Smartcards unter Linux



Ähnliche Dokumente
etoken unter Linux Frank Hofmann 16. April 2009 Berlin Frank Hofmann (Berlin) etoken unter Linux 16. April / 18

Jan Mönnich

etoken unter Linux 13. Dezember 2010 etoken unter Linux Dominik Russenberger

RIZIV INAMI - LIKIV. eid-anleitung für PC

Einrichten eines SSH - Server

msm net ingenieurbüro meissner kompetent - kreativ - innovativ

Die Software "Cherry SmartDevice Setup" unterstützt das Lesen und Schreiben von Chipkarten für folgende Cherry Produkte:

Die neue RA-Oberfläche der DFN-PKI. Jan Mönnich

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.5 Berlin, März Copyright 2015, Bundesdruckerei GmbH

OpenVPN unter Ubuntu Stand: 13. Januar 2015

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.8 Berlin, Januar Copyright 2016, Bundesdruckerei GmbH

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.0 Berlin, November Copyright 2013, Bundesdruckerei GmbH

ELOoffice. Netzwerkinstallation. Software für Dokumentenmanagement und Archivierung. September ELO Digital Office GmbH.

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7

CCC Bremen R.M.Albrecht

Stand: Rev. 1.3 SLS, S. Srugies

a.sign Client Lotus Notes Konfiguration

Einrichtung eines Zugangs mit einer HBCI-Chipkarte bei der Commerzbank

GIFONET-VPN unter Windows XP, Windows Vista, Windows 7 und Windows 8

Updatehinweise für die Version forma 5.5.5

Zugang zum WLAN eduroam mit Windows Phone 8.1 Geräten

USB-Tokens. Technik und Einsatzgebiete

Anwenderdokumentation PersoSim

KURZANLEITUNG DUPLICITY MIT CLOUD OBJECT STORAGE

Datenspuren im Internet vermeiden

Zwei-Faktor-Authentisierung. Alles unter Kontrolle mit Open Source

eduroam mit SecureW2 unter Windows 7 Stand: 27. Januar 2015

PeDaS Personal Data Safe. - Bedienungsanleitung -

Anleitung zum erstellen einer PDF-Datei aus Microsoft Word

F-Secure Mobile Security for Nokia E51, E71 und E75. 1 Installation und Aktivierung F-Secure Client 5.1

MultiCash* Ersteinrichtung Arbeitsplatz

Merkblatt zur Veröffentlichung der Dissertation auf dem Server der Universitätsbibliothek Bern (UB)

Checkliste Installation. Novaline Bautec.One

Installation des Zertifikats

Befundempfang mit GPG4Win

Bild 1. Seite 1 von 12

FrogSure Installation und Konfiguration

Senden von strukturierten Berichten über das SFTP Häufig gestellte Fragen

ORGA 6000 in Terminalserver Umgebung

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Outlook 2013 Ablauf des Einrichtens in Outlook, um s zu signieren und/ oder verschlüsseln zu können

USB 2.0 Ultimate Card Reader

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

Installationsanleitung Home & Office-Banking Plattform

Rechneranmeldung mit Smartcard oder USB-Token

DEPARTEMENT FINANZEN UND RESSOURCEN. 2. Juli 2014 ANLEITUNG. Zertifikate erneuern. 1. Ausgangslage

Diese Kurzanleitung beschreibt die nötigen Einstellungen, um mit pixafe Transfer Bilder auf einem Facebook Konto veröffentlichen zu können.

Installation DV4mini ausgehend von einem frisch installierten System:

Handbuch zur Installation der Software für die Bürgerkarte

Anleitung zum Prüfen von WebDAV

BusinessMail X.400 Webinterface Gruppenadministrator V2.6

1.Thunderbird Installation

Da es sich in meinem Fall um einen USB-Scanner handelt, sollte dieser mittels

Wireless & Management

STORK. Secure IdenTity AcrOss BoRders LinKed. Bernd Zwattendorfer Wien,

Kopfzeile. Inhaltsverzeichnis

Installation SAP-GUI-PATCH unter Windows Vista

Verschlüsselung des -Verkehrs mit GnuPG

Installation des edu- sharing Plug- Ins für Moodle

SJ OFFICE - Update 3.0

HTW-Aalen. OpenVPN - Anleitung. Eine Installations- und Nutzungsanleitung zu OpenVPN

eduroam mit persönlichem Zertifikat unter Windows 7 und Vista

Thunderbird Portable + GPG/Enigmail

Anleitung zur Nutzung von OpenSSL in der DFN-PKI

Programmiertechnik II

Hinweise zur Inbetriebnahme der FMH-HPC auf Windows 7. Version 4,

Checkliste für administrative Arbeiten - Installation

HTBVIEWER INBETRIEBNAHME

Handbuch zur Installation der Software für die Bürgerkarte

OP-LOG

Sichere Identifizierung als Zugang zum Dienst der elektronischen Rechnungsstellung an öffentliche Körperschaften

etoken unter Mac OS X Seminar Betriebsadministration Stefan Wehrmeyer

Task: Nmap Skripte ausführen

HYPERCOM MEDHYBRID EINRICHTUNG UNTER CHREMASOFT

LAN-WLAN-Bridge unter Linux

Der Product Activation Manager (PAM) dient dazu Software-Lizenzen anzuzeigen, zu verwalten und abzurufen.

Inhaltsverzeichnis. Handbuch zur Installation der Software für die Bürgerkarte

BS-Anzeigen 3. Handbuch für das Zusatzmodul modazs Import von Anzeigen aus der Anzeigenschleuder

Inhaltsverzeichnis. 1. Einrichtung in Mozilla Thunderbird. 1.1 Installation von Mozilla Thunderbird

-Konten für Studierende und Zugriffswege auf die Mail-Systeme der Hochschule Rhein-Waal

FTP-Leitfaden Inhouse. Benutzerleitfaden

Tutorial -

quickterm Systemvoraussetzungen Version: 1.0

Aufrufen des Konfigurators über eine ISDN- Verbindung zur T-Eumex 628. Eine neue ISDN-Verbindung unter Windows XP einrichten

Installationsleitfaden für Secure Private Network für Linux ClearPath- Netzwerke

-Verschlüsselung

Revit Modelle in der Cloud: Autodesk 360 Mobile

egk/kvk/hba - Kartenleser

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D7:

Clientkonfiguration für Hosted Exchange 2010

Proxyeinstellungen für Agenda-Anwendungen

Installationsanleitung für Enigmail(Thunderbird) und Gpg4win(Outlook):

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Daten-Synchronisation zwischen Mozilla Thunderbird (Lightning) / Mozilla Sunbird und dem ZDV Webmailer

Installationsanleitung CLX.NetBanking

GnuPG für Mail Mac OS X 10.4 und 10.5

Konfigurationsanleitung Fax over IP (T.38) und CAPI Fax Server (T.30) Graphical User Interface (GUI) Seite - 1 -

Quicken Anleitung zum Rechnerwechsel

Transkript:

Smartcards unter Linux Seminar Betriebssystemdienste und Administration Michael Grünewald Hasso-Plattner-Institut 18. Juni 2008 Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 1 / 17

Agenda 1 Grundlagen 2 Praxis 3 Demo 4 Zusammenfassung Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 2 / 17

Chipkarten Grundlagen ISO 7810 Physische Eigenschaften von Identitätskarten (ID-1, ID-2, ID-3, ID-000) Magnet-, Chip- und RFID-Karten ISO 7816 Part 2: Position von Magnetstreifen, Kontakten und Prägungen Part 3: Elektronische Parameter (u.a. ATR) Part 4: Dateiorganisation Part 10: Speicherkarten Part 12: USB Karten Part 15: Signaturkarten Verzeichnis- und Dateistruktur, Signaturen Basis ist PKCS#15 Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 3 / 17

Kartenleser Grundlagen günstig erhältlich, für viele Schnittstellen Seriell, USB, PC Card, ExpressCard,... Sicherheitsklassen 1 keine Sicherheitsmerkmale, nur Kontaktiereinheit 2 zusätzlich Tastatur zur PIN-Eingabe 3 zusätzlich Anzeige und Logik 4 zusätzlich zweiter Kartensteckplatz für Sicherheitsmodul (SAM) viele Anwendungsgebiete Banking Geldkarte Krankenversicherungskarte SIM-Karten für Mobilfunk Authentifizierung am PC und im Netzwerk Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 4 / 17

Grundlagen Treiberarchitektur PAM Modul (pam pkcs11) Anwendungen (Firefox, Thunderbird,...) PKCS#11 Modul (opensc pkcs11) Smartcard Framework (opensc) CT API PC/SC OpenCT Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 5 / 17

Grundlagen pam pkcs11 PAM-Modul für viele Linuxanwendungen benötigt beliebiges PKCS#11-Modul Validierung von Öffentlichem Schlüssel CA (Certificate Authority) CRLs (Certificate Revocation Lists) Zuordnung von Zertifikaten zu Benutzern mittels Mappern optional: Verwendung von mapfiles Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 6 / 17

Grundlagen pam pkcs11: Mapper Common Name Michael Gruenewald Subject /DC=de/DC=uni-potsdam/DC=hpi/OU=INSTITUT/OU=Studenten /OU=Bachelor/OU=2006/CN=Michael Gruenewald /emailaddress=michael.gruenewald@student.hpi.uni-potsdam.de E-Mail-Adresse michael.gruenewald@student.hpi.uni-potsdam.de OpenSSH Schlüssel Schlüsseldatei in ~/.ssh/authorized_keys In Arbeit: LDAP Bestimmtes Attribut im LDAP-Verzeichnis Verwenden der Zertifikatsfelder in LDAP-Abfragen In Arbeit: Kerberos/PKINIT Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 7 / 17

Praxis Praxis Installation von OpenSC Vorbereiten der Karte Einrichten des PAM Andere Programme z.b. Mozilla Firefox Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 8 / 17

Praxis Installation von OpenSC Installation von OpenCT sudo apt-get install openct Zugriff auf Reader für alle Benutzer freigeben sudo chown root:root /var/run/openct sudo chmod 755 /var/run/openct Reader eintragen in OpenCT-Konfiguration sudo nano /etc/openct.conf Installation von OpenSC und des PC/SC Daemon sudo apt-get install opensc pcscd Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 9 / 17

Vorbereiten der Karte Praxis Initialisieren der Karte pkcs15-init -EC -p pkcs15+onepin Karteninhalt festlegen: Erzeugen eines Schlüsselpaares auf der Karte pkcs15-init -G rsa/1024 Privates Zertifikat oder Schlüssel auf Karte ablegen pkcs15-init -S <datei> Öffentliches Zertifikat auf Karte ablegen pkcs15-init -X <datei> Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 10 / 17

Praxis Einrichten des PAM Herunterladen, Kompilieren und Installieren von pam_pkcs11 CA- und CRL-Dateien bzw. -Ordner anlegen z.b. /etc/pam_pkcs11/ca und /etc/pam_pkcs11/crl Mappingdatei anlegen z.b. /etc/pam_pkcs11/subject_mapping Konfiguration /etc/pam_pkcs11/pam_pkcs11.conf editieren Verwendung einrichten z.b. Eintragen in /etc/pam.d/gdm oder /etc/pam.d/login Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 11 / 17

Andere Programme Praxis einige Anwendungen können PKCS#11-Module nutzen native Unterstützung: Netscape/Mozilla (Firefox, Thunderbird, Seamonkey, Sunbird) OpenVPN Client strongswan IPSec Client Unterstützung durch Erweiterungen oder Patches: GnuPG OpenSSH OpenSSL Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 12 / 17

Praxis Andere Programme: Firefox Laden des Moduls über die Programmeinstellungen Optional: Aktivieren der Einzelabfrage Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 13 / 17

Demo Demo Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 14 / 17

Zusammenfassung Fazit aber: sicherere Authentifizierung als per Passwort sichere Hinterlegung von privaten Schlüsseln erhöhte Sicherheit durch Überprüfung von CA und CRLs Verwendung für HTTP-Authentifizierung und E-Mail-Signaturen/-Verschlüsselung PAM-Modul nicht zu allen Anwendungen kompatibel keine Untersützung für Kerberos/PKINIT Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 15 / 17

Zusammenfassung Referenzen Compiling and Installing OpenSC http://www.opensc-project.org/opensc/wiki/compilinginstalling Quick Start with OpenSC http://www.opensc-project.org/opensc/wiki/quickstart OpenSC Security Configuration http://www.opensc-project.org/opensc/wiki/securesetup PAM-PKCS11 User Manual http://www.opensc-project.org/doc/pam_pkcs11/pam_pkcs11.html HU Berlin: Smartcard Based Authentication http://sarwiki.informatik.hu-berlin.de/smartcard_based_authentication Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 16 / 17

Impressum Zusammenfassung Michael Grünewald michael.gruenewald@student.hpi.uni-potsdam.de Dieses Werk ist unter einem Creative Commons Namensnennung-Keine kommerzielle Nutzung-Keine Bearbeitung 2.0 Deutschland Lizenzvertrag lizenziert. Um die Lizenz anzusehen, gehen Sie bitte zu http://creativecommons.org/licenses/by-nc-nd/2.0/de/ oder schicken Sie einen Brief an Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA. Michael Grünewald (HPI) Smartcards unter Linux 18. Juni 2008 17 / 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback