Welche Smartcard für TB & Co.?

  • Hallo zusammen,


    ich weiss, dass das Thema schon öfter behalndelt wurde, aber bisher wurden mir meine Fragen noch nicht beantwortet.
    Ich möchte gerne eine Smartcard kaufen und für folgende Anwendungen benutzen:
    - Thunderbird SMIME
    - Truecrypt
    - OpenVPN
    - Putty SC
    - Dateiverschlüsselung


    Ich hab mich z.B. beim cryptoshop umgeschaut, bin aber einfach überfordert von der Auswahl. Gibt es Erfahrungswerte, welche Karten dafür gut geeignet wären? Auf welche technischen Daten sollte ich achten oder funktionieren die Prozessorkarten im Prinzip alle gleich?
    Möglichst günstig inkl. Middleware wäre natürlich gut.
    Die Leute von dem Shop haben mit die .NET IM V2+ Karte empfolen, weil diese das Microsoft Base CSP benutzt. Klingt jetzt erstmal nicht schlecht, dass ich nichts zusätzlich installieren muss. Was meint ihr dazu? Hat das Mircrosoft CSP wie alle anderen auch eine Provider- DLL, die ich in den Anwendungen laden kann? Gut wäre, wenn die Middleware auch unter Linux läuft.
    Für die Dateiverschlüsselung benötige ich vermutlich eine Zusatzsoftware, was könnt ihr da empfehlen?


    Gruß,
    Stefan

  • Hi Stefan,


    du hast ja ganz schön hohe Anforderungen oder Erwartungen ... .
    Also ich arbeite beruflich schon ein paar jahre mit Chipkarten und betreibe privat auch eine (gar nicht mal mehr so kleine) "Privat-CA", aber das von dir gewünschte ist mir in all den Jahren der Bastelei auch nicht gelungen.


    - zu den vielen kryptologischen Anwendungen:
    Mailverschlüsselung mit S/MIME: generell Stand der Technik. Kein Problem mit X.509-Zertifikaten auf der Karte.
    Truecrypt: Nutzt einen rein symmetrischen Schlüssel. Von einer guten Karte kannst du den private-key niemals auslesen.
    OpenVPN: analog S/MIME. Zertifikat mit entsprechenden Einstellungen, kein Problem
    Putty: wieder ein ganz anderes Schlüsselformat ... . Gleiches Problem mit dem private-key
    Datenverschlüsselung: ja, womit denn? EFS: auch möglich mit entsprechend konfigurierten Zertifikaten


    - zwischen den Welten ...
    Ich kenne nur eine einzige API, welche sowohl für die WinDOSE als auch für Linux angeboten wird. Das ist die von Siemens. (Löhnware)
    Damit kannst du Karten in der Art CARDOS 4.x beschreiben und lesen. Für den Client eignet sich dann zum Bsp. der "Nexus Personal". Auch der ist gegen Löhnung für Windows zu haben.
    Für die Nutzung von Chipkarten unter Linux gibt es eine Reihe von Projekten. (libchipcard, coolkey, ctapi, gtkcard, pkcs11-helper usw.)
    Aber irgendwann war mir die Frickelei dann doch zu bunt geworden. Und das, obwohl ich ein absoluter Linux-Freak bin, und mich mit PKCS#11 auch ein "klein wenig" auskenne.


    Da für mich Linux mit großem Abstand DAS Betriebssystem ist, und ich die WinDOSe nur noch zum Flashen meiner Kamera oder zum Resetten meiner verbastelten Fritz-Box nutze, habe ich von weiteren Basteleien in dieser Richtung Abstand genommen. Ich stelle also weiterhin jedes Jahr ein paar Hundert Zertifikate für die Mailverschlüsselung meiner Freunde her, verschlüssele persönlich so ziemlich jede eMail und jede Verbindung zwischen und zu meinen Rechnern (IPsec, ftps, ssh) lasse es aber in allen Fällen der privaten Nutzung beim Softwaretoken.


    Ich möchte auch noch folgenden Denkanstoß geben:
    Bei einer vernünftig produzierten Chipkarte werden die privaten Schlüssel durch den auf der Karte befindlichen kryptologischen Rauschgenerator erzeugt und unmittelbar auf der Karte gespeichert. Der Schlüssel liegt also nur ein einziges mal vor, und es gibt auch weltweit kein anwendungsbereites Verfahren, diesen Schlüssel von der Karte zu ziehen. Nicht umsonst gilt die Chipkarte als der sicherste Speicher für kryptologische Langzeitgeheimnisse!
    Was für uns auf Arbeit "täglich Brot" ist, muss in deiner Bastelwerkstatt nicht unbedingt so stabil funktionieren. Stell dir nur mal vor, du hast da was nicht richtig gemacht, und die Karte will nach ein paar Monaten nicht mehr ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,


    danke für die ausführliche Antwort. Die meisten Posts, die ich vorher gelesen hatte waren übrigens von dir und Ich find's wirklich toll, wie engagiert Du die Mitglieder hier betreust - aber das mal off-topic.


    Zu Thunderbird, OpenVPN: Hatte ich auch so verstanden
    Truecrypt unterstützt das PK-Verfahren nicht, das ist richtig. Zumindest lässt sich aber das Keyfile auf auf der Smartcard speichern:

    Zitat


    TrueCrypt can directly use keyfiles stored on a security token or smart card that complies with the PKCS #11 (2.0 or later) standard [23] and that allows the user to store a file (data object) on the token/card.


    Das finde ich immerhin schonmal ganz nützlich und würde ich auch gerne verwenden. Dürfte dann mit jedem "normalen" crpyto-provider auch gehen.


    Putty unterstützt in der spezialversion "putty sc" einen pkcs#11 provider. Ob und wie das genau funktioniert müsste man dann mal ausprobieren.


    Datenveschlüsselung
    Ich hatte da an sowas wie bei GPG gedacht: rechtsklick-> bitte verschlüsseln. Die ganze Festplatte wollte ich eigentlich nicht verschlüsseln. Denn das hat aus meiner Sicht nur einen Vorteil: Man brauch sich bei einem "Unfall" garnicht die Arbeit zu machen, nach einem Recovery tool zu suchen ;) Diese Sache ist aber nicht so dringend. Nice-to-have


    Wozu ich als Privatperson eine Smartcard-Lösung brauche?
    Grund 1: Die Schwachstelle an dem ganzen System ist meine Passphrase. Mit gefällt der Gedanke nicht, dass jemand einfach mein Keyfile kopieren kann und die nächsten 5 Jahre (ich übertreibe jetzt mal) eine brute-force Attacke darauf laufen lassen kann oder einen Keylogger benutzt, um heranzukommen.
    Grund 2: Die technische Herausfoderung und "Warum nicht sicherer machen, wenn es sicherer geht?"
    Grund 3: Ich denke, dass Smartcards - sofern einfach zu verwenden - für Anfägner sicherer zu handhaben sind, als Softtoken. Denn wenn mein Onkel beim Softtoken als Passphrase "1234" eingibt oder er aus Versehen den Private Key per email versendet, ist die Sicherheit dahin. Bei der Smartcard kann man nicht so viel falsch machen. Wenn das also gut klappt, würde ich die Lösung propagieren.



    Linux Kompatibilität
    Wenn ich meine Karte verliere, stind meine verschlüsselten Daten futsch. Das ist nicht schön, daher hab ich folgenden Lösungsansatz auch schon für meine OpenPGP Card verwendet:
    Schlüssel auf einem Live-Linux System ohne Festplatte und ohne Netzwerk generieren und auf die Smartcard aufspielen. Ausßerdem zwei Sicherheitskopien mit einer laaaaaangen Passphrase auf einer CF-Speicherkarte anlegen. Speicherkarten an einem sicheren Ort verwahren.
    Sollte meiner Smartcard etwas zustoßen, kann ich eine neue anfertigen.


    Zusammengefasst
    So wie ich das sehe, brauch ich also einfach eine PKCS11-Kompatible Karte, die
    -möglichst problemlos mit den Linuxprojekten zusammenarbeitet
    -zertifikate importieren kann
    -einen data object store hat (für TrueCrypt)


    Kannst Du eine empfehlen? Mit dieser .NET Karte hast Du keine Erfahrung, oder?


    Gruß,
    Stefan

  • Hi Stefan,


    Kurz ein paar Punkte von mir:
    - PuttySC: Das funktioniert tatsächlich. Man muss nur aus einem der Zertifikate den public key in das openssh-Format bekommen. Ich hab grad das Kommando nicht im Kopf, habe es aber schon erfolgreich gemacht.
    - TrueCrypt: Habe ich auch schon gemacht. Du solltest aber in jedem Fall diesen zusätzlichen symmetrischen Schlüssel gut backupen, denn wenn die Karte kaputt geht, ist sonst alles verloren. - Escrow klappt ja prinzipbedingt mit diesem zusätzlichen Schlüssel nicht.
    - .NET Karte: Das ist sicher eine Gemalto-Karte. Diese funktioniert seit Win2k ohne zusätzliche Middleware auf Windows (ohne PKCS#11) und ist wirklich zu empfehlen. Es gibt zu der Karte von Gemalto auch PKCS#11-Treiber für Win/Linux/MacOS. Frag einfach mal die Jungs vom Cryptoshop. Die Karte kann ich auch sehr empfehlen.


    Viele Grüße,
    Michael

  • Hallo zusammen,


    ich habe die Gemalto .NET V2 Smartcard, aber weiss nun nicht genau, wie ich damit umgehen kann, um mit Truecrypt und GnuPG die Passwort Schlüssel darauf zu speichern.
    Könnte mir da einer helfen bzw. ein paar Tipps geben ?


    Vielen Dank.


    MfG
    TNO

  • Hi TNO,


    und willkommen im Forum!
    Ich kenne deine Karte leider nicht (und noch nicht einmal dein Betriebssystem, => unser unscheinbarer "gelber Kasten" ...), so dass ich sehr allgemein bleiben muss.


    Zu jeder kryptologischen Prozessorkarte (Smartcard) gibt es eine zu installierende "Middleware". Diese wird also zwischen Karte/Kartenleser (Hardwaretreiber) und Anwendung eingefügt. Nur die richtige Middleware ermöglicht einen Zugriff durch die Anwendung auf die Karte. Und sie ermöglich auch, dass mehrere Anwendungen auf die Karte zugreifen können.
    Im Thunderbird kannst du dann diese Middleware als zusätzliches Sicherheitsmodul laden.


    Und auch bei anderen Anwendungen musst du immer wieder auf diese Middleware verweisen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    danke für die nette Begrüßung.
    Den gelben Kasten habe ich irgendwie ignoriert. :redface:


    Ich habe folgende Karte:
    http://www.cryptoshop.com/de/p…rchipcards/3610101507.php


    Und mein BS ist Windows Vista 32Bit.
    Ich bin jetzt schon auf der suche nach der richtigen Middleware, aber hab noch nichts passendes gefunden.
    Hatte aber ehrlich gesagt noch nicht viel Zeit um intensiv zu suchen


    Ich danke dir aber schonmal für deine Allgemeine Erklärung.


    EDIT:
    Habe nun die Treiber für die Karte bekommen und bin schon ein paar Schritte weiter.
    Vielen Dank.


    MfG
    TNO