je smartcard nodig, maar software voor je authenticatie systeem om smartcards te accepteren.

De reader heeft vast wel Vendor en Product of Device ID's. Of misschien zelfs een typenummer. Op basis van die informatie kan je vast wel de specs voor je reader krijgen. Daar staat dan in welke types en frequenties ondersteund worden.

Losse kaarten kan je bijvoorbeeld bij gemalto kopen.

johnkeates schreef op maandag 08 september 2014 @ 04:04:
De reader heeft vast wel Vendor en Product of Device ID's. Of misschien zelfs een typenummer. Op basis van die informatie kan je vast wel de specs voor je reader krijgen. Daar staat dan in welke types en frequenties ondersteund worden.

Deze is het denk ik. Zou gewoon moeten werken met de Windows CCID driver.

Losse kaarten kan je bijvoorbeeld bij gemalto kopen.

Het hele probleem met smartcards is dat ze meestal voor grote deployments worden aangeschaft, dat maakt het nogal eens prijzig als je er maar eentje wil.. Nu heeft Gemalto zowaar een webshop, maar echt goedkoop is het allemaal niet.

Ik heb ooit een enkele (pkcs#11 compatible) smartcard bij Gooze.eu gekocht, welke toen Feitian PKI cards verkocht tegen zeer schappelijke prijzen. Helaas zijn ze daar inmiddels mee gestopt. voor alternatieven houd ook ik me aanbevolen.

Welke smartcard werkelijk geschikt is voor TS hangt af van uiteindelijke toepassing. Zelf gebruik ik een smartcard voor SSH authenticatie onder Linux, en dan heb je aan een PKCS#11-compatible kaart het meest (ook inzetbaar voor x.509 client cert auth in de browser of VPNs).

Voor toepassingen als Windows login-authenticatie is het misschien weer interessanter om iets te zoeken dat dat expliciet support..

Die SLE5542 heeft louter 256 bytes aan EEPROM memory met een PIN.

Aardig als speelgoed, maar in de meeste gevallen is het wenselijk dat de kaart zelf cryptografische operaties kan uitvoeren met keymateriaal dat niet triviaal uit te lezen is (i.e. een kaart moet niet 'kloonbaar' zijn).

Again, wat wil je ermee bereiken? Windows-authenticatie? SSH key storage? VPN credentials? In al die gevallen is het handiger om een kaart te nemen die PKCS#11 compatible is, of vendor middleware heeft waarmee je je doel kunt bereiken.

Als het om simpele storage van data op een EEPROM-kaart gaat kun je ongetwijfeld wel een tool vinden (klik) - hier heb ik zelf geen ervaring mee.

Welk OS? Onder Linux zijn de meeste smartcard utilities ondergebracht in het OpenSC-project.

Wat betreft Windowsauthenticatie, enig zoekwerk levert op dat smartcard auth in principe alleen wil als je computer onderdeel is van een domein. Bij thuisgebruik is 'ie dat meestal niet, en dan lijkt EIDAuthenticate de de-facto oplossing. Schijnbaar is dat wel weer beperkt in de zin dat het uiteindelijk alsnog je password oplevert, caveat emptor..

Powerburner schreef op dinsdag 09 september 2014 @ 23:48:
Vooralsnog eerst even Windows authenticatie. Ik heb mijn pc ingesteld dat ik met een beperkt account werk, dus ieder keer admin wachtwoord intoetsen bij verhoogde rechten.

Vergeet niet dat je in plaats daarvan een PIN zult moeten intikken.

Als ik dan wat bekender ben met smartcards, dan wil ik VPN en of SSH proberen.

Met wat Gegoogle kwam uit uit op SmartCard-HSM, een betaalbare PKCS#11-compatible kaart (stiekem gewoon een application op een JavaCard).

Nu Gooze (en daarmee de Feitian producten) niet makkelijk meer verkrijgbaar zijn lijkt dat me een van de meest handige oplossingen.

Mocht je een andere betaalbare kaart vinden, check dan goed of je ook alle benodigde software hebt - voor kaarten die gericht zijn op mass deployments is het meestal de bedoeling dat je een SDK of toolset koopt oid, al zou je prima uit de voeten moeten kunnen met bv. XCA als een kaart PKCS#11 compatible is.

Als je windows 8.1 enterprise hebt heb je toch ook automatisch een domein? Ik dacht niet dat je dat zonder activatie server in een windows domein kon gebruiken. Je moet in elk geval een volume licentie hebben. En als je die hebt kan je meestal met de activatie server die je dan in je netwerk hebt ook wel AD draaien als extra rol.