Das "Log In"

Wenn man von Smart Card Logon spricht muß man sofort auch definieren, woran man sich anmelden will. Ganz unterschiedlich sind die Anforderungen, damit die Lösungen und Produkte dafür.

  • Workstation (lokal)
  • Domain
  • Anwendung
  • Webanwendung
  • Remote Computer Logon
  • Single Sign On System

=

Domain Logon

Die aktuellen Windows Betriebssysteme bieten eine Smart Card Anmeldung als native Funktionalität, neben dem Logon mittels Passworten an. Allerdings ist das zertifikatsbasierte Smart Card Logon ein Domänenlogon über das Kerberosprotokoll. Das Zertifikat kommt am besten von einer lokalen Microsoft-CA in der Domäne (Stichwort: Zertifikatsdienste am Windows Server)

Ein lokale Anmeldung an einen Windows Rechner benötigt ein Zusatztool. Dazu gibt es einen Guide im Kundenbereich.

Das Stecken (und Ziehen) einer Karte wird von Windows bei der Anmeldung erkannt und sofort die PIN abgefragt, der zur Authentisierung gegenüber der Karte verwendet wird.

=

Systemvoraussetzungen am Client

Sie benötigen am Rechner bloß einen

  • Smart Card Reader (PC/SC)
  • Kryptochipkarte (inkl. aufgebrachtem Zertifikat einer lokalen CA)
  • einen CSP (Cryptographic Service Provider) für eben diese Krypto Smart Card


Wenn wir von einer Smart Card Middlware sprechen, dann üblicherweise von einem Cryptographic Service Provider. Im weiteren Sinn gehört dann PKCS#11 als Alternative zu CSP dazu. Ein Middleware Package enthält zumeist auch Tools zum lokalen Verwalten von Karten (PIN-Management, Initialisierung, .p12- Import,...)

/ Kryptochipkarten im CRYPTOSHOP

/ Smart Card Middleware Pakete im CRYPTOSHOP

=

Microsoft Base Smart Card CSP

Wenn die Karte anstatt eines Hersteller-CSP über den generischen Microsofts Base Smart Card CSP verwendet wird, so wird am Client bloß noch ein Minidriver benötigt. Der Minidriver wird beim ersten Stecken der Karte über Windows-Update wie ein Gerätetreiber installiert (Stichwort: Smart Card Plug & Play)

Lesen Sie zu diesem Thema auch unsere F.A.Q.

=

empfohlene Chipkarten für Chipkartenanmeldung an einer Windows-Domäne

  • Gemalto IDPrime .NET 510

    Die Gemalto IDPrime .NET 510 (früher Gemalto .NET IM V2+) war früher unter Schlumberger bzw. Axalto Cryptoflex .NET v2 corporate am Markt bekannt.

     

    Die für die Gemalto IDPrime .NET Karte verwendete Infineon Chip Hardware ist vom ROCA Issue (CVE-2017-15361) betroffen, auf der .NET Karte generierte Schlüsselpaare sind daher schwach, während die weitere Verwendung nicht betroffen ist. Bitte stellen Sie in ihrem Ausstellprozess sicher, dass die Schlüssel ausserhalb der Karte generiert und auf die Karte gebracht werden. 

    Bitte beachten Sie, dass die IDPrime Minidriver Version 1.2.10 von Gemalto mit gesetztem Registry Key DotNetOBKGType die Schlüsselerstellung ausserhalb der .NET Karte selbst übernehmen kann. Die genaue Konfiguration finden Sie in den Release Notes. Downloadlink: crypt.as/rocamd

     

    Die Nachfolgekarten der Gemalto IDPrime .NET sind die IDPrime MD Karten

     

    Die PKCS#11 Middleware für die .NET und MD Karten kann nunmehr nicht mehr frei zur Verfügung gestellt werden, sondern muss mit dem Safenet Authentication Client lizensiert werden (MOQ. 10 Lizenzen)

    =

    Aufgrund Exportrestriktionen kann diese Karte nur innerhalb der EU + CH, NO, US, CAN, AUS, NZ, JP versendet werden! Kontaktieren Sie uns, wenn Sie einen Versand in ein anderes Land benötigen.

    =

    15,50 EUR

    Details

  • NXP Athena IDProtect Card & IDProtect Lizenz

    Die neue NXP (früher Athena) IDProtect JavaCard mit Athenas LASER-PKI Applet.

    (inkl. IDProtect Client Middlewarepaket)

    Diese Karte kann flexible eingesetzt werden, da diese Karten mit der Hersteller - Middleware (IDProtect Client, CSP, PKCS#11) verwendet werden kann, mit allen Möglichkeiten die diese Middlware bietet.

    Andererseits aber auch über "Minidriver" mit dem Microsoft Base Smart Card CSP. Die Karte muss mit den Kartentools lediglich mit dem Microsoft Profil (Challenge Response Unblock) anstatt dem Default Profile personalisiert werden, dann funktioniert die Karte wie z.b. eine Gemalto .NET in jeder Umgebung.

    Mittels Minidriver kann IDProtect LASER am einfachsten in bestehende Windows Anwendungen wie Outlook, Internet Explorer oder Smartcard Logon integriert werden.

    Die Vorteile liegen auf der Hand:

    - Keine Lizenzkosten / kein Lizenzmanagement für die Middleware

    - Keine Wartungskosten

    - optionale Plug 'n Play Funktionalität die den Minidriver automatisch aus dem Microsoft Update Katalog nachlädt.

    Die Athena IDProtect LASER Karte ist optional auch mit Biometrieunterstützung (MoC) verfügbar, kontaktieren Sie uns, wenn Sie für ihr Projekt Karten mit Biometrie benötigen.

    =

    Hinweis: Bitte beachten Sie, dass Karten diese Athena Karten NICHT in OpenSC unterstützt sind. Für OpenSC benötigen Sie stattdessen die ASECard Crypto mit ASEPCOS Betriebssystem.

    =

    16,90 EUR

    Details

Systemvoraussetzungen in der Domäne

Für Smart Card Logon mit x.509 Zertifikaten über das Kerberos Protokoll bringt eine Windows Domäne grundsätzlich alles mit!

In erster Linie wird eine Certificate Authority benötigt, am schnellsten ist eine MS-CA aktiviert. Zertifikate können auf mehreren Wegen ausgestellt werden. Die Konfiguration über Group Policies.

Ein Guide, wie man eine Testumgebung für Smart Card Logon schafft, findet man im Kundenbereich.

=

effizienter Betrieb von Smart Card Logon

Mit Windows nativen Funktionen ist die Verwaltung von Karten, Zertifikaten und den Personen, denen sie zugeordnet sind, nur für kleine Unternehmen ausreichend.

=

Versatile Security
Intercede MyID

Smart Card Management Lösungen

Schon ab einem Dutzend Personen die verwaltet werden wollen, werden Prozesse zur Verwaltung (Ausstellung, Sperre und Widerruf, PIN-Unblock, temporäre Karten, Ersatzkarten...) immer wichtiger.

CRYPTOSHOP bietet zur Unterstützung des Administrators, des IT-Teams Management für KMUs an. 

Mit größer und verteilter werdender Organisation werden die Anforderungen an Flexibilität der Prozesse und Anforderungen an Audit und Compliance größer.

COHORS bietet Smart Card Management Lösungen für Mittel- bis Großunternehmen an. 

=