FAQ TCOS Smartcard

• Sicheres Netz
  • Für welche Einsatz-Szenarien ist NetKey / IDKey geeignet?
    • E-Mail-Verschlüsselung
    • E-Mail-Signatur
    • Offline-Verschlüsselung von Daten (Files)
    • Festplattenverschlüsselung
    • Online-Authentifikation an Web-Servern, Zutrittsanlagen, Gleitzeit-Terminals
    • Online-Authentifikation an Web-Servern, z.B. mit Einmalpasswörtern
    • Bezahlsysteme geschlossener Benutzergruppen
    • Anmeldung an Computern (z.B. WinLogon)
    • Diese Liste ist beispielhaft und nicht vollständig
     
• Sicherheit und Qualität von NetKey
  • Wie erhalte ich eigentlich eine Identität?

    Im ersten Schritt wird eine Identität definiert. Am Beispiel einer Person ist schnell zu erkennen, dass diese nach der Geburt im Familienkontext über Mutter und Vater identifiziert wird. Durch die Vergabe eines Namens und die Eintragung in ein Melderegister entsteht eine neue Identität. Bei technischen Komponenten vergibt zum Beispiel der Hersteller eines Produktes eine Seriennummer.

     
  • Wer kann die Zuordnung eines öffentlichen Schlüssels zu Identitätsmerkmalen versiegeln?

    Im einfachsten Fall kann der Inhaber eines NetKey / IDKey sich selbst ein Zertifizikat ausstellen. Hierbei handelt es sich dann um ein sogenanntes „selfsigned Certificate“. Streng genommen behauptet der Inhaber also lediglich, eine bestimmte Identität und einen bestimmten Schlüssel zu besitzen.
    Technisch gesehen können solche Zertifikate für alle Zwecke eingesetzt werden, bei denen das Zertifikat als berechtigt akzeptiert wird.
    Die Identitätsprüfung erfolgt in solchen Fällen meist vorab z. B. per Telefon oder durch persönliche Begegnung, wobei man sich auf eine Zusammenarbeit auf dieser Basis einigt.

     
  • Wie wird geprüft, dass eine gültige Identität verwendet wird?

    Die Identität einer Person wird bei Bedarf üblicherweise durch die Präsentation eines Ausweisdokumentes nachgewiesen. Dazu werden sichtbare Identitätsmerkmale wie Lichtbild, Augenfarbe oder besondere Merkmale wie Narben abgeglichen.
    Im Falle des Verlustes eines solchen Ausweises muss die Person sich ggf. durch z. B. Vorlage eines Familienstammbuches beim Melderegister ausweisen, um einen neuen Ausweis zu bekommen.
    Vor der Ausstellung des Zertifikates kann der Zertifizierungsdienst ggf. durch Abgleich gegen ein vorgelegtes Ausweisdokument die Identität des Auftraggebers prüfen. Die Qualität dieser Prüfung ist die Basis für die Qualität des Zertifikats.
    Eine E-Mail-Adresse kann z. B. nur dann als Identitätsmerkmal genutzt werden, wenn gewährleistet ist, dass das zugehörige E-Mail-Konto unter der Kontrolle des Auftraggebers ist. Diese Prüfung kann mittelt Zusendung und Beantwortung eines Bestätigungs-E-Mail erfolgen.

     
  • Was kann ich tun, wenn das Gegenüber kein „selfsigned Certificate“ akzeptiert?

    In diesem Fall muss sich der Inhaber des NetKey / IDKey dem Registrierungsprozess eines anerkannten Zertifizierungsdienstes unterziehen. Hierbei muss die eigene Identität nach den jeweiligen Anforderungen des Zertifizierungsdienstes z. B. auf Basis einer persönlichen Vorstellung mit Vorlage eines Ausweisdokumentes nachgewiesen werden.
    Der Zertifizierungsdienst stellt ein Zertifikat erst nach positiver Prüfung der vorgelegten Identitätsnachweise aus.
    Der Zertifizierungsdienst stellt eine sogenannte „dritte Instanz“ dar. Somit ist das ausgestellte Zertifikat nicht mehr bloß eine Behauptung sondern eine nachprüfbare Identität.
    Zertifizierungsdienste stellen darüber hinaus üblicherweise Prüfmöglichkeiten in Form von standardisierten Verzeichnis- und Sperrservices bereit.

     
  • Wie erfolgt die Personalisierung eines NetKey / IDKey?

    Die Personalisierung des NetKey / IDKey erfolgt durch die Zuordnung eines öffentlichen Schlüssels aus dem NetKey / IDKey zu Identitätsmerkmalen des NetKey-/IDKey-Inhabers innerhalb eines Zertifikats.
    Diese Zuordnung geschieht in der Regel als Versiegelung mittels elektronischer Signatur dieser Verknüpfung. Durch diese Versiegelung entsteht aus einer Ansammlung von Identitätsmerkmalen ein Zertifikat. Der öffentliche Schlüssel wird dabei zu einem weiteren Identitätsmerkmal.
    Die Verbindung zum NetKey / IDKey liegt in der Verknüpfung zwischen öffentlichem und geheimem Schlüssel.

     
  • Wie finde ich den richtigen Zertifizierungsdienst?

    Der geeignete Zertifizierungsdienst ergibt sich in der Regel aus dem Anwendungskontext. Weltweit bieten verschiedene Zertifikatsaussteller ihre Dienste über das Internet an.
    In großen Firmen oder Organisationen existieren oft eigene Public Key Infrastrukturen (PKI) zur Ausstellung und zum Management von fortgeschrittenen Zertifikaten. Das heißt, die Registrierung der Teilnehmer erfolgt nach den Regeln des jeweiligen Anbieters.
    Darüber hinaus sind in den letzten Jahren in verschiedenen Ländern Zertifizierungsdiensteanbieter (ZDA) entstanden, die sogenannte qualifizierte Zertifikate anbieten. Für die Ausstellung eines qualifizierten Zertifikats beschreibt das jeweilige Land bestimmte Anforderungen hinsichtlich der Qualität der Registrierung. Ebenso wird die Qualität der Sicheren Signatur-Erstellungseinheit (SSEE) vorgeschrieben.
    Ob der TeleSec NetKey / IDKey als SSEE geeignet ist, muss im Einzelfall mit dem zuständigen ZDA abgestimmt werden.
    
    

     
  • Wie erfolgen die Übergabe der Hardware und der PIN?

    Fertig initialisierte TeleSec NetKey / IDKey sind anonym und mit dem durch die Deutsche Telekom AG patentierten Null-PIN-Verfahren geschützt.
    Vor der Zuordnung eines NetKey / IDKey aus einer Menge neuer Karten zu einer Person oder einem System kann die Unversehrtheit der Karte durch Überprüfung des Null-PIN-Status gewährleistet werden.
    Eine Kartennutzung verbunden mit der Vergabe einer kundenindividuellen PIN durch die Person oder das System zerstört dieses Schutzsiegel und bindet die Karte an den PIN-Inhaber (Wissen).
    Ab diesem Zeitpunkt ermöglicht NetKey die sogenannte Zwei-Faktor-Autorisierung durch Besitz und Wissen.

    Vorteile:

    • TeleSec NetKey / IDKey können bevorratet werden, ohne den exakten Bedarf vorher zu kennen. Die Personalisierung erfolgt nach der Ausgabe eines NetKey / IDKey.

    • Da der für Plastikkarten ansonsten notwendige PIN-Brief entfallen kann, sind Optimierungen monetärer, administrativer und personeller Art realisierbar durch:

      • vereinfachte Lagerhaltung

      • Einsparung der Portokosten

      • Einsparung der teuren Spezialpapier-Formulare für PIN-Briefe

      • Einsparung des administrativen Aufwandes zur richtigen Zuordnung des PIN-Briefs zur Karte

      • Einsparung des Aufwandes für die Kuvertierung der PIN-Briefe

      • Einsparung von Porto für den zeitversetzten Versand des PIN-Briefes

    Der Endanwender sucht sich selbst ein Passwort (PIN) aus, das für ihn nach seinem individuellen Denkmuster leicht zu merken ist. (Ein solches Passwort kann aus dem kompletten ASCII-Satz in einer empfohlenen Passwortlänge von bis zu 64 Zeichen bestehen. Der Einsatz von z. B. PIN-Tastaturen sicherer Kartenleser kann es erforderlich machen, dabei nur die Ziffern 0 bis 9 zu verwenden.)

     
• Qualität der Schlüssel
  • Woher kommt das Schlüsselmaterial?

    Ein Schlüsselpaar wird üblicherweise innerhalb des Browsers in Software erzeugt, der öffentliche Teil wird in den Zertifikatsrequest eingebaut und dieser wird mit dem geheimen Teil signiert, um die Authentizität des öffentlichen Schlüssels nachzuweisen. Der Secret Key wird anschließend passwortgeschützt im Rechner abgelegt (meist innerhalb eines PKCS#12-Containers).
    Der TeleSec NetKey / IDKey hingegen bringt Schlüsselpaare mit, die innerhalb des Trust Centers der T-Systems in einem hochsicheren Schlüsselgenerator entstanden sind. Dieser Schlüsselgenerator kann diese Schlüssel nur in geeignete TCOS-Chips exportieren. Dieser Export erfolgt kryptografisch derart gesichert, dass ein Mitlesen der Schlüssel ausgeschlossen ist. Somit können keine Schlüsselkopien existieren.
    Eine Middleware integriert den NetKey / IDKey so in die Betriebssystemplattform, dass beim Anfordern eines Schlüsselpaares durch eine Anwendung das öffentliche Schlüsselmaterial der TCOS-Chipkarte benutzt wird.

     
  • Wo liegt der geheime Schlüssel nach der Erzeugung?

    Nach Fertigstellung eines NetKey / IDKey können die geheimen Schlüssel nur noch innerhalb des TCOS-Chips für Kryptooperationen heran gezogen werden. Die Nutzung der geheimen Schlüssel ist PIN-gesichert, d. h., nur berechtigte Benutzer können geheime Schlüssel anwenden.

     
  • Wer kennt alles meinen geheimen Schlüssel?

    Der Schlüsselgenerator im TeleSec Trust Center speichert keine Schlüssel, die Übertragung der Schlüssel an die Chipkarte erfolgt über verschlüsselte Leitungen innerhalb des sicherheits-zertifizierten Trustcenters der T-Systems. Somit ist die Existenz von Doppeln völlig ausgeschlossen, der geheime Schlüssel liegt somit ausschließlich im TCOS-Chip.

     
• Integration und Middleware
  • Wie installiere ich die Software?

    Für Testzwecke wird für den TCOS Cardmanager ein PlugIn zur Verfügung gestellt, mit dem selbstsignierte Test-Zertifikate generiert und auf die auf die Karte geschrieben werden können. Hierzu muss zusätzlich die OpenSource-Bibliothek OpenSSL installiert werden.

    Das Plugin unterstützt nur Netkey 3.0 und IDKey TCOS 3 Chipkarten. Diese Zertifikate verwenden nicht die bei der Produktion auf den TCOS 3 Chipkarten vorpersonaliserten Schlüsselpaare. Für diese Zertifikate existierert keine vertrauenwürdige Root oder nicht die Möglichkeit zur Zertifikatsprüfung (LDAP/OCSP).

    Aus diesem Grund können in einigen Anwendungen diese selbstgenerierten Zertifikate nur eingeschränkt genutzt werden. Wir empfehlen immer hochwertige Zertifikate von einer entsprechenden CA mit einer vertrauenwürdigen Root und Verzeichnisdiensten zur Überpfüfung der Vertrauenswürdigkeit und Gültigkeit der Zertifikate zu verwenden.

     
  • Wie bindet sich der NetKey / IDKey in das Betriebssystem ein?

    Unter Microsoft Windows existiert ein sogenannter BaseCSP zur Einbindung von Hardware-Token. Die Schnittstelle zur Einbindung eines Card Moduls ist beschrieben. Zum NetKey / IDKey steht ein solches Card Modul bereit, welches ab Windows 7 über Windowsupdate.com zur Verfügung stehen wird. Dies bedeutet, dass sobald ein NetKey / IDKey erkannt wird, im Bedarfsfall das TCOS Card Modul automatisch geladen wird.
    Nach Installation des Card Moduls wird NetKey / IDKey wie ein PKCS#12 Container behandelt. Der Benutzer kann zur Anforderung eines Zertifikates den Public Key aus NetKey / IDKey präsentieren. Die Krypto-Middleware von Windows handelt alles Weitere mit dem TCOS-Chip aus. Das sonst übliche Passwort zur Nutzung des geheimen Schlüssels aus einem PKCS#12-Container wird durch die Abfrage der NetKey-/IDKey-PIN ersetzt.
    Für andere Betriebsysteme wie z. B. Linux steht eine PKCS#11-Bibliothek zur Verfügung, die im Rahmen eines Software-Setup installiert werden kann.
    Für embedded Systeme können NetKey über speziell entwickelte Treiber integriert werden. Das Chipkartenbetriebssystem ist vollständig dokumentiert und stellt ein zu ISO 7816-4 konformes Interface bereit.

     
  • Welche Middleware wofür?

    TCOS Card Module für den MS BaseCSP
    Mit dem Card Module steht die Funktionalität der TCOS-Karte allen Anwendungen über die MS CryptoAPI zur Verfügung. Das heißt, E-Mail Sicherheit wie Signatur und Ver-/Entschlüsselung in Outlook sind damit Basisbestandteile oder die Signatur ab Microsoft Word 2003. Wenn durch den Web-Seitenbetreiber vorgesehen, kann Smartcard-Login und damit mehr Sicherheit für Anwender und Betreiber genutzt werden.
    Windows-Logon lässt sich in verschiedenen Arten realisieren, je nachdem ob ihr System in einer Windows-Domäne eingebunden ist oder nicht..

    PKCS#11
    Das PKCS#11 SDK bietet die Möglichkeit, einfach höhere Datensicherheit zu integrieren. So z. B. in Lotus Notes oder Mozilla für E-Mail-Signatur und Ver-/Entschlüsselung für mehr Sicherheit und Vertrauen beim allgemeinen E-Mail Austausch.

    Weitere Anwendungen sind der evidian SSO-Client, cryptovision, (utimaco und pgp sind in Planung).

     
  • Welche Betriebssysteme werden unterstützt?

    Windows:
    TCOS Card Module zur Netkey-/IDKey-Applikation mit dem MS BaseCSP für Windows 2000 und XP (mit MSDN Software Update 909520 für MS BaseCSP: http://support.microsoft.com/kb/909520/de).

    Unter Windows XP ist der BaseCSP bereits Bestandteil des SP 1 und unterstützt auch die sichere PIN-Eingabe über ein PIN-Pad am Kartenleser.

    PKCS#11 SDK zur Integration der SigG-Applikation (für qualifizierte Signaturen), Netkey-Applikation (für fortgeschrittene Signaturen, Entschlüsselung und Authentifikation) und ein ELSTER Modul*) für die ELSTER-Steuersoftware.

    *) nur wenn der Zertifikatsaussteller ELSTER zugelassen ist

    Linux:
    Für einen einfachen Zugriff auf die Kartenfunktionalität wird für LINUX (SO-File) und OpenBSD das PKCS#11 SDK zur Verfügung gestellt.

    MacOS:
    Für einen einfachen Zugriff auf die Kartenfunktionalität wird für MacOS ab 10.x das PKCS#11 SDK zur Verfügung gestellt.

     
  • Welche Systemvoraussetzungen benötigt NetKey / IDKey?

    Gängige moderne Computerbetriebssysteme stellen Schnittstellen und Middleware für die Anschaltung und Ansteuerung von Chipkartenlesern zur Verfügung. Für die Benutzung des NetKey / IDKey benötigen Sie einen geeigneten Chipkartenleser, der über diese Middleware die Verbindung zwischen den Kontakten der NetKey-/IDKey-Chipkarte und dem Betriebssystem Ihres Rechners herstellt.

     
  • Bietet der TCOS-Cardmanager Testzertifikate?

    Für Testzwecke wird für den TCOS Cardmanager ein PlugIn zur Verfügung gestellt, mit dem selbstsignierte Test-Zertifikate generiert und auf die auf die Karte geschrieben werden können. Hierzu muss zusätzlich die OpenSource-Bibliothek OpenSSL installiert werden.
    Das Plugin unterstützt nur Netkey 3.0 und IDKey TCOS 3 Chipkarten. Diese Zertifikate verwenden nicht die bei der Produktion auf den TCOS 3 Chipkarten vorpersonaliserten Schlüsselpaare. Für diese Zertifikate existierert keine vertrauenwürdige Root oder nicht die Möglichkeit zur Zertifikatsprüfung (LDAP/OCSP). Aus diesem Grund können in einigen Anwendungen diese selbstgenerierten Zertifikate nur eingeschränkt genutzt werden.
    Wir empfehlen immer hochwertige Zertifikate von einer entsprechenden CA mit einer vertrauenwürdigen Root und Verzeichnisdiensten zur Überpfüfung der Vertrauenswürdigkeit und Gültigkeit der Zertifikate zu verwenden.

     
• Rollenbasierendes Identitätsmanagement
  • Wo erfolgt die Zuordnung der Attribute zur Identität?

    Dies ist die Aufgabe von Identitätsmanagement Systemen. Hier wird die Sammlung der Attribute verwaltet und bestimmten Identitäten zugeordnet. In der Regel kann die Zuordnung von Identitätsmerkmalen in Abwesenheit der Person oder des Systems erfolgen.
    Systeme und Anwendungen, die eine Nutzung aufgrund der Präsentation von Attributen anbieten, erhalten diese direkt vom Identitäts Management Service. Die Berechtigung zur Nutzung eines Attributs weist der berechtigte Inhaber mit seinem NetKey / IDKey nach.

     
  • Können verschiedene Rollen mit einem NetKey / IDKey abgebildet werden?

    Im Leben und/oder im Beruf sind Personen in der Regel mehrere Rollen mit unterschiedlichen Aufgaben und Berechtigungen zugeordnet. Zur Wahrnehmung der Aufgaben und Berechtigungen ist jeweils ein Nachweis der rechtmäßigen Zuordnung erforderlich. Hierzu erhält die Person z. B. zu jeder Rolle ein separates Zertifikat oder es existiert ein Rollen- und Rechte-Verwaltungssystem, welches die Berechtigungen auf Basis eines übergeordneten Zertifikats verwaltet. Somit muss die Person entweder nachweisen, dass sie zum jeweiligen Zertifikat den richtigen Secret Key besitzt oder am Rollen- und Rechteverwaltungssystem nachweisen, dass sie die richtige Person zur jeweiligen Rolle ist. Hierbei wird dann wiederum verlangt, den richtigen geheimen Schlüssel zum übergeordneten Zertifikat verwenden zu können.

     
  • Bin ich mit NetKey / IDKey noch mobil?

    Da der NetKey /IDKey lediglich nachweist, dass der Inhaber eine Rolle mit dem zugehörigen Zertifikat benutzen darf, muss auf allen Rechnersystemen, an denen die Person ihre Rolle wahrnehmen soll, das Zertifikat zur Rolle installiert oder im Zugriff sein. Die Chipkarte, der NetKey wird nur jeweils zur Autorisierung von Aktionen im Zusammenspiel mit dem Zertifikat benötigt.
    Aufgrund der Zwei-Faktor-Sicherheit des NetKey muss dieser für den mobilen Einsatz mitgeführt werden und bleibt somit unter der Kontrolle des Inhabers.

     
  • Ist die Anzahl möglicher Rollen durch NetKey / IDKey beschränkt?

    Die Anzahl möglicher Rollen wird durch TeleSec NetKey / IDKey nicht beschränkt.
    Überall dort, wo Identitätsdaten mit dem öffentlichen Schlüssel des NetKey / IDKey in Verbindung gebracht werden, lässt sich diese Verbindung mittels des NetKey rechtmäßig nutzen.

     
  • Woher bekommen die Systeme oder Anwendungen die Zertifikate?

    Zertifikate sind Bestandteil sogenannter Public Key Infrastrukturen und Services. Ein elementarer Bestandteil einer PKI ist der Directory Service. Eine Hauptaufgabe von Directory Services ist die Verbreitung und Verteilung von Zertifikaten.
    Systeme und Anwendungen können über standardisierte Protokolle Zertifikate am Directory Service abfragen.
    Darüber hinaus können Zertifikate durch die Inhaber selbst verteilt werden.
    Die Validierungsdienste einer PKI ermöglichen jederzeit eine Gültigkeitsprüfung von Zertifikaten mittels standardisierter Protokolle.

     
• Spezialthema „Identität und Pseudonymität“
  • Wie kann eine Identität verschleiert werden?

    Die tatsächliche Identität eines NetKey-/IDKey-Inhabers kann durch die Wahl der Attribute während der Registrierung für die Ausstellung eines Zertifikates erreicht werden.
    Nach der Vorlage der Identifizierungsdaten gegenüber dem Zertifizierungsdienst wird ein pseudonymes Attribut als Zertifikatsinhaber eingetragen.
    Im Rahmen eines Streitfalles kann die tatsächliche Identität hinter dem Pseudonym reproduziert werden.
    Die Voraussetzungen für eine Reproduktion ergeben sich aus den Grundsätzen des Zertifizierungsdienstes und ggf. aus gesetzlichen Anforderungen.
    Es entsteht eine pseudonyme Rolle.

     
• Authentifizierung
  • Wie funktioniert die asymmetrische Authentifizierung mittels Public Key?

    Bei Public Key Systemen werden die Identitätsmerkmale üblicherweise in Form von Zertifikaten mit dem öffentlichen Schlüssel zusammen versiegelt. Das Gegenstück, der geheime kryptografische Schlüssel befindet sich in sicherer Verwahrung durch die Karte.
    Das Betriebssystem der Chipkarte verhindert einerseits, dass der Schlüssel aus der Karte gelesen und damit kopiert werden kann. Die Hauptaufgabe der Karte besteht andererseits in der Abwicklung des kryptografischen Rechenprozesses unter Anwendung des geheimen Schlüssels. Um diese Leistungen auf eine Person oder ein System zu beschränken, erwartet die Karte vor der Nutzung die Präsentation eines gültigen individuellen Passwortes (PIN) durch die Person oder Komponente. Das Betriebssystem der Chipkarte legt mit der Initialisierung und Codierung der Karte fest, welche Aktionen der Karte PIN-geschützt sein sollen. So ist es z. B. möglich, Bereiche so zu kodieren, dass sie nur nach PIN-Prüfung gelesen werden können.
    Damit entstehen „abgestufte Geheimnisse“, die entsprechend den Anforderungen der geschützten Systeme preisgegeben oder angewendet werden können. Einmal ist es das Rechnerpasswort, welches nach PIN-Prüfung durch eine Chipkarte übergeben wird. In einem anderen Fall wird ein digitales Zertifikat erwartet, welches den Inhaber als Bürger eines Staates oder als Mitarbeiter einer Firma oder Institution ausweist. Im ersten Fall liefert die Karte das Passwort nach PIN-Prüfung. Im zweiten Fall erwartet das geschützte System den Nachweis, dass der Karteninhaber das präsentierte Zertifikat benutzen darf. Hierzu wird der Karte ein zufälliger Wert zur Verschlüsselung mit dem internen geheimen kryptografischen Schlüssel übergeben. Kann das Ergebnis nach Entschlüsselung mit dem öffentlichen Schlüssel aus dem Zertifikat positiv verglichen werden, passt die Karte zum Zertifikat.
    Da vor der Aktion die PIN abgefragt wurde, kann und muss davon ausgegangen werden, das der Karteninhaber die gewünschte Person oder das vorgegebene System ist.

     
  • Welche Applikationen beinhalten die symmetrische Authentifizierung?

    Der TeleSec NetKey / IDKey beinhaltet verschiedene Applikationen für symmetrische Authentifikationen. Insbesondere die Applikation OTP soll hier näher erläutert werden. Es handelt sich um eine Anwendung zur Erzeugung von dynamischen Einmallpasswörtern.
    Im Rahmen der Trust Center Dienstleistungen bietet die T-Systems den Service OneTimePass an. Dieser kann vom NetKey / IDKey erzeugte Einmalpasswörter auf Korrektheit prüfen. Die Anbindung von Kundensystemen an OneTimePass erfolgt über die Standardprotokolle RADIUS und SOAP.

    Die vollständigen Informationen finden Sie unter: OneTimePass

    Zwei weitere Applikationen, ZTRT und GLAZ beinhalten ebenso symmetrischen Schlüssel zu denen das Trust Center den Schlüssel ebenfalls kennt. Diese werden nur zu Vollständigkeit hier aufgeführt, sind jedoch meist für Einzelanwender uninteressant.

     

Powered By http://tuts4you.de/