Informatika | Informatikai biztonság » Intelligens kártyák a Microsoft Windows-ban

Biztonság intelligens kártyák Intelligens kártyák a Microsoft Windows-ban A Windows 2000, a legújabb Microsoft Windows operációs rendszer már támogatja az intelligens kártyák (Smart Card) használatát, ráadásul ez az egyik legmegfelelôbb és leghatékonyabb számítógépes felület az intelligens kártyával kapcsolatos fejlesztésekre. Az intelligens kártya kezeléséhez szükséges alapvetô követelményeket beépítették a PC98 és a NetPC szabványokba és természetesen szerepelni fognak a Microsoft Windows ezután kiadásra kerülô verzióiban is. A Microsoft kiadta a Windows NT 4.0, Windows 95, és Windows 98 alatt megvalósított PC/SC 10 (Personal Computer/Smart Card) szolgáltatás részletes leírását. Az intelligens kártyákat a jövôben megjelenô Microsoft Windows termékek alapverziói is támogatni fogják. Ahogy az elektronikus kommunikáció egyre inkább kiszorítja a papírmunkát és a személyes kapcsolattartást, úgy lesz egyre nagyobb

az igény a biztonságra, a fokozott adatvédelemre. Egyre többen alkalmazzák a nyílt kulcsú rendszereket; ennek fô oka az Internet globalizálódása, a vállalati hálózatok rohamos növekedése, amit a cég vásárlói és beszállítói akár az internetes tûzfalakon túlról is elérhetnek. Néhány példa, amit a nyílt kulcsú technológia lehetôvé tesz: nyilvános hálózaton keresztüli biztonságos kommunikáció (virtuális magánhálózatok), digitális aláírás az adat megváltoztathatatlanságának és titkosságának biztosítására, és a felhasználó kiszolgáló felé történô azonosítása (és viszont). Az intelligens kártya elônyei A Microsoft jelenleg az intelligens kártya alapú szolgáltatások Windows alatti megvalósításán dolgozik. A szolgáltatás alapja a nyílt kulcsú titkosítás. Az intelligens kártya csak szoftveres megoldásokat támogat: a legfontosabb cél az ügyfél-azonosítás, a bejelentkezés és levelezés

biztonságának megoldása. Alap- „Egyre többen alkalmazzák a nyílt kulcsú rendszereket; ennek fô oka az Internet globalizálódása, a vállalati hálózatok rohamos növekedése, amit a cég vásárlói és beszállítói akár az internetes tûzfalakon túlról is elérhetnek.“ jában véve az intelligens kártya a nyílt és saját kulcsú rendszerek összefonódásának közös pontját képezi. Jellemzôi: Ü A saját kulcsok és más személyes információk tárolásának módja biztosítja a hamisíthatatlanságot. Ü Mindkét rendszer elkülöníti a biztonságra érzékeny folyamatokat. A személyazonosítás, a digitális aláírás- és kulcscsere olyan mûveletek, melyeknek a rendszer többi területe számára láthatatlanul kell lezajlaniuk. Ü Mindkét rendszer lehetôvé teszi a bizalmas információk és a személyazonosítás eszközének biztonságos továbbítását. Az intelligens kártya szerves része lesz a Windows kezelôi felületének, hiszen

szolgáltatásai olyan forradalmi változást jelentenek a számítástechnikában, mint amilyen például az egér vagy a CD megjelenése volt. 21 Együttmûködés Az alkalmazások, kártyák és olvasók inkompatibilitásának elkerülése miatt szükségessé vált az intelligens kártya Európán kívüli terjesztése is. Fontos, hogy a különbözô kereskedôk termékei kompatibilisek legyenek egymással, hiszen ez feltétel a vásárlók nagy rétegének megnyeréséhez, és ahhoz, hogy a cégek sikeresen bevezethessék az intelligens kártyákat. ISO 7816, EMV, és GSM Az intelligens kártyák és olvasók együttmûködését elôsegítendô a Nemzetközi Szabványszervezet (International Standards Organization, ISO) kifejlesztette az ISO 7816 számú szabványt integrált áramkörrel rendelkezô kártyák számára. Ezek az elôírások a fizikai, elektronikai és adatkapcsolati szinten történô együttmûködést határozzák meg. 1996-ban az Europay, a MasterCard és

a VISA (EMV) létrehozott egy iparág-specifikus leírást, amely alapvetôen az ISO 7816-os szabványon alapult, és további, a bankszakmára jellemzô adattípusokat és kódolásokat tartalmazott. Az ISO 7816-os szabványt a GSM szolgáltatáson belüli ügyfél-azonosítás területén az európai telekommunikációs iparág is magáévá tette. Ezek a szabványok (ISO 7816, EMV, GSM) külön-külön túl alkalmazásorientáltak voltak, ezért egyik sem kapott kiterjedt piaci támogatást. Egyik szabvány sem szolgált teljes egészében az eszközfüggetlen kezelôi felületek, fejlesztôi eszközök, és erôforrások megosztásának kialakításához. PC/SC Munkacsoport 1996 májusában vezetô számítógépes és intelligens kártyát fejlesztô cégek létrehozták a PC/SC (Personal Computer/Smart Card) munkacsoportot. A részt vevô cégek, a Bull, a Hewlett-Packard, a Microsoft, a Schlumberger és a Siemens Nixdorf olyan szabvány megalkotását tûzte ki célul, amely

megoldja az inkompatibilitási problémákat. 1997 decemberében a csoport kiadta a szabvány elsô változatát, amely a www.smartcardsyscom címen megtekinthetô A PC/SC leírás alapja az ISO 7816-os szabvány volt, az mégis kompatibilis mind az EMV, mind a GSM szabvánnyal. A leírások mögött széles ipari támogatás áll, és erôs az igény arra, hogy a jövôben az irányzatok egymástól teljesen független szabványokká váljanak. Az alapítás és az elsô megjelenés után a csoporthoz csatlakozott a Gemplus, az IBM, a Sun Microsystems, a Toshiba és a Verifone. A Microsoft fejlesztései A Microsoft az alábbi fejlesztési területeken vesz részt: Ü Szabványos modell kialakítása a kártya és leolvasó összekötéséhez. Ü Eszközfüggetlen felület létrehozása az intelligens kártyát kezelô alkalmazásokhoz. Ü A szoftverfejlesztéshez szükséges, megszokott programozói eszközök létrehozása. Ü Minden Windows felülettel való együttmûködés

megteremtése. A különbözô gyártók által készített kártyák és leolvasók kompatibilitását szabványos modell kialakításával érhetjük el. Az eszközfüggetlen programozói felületek elkülönítik a mostani és a jövôbeli fejlesztéseket. Az eszközfüggetlenség csökkenti a szoftverfejlesztés költségeit, és segítségével elkerülhetô a szoftverek hardverváltozások miatti elavulása. A Microsoft Magyarország szakmagazinja / 2000. 09 Biztonság / intelligens kártyák Szoftverfejlesztés A Smart Card SDK szoftverfejlesztôi csomagot a Microsoft Platform SDK részeként beépítették a Windows alapszolgáltatásai közé. A Platform SDK tehát most már azokat az eszközöket és programozói felületeket is tartalmazza, amelyek intelligens kártyát használó alkalmazások fejlesztéséhez szükségesek. A Platform SDK letölthetô a Microsoft Developer Network (MSDN) weblapjáról, a http://msdn.microsoftcom/developer/sdk címrôl A fejlesztôk

részére külön levelezôlista áll rendelkezésre, melynek címe SmartCardSDK@discuss.microsoftcom A csatlakozásról további információ a http://www.microsoftcom/smartcard/ címen található API-k (programozói felületek) A fejlesztô az intelligens kártya szolgáltatásait háromféle módon érheti el, ezek a CryptoAPI, a Microsoft Win32 API, és a SCard COM. Az elérési mód megválasztása a konkrét kártya adottságaitól és alkalmazástípusaitól függ. A CryptoAPI A Windows biztonsági, titkosítási szolgáltatásai a CryptoAPI programozói felületének segítségével érhetôk el. A feladatok megoldásához a CryptoAPI különféle Cryptographic Service Provider-eket (CSP) használ. A programozói felület használatához egy külön fejlesztôi csomag szükséges, mely a http://www.microsoftcom/security/ címen keresztül, a „Technologies“ címszó alatt érhetô el. A CSP letöltését a (nemrég megszûnt) titkosítási technológiák Egyesült

Államokból való kivitelét tiltó törvény korlátozta. A CryptoAPI használatának számos elônye van – a fejlesztô Windows fejlesztôi környezetben, a konkrét titkosítási algoritmusok ismerete nélkül titkosíthatja adatait. Egy megfelelôen felprogramozott intelligens kártya például a nyílt- és szimmetrikus kulcsú mûveletekhez egy, már meglévô CSP-t használ (például a Microsoft Base Provider-t), de a titkos kulcsú mûveletek elvégzésére már magán a kártyán kerül sor. Az SCard COM objektummodell Az SCARD olyan Component Object Model (COM) felület, amely lehetôvé teszi a különbözô nyelveken (C, Microsoft Visual C++, Java, vagy Microsoft Visual Basic) megírt kártyás szolgáltatásokhoz való hozzáférést. Az SCard COM segítségével széleskörû, Windows alkalmazásokból elérhetô programozói felületek készíthetôk, így a kártya szolgáltatásai hagyományos fejlesztôi környezetekbôl (Visual C++ és Visual Basic) is

elérhetôk. A fejlesztônek a kártya konkrét mûködését nem kell ismernie ahhoz, hogy a COM-on keresztül annak szolgáltatásait elérje. A fejlesztés folyamata így felgyorsul, ezáltal további kiadások és idô takarítható meg. További elôny, hogy az így fejlesztett alkalmazás a kártyák felépítésének folyamatos változásai hatására nem, vagy csak lassan avul el. Win32 A Win32 programozói felület segítségével a kártya alacsony szinten, közvetlenül elérhetô, ehhez azonban behatóan ismerni kell az operációs rendszer és az intelligens kártya felépítését és 2000. 09 / mûködését. A Win32 a legjobb eszköz leolvasók, kártyák és más eszközök vezérlésére. A Win32 API segítségével tehát az intelligens kártya közvetlenül kezelhetô Smart Card Base Components A Microsoft kiadta a Smart Card Base Components 1.0 program Windows 95-ös és Windows NT 4.0-ás verzióját mely a http://www.microsoftcom/smartcard/ címrôl tölthetô

le A program külön telepíthetô részként megtalálható a Windows 98 telepítô CD-jén, és azt a Windows 2000 is tartalmazza. Szolgáltatók (Service Providers) Az intelligens kártya szolgáltatásainak eléréséhez minden kártyának kell hogy legyen legalább egy Windows alapú szolgáltatója. A kártyától és kibocsátójától függôen létezhet olyan kártya, amelynek több szolgáltatója is van. Általánosságban véve a szolgáltatóknak két nagy csoportjuk van: a titkosítók és a nem titkosítók A titkosítási megoldások exportját korlátozó kormányrendeletek miatt ez a megkülönböztetés kulcsfontosságú volt. „A Smart Card SDK szoftverfejlesztôi csomagot a Microsoft Platform SDK részeként beépítették a Windows alapszolgáltatásai közé.“ Titkosító szolgáltatók (CSP-k) A CSP-k lehetnek csak szoftverek, mint például a Windows felületek mostani szabványa, a Microsoft Base Provider CSP, vagy lehetnek hardveres és részei, mint

például egy számítógéphez csatlakoztatott kártyatitkosító eszköz. A titkosító szolgáltatók (CSP) és az intelligens kártya házasságából született az Intelligens Kártya Titkosító Szolgáltató (Smart Card Cryptographic Provider, SCCP). Az SCCP-k és a CSP-k a véletlenszám-generálást, kulcsgenerálást, digitális aláírást, kulcscseréket a CryptAPI-n keresztül végzik Intelligens Kártya Szolgáltatók Az Intelligens Kártya Szolgáltatók (Smart Card Service Providers, SCSP) felhasználói felületeken keresztül kínálják az intelligens kártya nem titkosító jellegû szolgáltatásait. Az intelligens kártya kezelôi felülete az elôre meghatározott szolgáltatásokból, a szolgáltatások lehívásához szükséges eljárásokból, és a szolgáltatások közötti összefüggésekbôl áll. Ez hasonló az ISO 7816-5 Alkalmazás Azonosító szabványhoz, de alkalmazási területében eltér attól. A kártya a felülethez egy globális

azonosítóra (globally unique identifier, GUID) hivatkozva kapcsolódik. Ez a kapcsolat akkor jön létre, amikor a kártya elôször kerül kapcsolatba a rendszerrel – általában akkor, amikor az SCSP telepítésre kerül. A kártya ismeretében a kártya keresése már meghatározott felület vagy GUID alapján történhet. Ezután Windows alkalmazások segítségével, a megfelelô felületek kialakítása után akár bankkártyamûveleteket is végezhetünk A Smart Card Base Components 1.0 részeként a Microsoft több, általános mûveletek elvégzéséhez használható szolgáltatót bocsátott ki. Ezek a mûveletek a kártya telepítése, parancskiadás és válaszkezelés (Application Protocol Data Unit, APDU), és a kártya fájlrendszeréhez való hozzáférés. Annak érdekében, A Microsoft Magyarország szakmagazinja 22 Biztonság / intelligens kártyák hogy a fejlesztôk további, magasabb szintû szolgáltatókat és alkalmazásokat hozhassanak létre, ezek

a szolgáltatók COM objektumként érhetôk el. Kártyák Intelligens kártyáknak adathordozó, kapcsolat nélküli, integrált áramkörökkel ellátott (ICC) kártyákat nevezünk. Ezek a kártyák nagyban különböznek mind egymástól, mind a már jól megszokott, mágnescsíkkal ellátott hitelkártyáktól. A számítógépipar szempontjából legérdekesebb kártyatípus az ICC, hiszen ez a típus támogatja a kulcscserét és a digitális aláírást. Ahhoz, hogy a kártyát a PC/SC 1.0 Windows implementációja kezelni tudja, a kártyának meg kell felelnie az ISO 7816-1, az ISO 7816-2 és az ISO 7816-3 szabványoknak. Elsô lépésként azt szeretnénk elérni, hogy a Windows felismerje kártyánkat, ehhez a kártyához adott telepítôprogramot használjuk, mivel az intelligens kártyához nincs Plug and Play támogatás. Az Answer-to-Reset karakterláncban az azonos típuson belüli kártyákat megkülönböztetô azonosítók találhatók; az azonosító

létrehozására azonban nincsen szabvány. A kártyatelepítô szoftver általában egy szolgáltatót telepít, ami az Erôforráskezelôvel intézi a felületek regisztrálását. Az Erôforráskezelô ezután összekapcsolja a kártyát a bejegyzett felülettel, ezzel lehetôvé teszi a kártyamûveletekhez való hozzáférést. A kártya összeköthetô egy másik, már meglévô szolgáltató által felkínált felülettel is Az Erôforráskezelô Az Erôforráskezelô minden futó folyamatban részt vesz. Minden kártyahozzáférési igényt az Erôforráskezelô továbbít a leolvasó felé. Ebbôl következik, hogy az Erôforráskezelô felelôs minden alkalmazás minden kártyamûveletéért. Az Erôforráskezelô virtuális kapcsolatot teremt az alkalmazás és a kártya között. Ha több olvasóhoz és kártyához érkezik hozzáférési igény, az Erôforráskezelô a feladatot három részre osztja. Elôször beazonosítja az erôforrásokat, majd második lépésben

kiosztja az erôforrások feladatait Harmadik lépésben segíti a megjelölt kártyán végrehajtható mûveletekhez szükséges átvitelt. Ez a lépés nagyon fontos, hiszen a mai kártyáknál gyakran egy mûvelet elvégzéséhez több átvitel is szükséges. Az átvitel irányítása lehetôvé teszi több parancs megszakítás nélküli kiadását, az Erôforráskezelô így biztosítja, hogy az átvitt információ ne sérüljön meg. Eszközkezelôk Egy olvasó eszközkezelôinek feladata a Windows szolgáltatásainak, magának az olvasónak illetve a kártya függôségeinek feltérképezése. Az olvasó eszközkezelôje a kártya betételekor és kivételekor az Erôforráskezelôvel kommunikál, valamint az Eszközkezelô biztosítja az adatátvitelt. A Smart Card Base Components 1.0 általános kezelôi könyvtára jelentôsen megkönnyíti az eszközkezelôk fejlesztését. Ez a megosztott könyvtár támogatja az ISO 7816-os szabványt, és azokat az általános

rendszerfunkciókat, amelyek a kártya és olvasó közti adatátvitelhez szükségesek. A régi eszközkezelôi fejlesztésekhez képest ez nagy elôrelépés, hiszen már léteznek hagyományos felületek, amelyre a fejlesztôk támaszkodhatnak. 23 Ezek a felületek lehetôvé teszik az eszközkezelôk megszokott módon történô fejlesztését. A felületek az összes Windows-os alkalmazáshoz való hozzáférést is támogatják, ellentétben azzal a kevés alkalmazással, amelyek tudják, hogy az adott olvasóval hogyan lehet kommunikálni. Eszközkezelô csomagok Az eszközkezelô típusa (például .vxd vagy sys) attól függ, hogy milyen Windows környezetet használunk. Minden Windows rendszerhez létezik külön intelligens kártya DDK Bár a csomag CD-ROM formájában az MSDN-ben megtalálható, a program az Interneten nem hozzáférhetô. A termékkel kapcsolatos további információkért keresse fel a http://www.microsoftcom/developer címet Az RS-232-höz, a PS/2-höz

és a PC Card olvasókhoz tartozó eszközkezelô modell a Windows felület- és busztípusoktól függôen változik. A Windows 2000 megjelenésével az USB és IEEE 1934 eszközök kezelôjének modellje egységes lesz. Ez a modell a Windows Driver Model (WDM). A WDM-rôl több információt a következô címen találhat: http://www.microsoftcom/hwdev/pcfuture/wdmhtm Olvasók A kártyaolvasók a szabványos perifériafelületekre (RS-232, PS/2, PCMCIA, Universal Serial Bus) kapcsolódnak. Az olvasók kezelési szempontból olyanok, mint bármely szabványos Windows-os eszköz, tartalmaznak biztonsági leírót és Plug and Play azonosítót. Szabványos Windows eszközkezelôk irányítják ôket, telepítésüket és rendszerbôl való kivételüket a szabványos Hardver Varázsló irányítja. Windows-kompatibilitást vizsgáló program Az olvasóknak meg kell felelniük mind a PC97-es és a PC98-es hardver-elôírásoknak, mind a Microsoft-féle PC/SC Workgroup 1.0

elôírásainak is A kártyaolvasók kompatibilitásának ellenôrzésére a Windows Hardverminôségi Laboratóriuma (Windows Hardware Quality Lab, WHQL) kibocsátott egy Windows-kompatibilitást vizsgáló programot. A kártyaolvasók tesztcsomagja letölthetô a WHQL honlapjáról, a http://www.microsoftcom/hwtest/ címrôl A kompatibilitás ellenôrzéséhez a csomag több tesztkártyát is tartalmaz. A „Windows-kompatíbilis“ embléma elnyerésének további feltétele az is, hogy az olvasó megfeleljen a Windows Plug and Play és energiagazdálkodási elôírásainak. Továbbfejlesztett megoldások A szoftveres megoldások, mint az ügyfél-azonosítás és a biztonságos üzenetküldés továbbfejlesztése lehetôvé teszi, hogy az intelligens kártya felhasználásával a piacon új, hatékony alkalmazások jelenjenek meg. Az intelligens kártya megjelenésével a fejlesztôk biztonságos módszert kapnak ahhoz, hogy a vállalkozások és a fogyasztók számára fejlettebb

programokat hozzanak létre. Ügyfélazonosítás Az ügyfélazonosítás a kiszolgáló és az ügyfél közötti biztonságos adatkapcsolat kialakításának fontos pontja. A biztonsági protokollok, mint például a Secure Sockets Layer (SSL), vagy a A Microsoft Magyarország szakmagazinja / 2000. 09 Biztonság / intelligens kártyák Transport Layer Security (TLS) tipikusan olyan eszközök, amiket együtt használnak egy ügyfélazonosító program által nyújtott nyílt kulcsú szolgáltatással. Az ügyfélprogram lehet például egy Windows alatt futó Internet Explorer, a kiszolgáló pedig egy Internet Information Server (vagy bármely más, SSL/TLS-t támogató Web kiszolgáló). A biztonságos kapcsolat megteremtése kulcscserés nyílt kulcsú módszerrel történik; az tozó másik kulcs használható-e. A nyílt kulcspár sikeres vizsgálata után az azonosító referenciaként szolgál az Active Directory-ban tárolt felhasználói objektumhoz. Ezután a

felhasználó egy speciális bizonylatot (Ticket-Granting Ticket, TGT) kap vissza. A Kerberos 5 Windows-os változata már tartalmazza az IETF RFC-1510 szabványnyal kompatíbilis nyílt kulcsú bejelentkezés lehetôségét. „A felhasználó jelszó helyett a PIN kódjának begépelésével jelentkezik be. A felhasználó nyílt kulcsa a kártyáról biztonságos úton kerül be a gépbe, és biztonságos módon kerül kiértékelésre.“ Secure E-mail (Biztonságos E-mail) A Secure e-mail az egyik legfontosabb nyílt kulcsú alkalmazás, mivel a program lehetôvé teszi a biztonságos adatcserét és garantálja az adatok sértetlenségét. Ha a felhasználó üzeneteit szeretné titkosítani, vagy digitális aláírással ellátni, a Microsoft Outlook Express vagy Outlook 98 segítségével választhat a nyílt kulcsú megoldások közül. Ha a kulcs hozzáférhetô, a felhasználónak a cég minden dolgozója, vagy az Internetrôl bárki küldhet titkosított üzenetet Az

intelligens kártya egy fokkal nagyobb biztonságot nyújt, hiszen a kulcs a kártyán található, és a kártya PIN-kóddal van védve. Ha valaki illetéktelenül szeretne digitális aláírással ellátott, kódolt e-mailt küldeni, ahhoz birtokolnia kell az illetô kártyáját, és ismernie kell a PIN-kódot. A PIN-kódot egyszer talán majd a felhasználó ujjlenyomata váltja fel, ezzel is csökkentve a lehetséges visszaélések esélyét. ekkor kapott egyedi kulcs biztosítja a kapcsolat alatt az adatok biztonságát. További jogokat egyéni, vagy csoportos bejelentkezésekhez rendelt privilégiumszintekkel adhatunk Az intelligens kártya úgy óvja meg a nyílt kulcsú rendszer biztonságát, hogy a titkos kulcs részére megbízható helyet biztosít, és a kulcscseréket, illetve a digitális aláírásokat titkosító rendszerként kezeli. A fentiek használatához útmutatót a http://www.microsoftcom/security címen, a Resources címszó alatt találhatnak Nyílt

kulcsú, interaktív bejelentkezés A Windows 2000 nyílt kulcsú interaktív bejelentkezési rendszerénél az X.509 version 3 formátumú azonosító és a nyílt kulcs az intelligens kártyán található. A felhasználó jelszó helyett a PIN kódjának begépelésével jelentkezik be. A felhasználó nyílt kulcsa a kártyáról biztonságos úton kerül be a gépbe, és kerül kiértékelésre. Az azonosítási folyamat alatt a rendszer megvizsgálja, hogy a nyílt kulcs érvényes-e, és hogy a hozzá tar- 2000. 09 / A Microsoft Magyarország szakmagazinja E témáról további érdekességeket „Bill Gates mondja“ címû rovatunkban olvashat. 24