Integrationsmöglichkeit e-card in Windows

Transkript

1 tel.: +43 (316) fax: +43 (316) Inffeldgasse 16a / 8010 Graz / Austria Integrationsmöglichkeit e-card in Windows Windows Logon mit e-card Wolfgang Bauer Zusammenfassung Die Anmeldung an Windows Rechnern (Domänen) erfolgt standardmäßig über Benutzernamen und Passwort. Seit Windows 2000 wird aber auch eine starke 2 Faktor Authentifikation mit Hilfe von Smartcard und PIN, unterstützt. Durch ihre Signaturfunktion bietet die e-card die notwendigen technischen Voraussetzungen, für diese wesentlich sicherere Variante. Dieser Artikel analysiert die technischen Eigenschaften der e-card und unterschiedliche Aspekte des Anmeldeprozesses. Dabei wird gezeigt wo derzeit noch Inkompatibilitäten bestehen und weshalb aus heutiger Sicht ein Windowslogon mit e-card nicht ohne speziell entwickelter Zusatzmodule möglich ist. Inhaltsverzeichnis 1 Einleitung e-card Technische Eigenschaften Windows Logon Arbeitsplatzrechner Authentifizierungsprotokoll Domänencontroller Zusammenfassung Einleitung Die österreichische e-card dient nicht nur als Krankenscheinersatz, sondern bietet auch die notwendigen Voraussetzungen für den Einsatz als österreichische Bürgerkarte. Der Karteninhaber kann über ein Web Portal die e-card kostenfrei aktivieren (als Bürgerkarte freischalten) und hat somit ein Mittel zur starken 2 Faktor Authentifizierung in der Hand. Durch die starke Verbreitung der e-card innerhalb Österreichs, bietet sich diese auch als Authentifizierungsmittel für ein Windows Logon an. Damit könnte die herkömmlich Variante der Anmeldung mittels Benutzername und Passwort durch ein wesentlich sicheres Verfahren abgelöst werden. Windows unterstützt seit Windows 2000 smartcardgestützte Benutzeranmeldung. Dieser Artikel analysiert die technischen Eigenschaften der e-card und wie diese mit den Voraussetzungen für ein Smartcardlogon vereinbar sind. Dazu werden die relevanten technischen Details der e- card im nächsten Abschnitt näher beschrieben. Anschließend wird der Windows Logonprozess vorgestellt und in den nachfolgenden Abschnitten mögliche Probleme bei der e-card Integration analysiert. In diesem Zusammenhang muss nochmals explizit klargestellt werden, dass dieses Dokument ausschließlich die zertifikatsgestützte Benutzerauthentifizierung diskutiert. Die Mechanismen des österreichischen E-Governments zur Benutzeridentifizierung über Stammzahl bzw. Personenbindung werden in hier nicht angesprochen. 1

2 2 Windows Logon e-card Technische Eigenschaften Die östererreichische Bürgerkarte ist nicht an eine spezielle Plattform gebunden. Vielmehr kann diese, solange die entsprechenden Voraussetzungen erfüllt sind, in den unterschiedlichste Ausprägungen implementiert werden. Eine dieser Plattformen ist die e-card, die damit nicht nur Krankenscheinersatz ist, sondern auch eine zertifizierte sichere Signaturerstellungseinheit darstellt. Derzeit sind e-cards auf zwei unterschiedlichen Chipplattformen im Einsatz, die jedoch beide die gleiche Funktionalität bieten und entsprechend dem Signaturgesetz (SigG 18(5)) von A-SIT bescheinigt sind. Daher wird in weiterer Folge nur mehr von der e-card gesprochen. Die e-card verwendet den Elliptic Curve Digital Signature Algorithm (ECDSA) als Signaturalgorithmus. Dabei kommt die vom National Institute of Standards and Technology (NIST) empfohlene elliptische Kurve P-192 [3] zum Einsatz. Dies ist eine 192-Bit Kurve über Primzahlenkörper. Unter Windows wird Kryptographie basierend auf elliptischen Kurven erst seit Windows Vista unterstützt. Die Unterstützung beschränkt sich leider auf elliptische Kurven über Primzahlenkörpern mit Schlüssellängen von 256 Bit und darüber [1]. Das bedeutet, dass derzeit Signaturen und Zertifikate der e-card nicht von Windows Vista unterstützt werden. Um auf die Signaturfunktion der Karte zuzugreifen, ist bei der Bürgerkarte eine eigene Applikationsschnittstelle, der sogenannte Security-Layer [2], spezifiziert. Dieser ist unabhängig von der darunterliegenden Technologie (und damit auch von der konkreten Ausprägung der Signaturerstellungseinheit) gehalten und definiert die notwendige Bürgerkartenfunktionalität auf einer sehr hohen Abstraktionsebene. Dies bedeutet, dass bei der e-card der eigentliche Kartenzugriff (die Kartenkommandos) nicht öffentlich spezifiziert sind. Aus dieser Überlegung heraus gibt es zwei unterschiedlich Ansätze, um auf die Signaturfunktion der e-card zuzugreifen. 1. Signatur über den Security-Layer: Bei dieser Variante wird der standardisierte Weg eine Signatur auszulösen beschritten. Dazu muss man über einen TCP Socket, die entsprechenden Befehle an den Security-Layer schicken. 2. Signatur direkt über Kartenkommandos: Dabei verlässt man den standardisierten Pfad und greift über proprietäre Kartenkommandos direkt auf die e-card zu. Beide dieser Varianten haben Vor- und Nachteile. Diese werden im Abschnitt 3 nochmals im Zusammenhang mit dem im folgenden Abschnitt erklärten Windowslogon Prozess diskutiert. 2 Windows Logon Bei der Windows Anmeldung muss man zwischen lokalen Benutzerkonten und Domänenkonten unterscheiden. Die Smartcard gestützte Anmeldung mit einem lokalen Benutzerkonto ist mit Windows Boardmitteln nicht möglich und wird hier nicht näher betrachtet. In weiterer Folge wird ausschließlich ein Windows Domänenlogon beschrieben und analysiert. Abb. 1: Windows Anmeldeprozess Ab Windows 2000 ist der Smartcardzugriff über PC/SC fester Bestandteil des Betriebssystems. Damit wurde auch die Grundlage für das Smartcardlogon an der Domäne geschaffen. Die

3 3 Arbeitsplatzrechner 3 Abbildung 1 skizziert kurz die wichtigen Komponenten einer Windowsanmeldung unter Windows Vista die im Folgenden beschrieben werden. Arbeitsplatzrechner: Hier läuft für jede Session ein WinLogon Prozess der die Benutzeranmeldung steuert. Die Darstellung der graphischen Komponenten übernimmt der Betriebssystemprozess LogonUI, der wiederum auf unterschiedliche Credential Providers (CP) zugreift. Diese CP liefen die konkreten Anmeldedaten. Authentifizierungsprotokoll: Um den Benutzer am Domänenncontroller (und umgekehrt) zu authentifizieren kommt Kerberos v5 zum Einsatz. Über das PKINIT Protokoll werden auch asymmetrische Kryptographie und X.509 Zertifikate unterstützt. Domänencontroller: Der Domänencontroller übernimmt die Authentifizierung von Benutzern. Im Falle der Smartcardauthentifizierung erfolgt hier auch die Zuordnung des Zertifikates zu einem Benutzerkonto. In den folgenden Abschnitten wird untersucht welche Voraussetzungen die oben beschriebenen Komponenten erfüllen müssen um ein Anmeldung mit e-card zu ermöglichen. 3 Arbeitsplatzrechner Durch die Integration des Smartcardzugriffes (über PC/SC) in das Betriebssystem und den Wechsel auf Kerberos als Authentifikationsprotokoll sind ab Windows 2000 Chipkartenlogons möglich. Um dafür die e-card Bürgerkarte zu nutzen müssen zusätzlich noch ECC Signaturen (ECDSA) unterstützt werden. Diese Anforderung ist zwar mit Windows Vista prinzipiell erfüllt, jedoch wird die von der e-card verwendeten elliptische Kurve nicht unterstützt (siehe Abschnitt 1.1). Wie auch in [1] argumentiert wird, ist durch die Notwendigkeit Algorithmen und Parameter für qualifizierte Signaturen ständig anzupassen, damit zu rechnen, dass zukünftige e-card Generationen kompatibel mit Windows Vista sind. Der Rest dieses Abschnittes geht daher nicht mehr näher auf dieses Problem ein, sondern analysiert andere Aspekte des Logon Prozesses. Wie schon im vorherigen Abschnitt beschrieben wurde, gibt es prinzipiell zwei Möglichkeiten die Signaturfunktion der Bürgerkarte zu nutzen. Jede dieser Varianten hat unterschiedliche Konsequenzen für den Logon Prozess. Security-Layer: Beim Zugriff über den Security-Layer nutzt man das standardisierte Interface. Über dieses Interface können Signaturen erstellt und geprüft, sowie Daten ver- und entschlüsselt werden. Diese Funktionen stehen sowohl für XML als auch für CMS zur Verfügung. Bei der Windows Anmeldung kommt Kerberos (siehe Abschnitt 4) und somit CMS zum Einsatz. Damit sollte es möglich sein die notwendigen kryptographischen Berechnungen der Initial Authentikation mit Hilfe des Security-Layers durchzuführen. Bei der Integration dieses Ansatzes treten jedoch andere unbeantwortete Fragen auf. Beispielsweise müsste die Security-Layer Software als Windows Dienst implementiert werden der schon beim Logon zur Verfügung steht. Außerdem müsste man diesen Dienst in den Credential Provider integrieren, um den PIN Dialog entsprechend zu handhaben. Will man diesen Lösungsweg beschreiten, gilt es diese Fragen und Probleme zu klären. Insbesondere gilt es auch abzuklären, ob dieser Ansatz mit der bestehenden Implementierung der Security-Layer Software vereinbar ist. Andernfalls hätte man den Vorteil einer standardisierten Schnittstelle durch die Verwendung proprietärer Umsetzungen wieder zunichte gemacht. Direkter Kartenzugriff: Bei dieser Variante werden die Kartenkommandos direkt über PC/SC an die Smartcard geschickt. Dabei muss also für die e-card ein eigener Windows Treiber implementiert werden, der die kryptographischen Funktionen dem Credential Provider zur Verfügung stellt. Unter Windows Vista wurde das neue Konzept des Smart Card Minidrivers eingeführt, das diese Aufgabe vereinfachen soll.

4 4 Authentifizierungsprotokoll 4 Für beide der oben beschriebenen Varianten sieht Windows keine Funktionalität vor, die zu signierenden Daten während des Anmeldeprozesses anzuzeigen, wie dies beispielsweise bei qualifizierten Signaturen erforderlich wäre. Wo und wie man diese Funktion umsetzt und ob die Darstellung während des Logins überhaupt möglich ist, ist eine offene Frage und wird in diesem Dokument nicht näher analysiert. Die Integration der e-card am Arbeitsplatzrechner ist erst der erste Schritt für eine erfolgreiche Windowsanmeldung. Der nächste Abschnitt analysiert die Kommunikation mit dem Domänencontroller. 4 Authentifizierungsprotokoll Voraussetzung für ein Windowslogon mit Smartcard ist ein Authentifizierungsprotokoll, das asymmetrische Kryptographie unterstützt. Bei Windows wird dafür Kerberos v5 eingesetzt. Kerberos wurde ursprünglich vom MIT entwickelt und setzte in der ursprünglichen Form ausschließlich auf symmetrische Kryptographie. Seit 2005 pflegt die IETF Kerberos Arbeitsgruppe die Spezifikationen und mit [5] mit dem Titel Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) wurde auch die Grundlage für Smartcardlogon geschaffen. Als Stolperstein für die e-card Anmeldung erweist sich hier wiederum der verwendete Signaturalgorithmus. Kryptographie basierend auf elliptischen Kurven ist in PKINIT [5] nicht enthalten. Es existiert jedoch der, in der Standardisierung schon sehr weit fortgeschrittene (IETF Status per : Waiting for AD Go-Ahead), Draft ECC Support for PKINIT [4]. Das bedeutet, dass die Standardisierung von ECC für Kerberos noch nicht abgeschlossen ist, jedoch aktiv vorangetrieben wird. Daher ist derzeit nicht damit zu rechnen, dass bestehende Produkte schon diese Kerberos Erweiterung implementiert haben. 5 Domänencontroller Seit Windows 2000 ist das im vorhergegangenen Abschnitt beschriebene Kerberos Protokoll das primäre Authentifizierungsprotokoll für Domänenlogon. Kernstück dabei ist der Key Distribution Center (KDC) Dienst, der die Benutzerauthentifizierung steuert. Dabei greift dieser auf die im Active Directory gespeicherten Benutzerdaten zu. Bei der Anmeldung mit Chipkarten ist daher im Active Directory das jeweilige Zertifikat zu einem Benutzer einzutragen. Vor Windows Vista (bzw. Windows Server 2008) musste ein Zertifikat bestimmte Voraussetzungen erfüllen, um es für die Windowsanmeldung verwenden zu können. Beispielsweise mussten die folgenden proprietären Einträge vorhanden sein: Die Zertifikatserweiterung Extended Key Usage (EKU)) musste Smart Card Logon enthalten. Ein User Principal Name (UPN) musste im Subject Alternative Name enthalten sein. Das bei der e-card Aktivierung installierte Zertifikat, erfüllt diese sehr speziellen Eigenschaften nicht. Jedoch wurden in Windows Vista (Server 2008) diese Anforderungen aufgehoben. Über Gruppenrichtlinien ist es möglich diese starken Einschränkungen aufzuheben und somit sind die formalen Voraussetzungen des e-card Bürgerkartenzertifikates erfüllt. Wie schon in Abschnitt 1.1 beschrieben wurde, wird die von der e-card eingesetzte elliptische Kurve von Windows Vista nicht unterstützt. Das bedeutet die Zertifikate der e-card können von Vista nicht richtig verarbeitet und Signaturen nicht geprüft werden. Dadurch ist eine Windowsanmeldung mit e-card auch aus Sicht des Domänencontrollers derzeit nicht möglich. 6 Zusammenfassung Die e-card Bürgerkarte bietet zwar durch ihre Signaturfunktion die notwendigen Voraussetzungen für die Anmeldung an einer Windows Domäne, die verwendeten Algorithmen bzw. Parame-

5 6 Zusammenfassung 5 ter werden aber von Windows noch nicht unterstützt. In diesem Dokument wurden die wichtigen Komponenten für diese Aufgabe vorgestellt und untersucht ob bzw. wie eine Integration der e- card möglich ist. Dabei hat sich herausgestellt, dass am Arbeitsplatzrechner und am Domänencontroller die fehlende Unterstützung, für die von der e-card verwendete elliptische Kurve, ein K.O. Kriterium darstellt. Auch das Authentifikationsprotokoll Kerberos stellt, durch die noch nicht abgeschlossenen Standardisierung der ECC Integration, derzeit noch eine nicht überwindbare Hürde dar. Das bedeutet, dass derzeit die e-card nicht in das Windows Betriebssystem integriert ist und daher ein Logon nur mit Hilfe von speziell entwickelten Modulen möglich ist. Auf der anderen Seite ist damit zu rechnen, dass zukünftige e-card Generationen auf elliptische Kurven setzen die von Windows Vista unterstützt werden. Auch die Standardisierung von ECC für Kerberos sollte in absehbarer Zeit abgeschlossen sein und könnten damit im Windows Authentifikationsprotokoll implementiert werden. Damit wären die technischen Voraussetzungen für die Unterstützung der e-card durch das Windows Betriebssystem und somit für die Benutzeranmeldung an einer Domäne, geschaffen. Literatur [1] W. Bauer. Kryptosysteme basierend auf elliptischen kurven, einsatz und verbreitung in standardsoftware [2] A. Hollosi and G. Karlinger. Einführung in die österreichische bürgerkarte. introduction/introduction.html, [3] National Institute of Standards and Technology. FIPS PUB 186-2: Digital Signature Standard (DSS). National Institute for Standards and Technology, Gaithersburg, MD, USA, Jan [4] L. Zhu, K. Jaganathan, and K. Lauter. ECC Support for PKINIT. Internet-Draft, [5] L. Zhu and B. Tung. Public Key Cryptography for Initial Authentication in Kerberos (PKINIT). RFC 4556 (Proposed Standard), June 2006.