Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



11.12.2017

Dla biznesu

BenQ MH760
07.12.2017

Pamięć masowa SDS

SUSE Enterprise Storage 5
05.12.2017

Bezpieczna platforma

Red Hat OpenStack Platform 12
30.11.2017

ITewolucja w bezpieczeństwie....

9 listopada w katowickim hotelu Novotel odbyła się kolejna odsłona konferencji z cyklu...
28.11.2017

Smukle i elegancko

HP Spectre 13 i x360
23.11.2017

Z IEEE 802.3bz

Przełączniki Netgear
21.11.2017

4K z USB-C

EIZO FlexScan EV2785
16.11.2017

Wielofunkcyjne MFP

Canon imageRUNNER ADVANCE C256i, C356i oraz C356P
14.11.2017

Fabryka Przyszłości w drodze...

W dniach 25 i 26 października we Wrocławiu odbyła się czwarta edycja konferencji...

Wirtualne karty inteligentne (smart card)

Data publikacji: 29-08-2017 Autor: Jacek Światowiak

Wykorzystanie komponentów infrastruktury klucza publicznego, w tym kryptografii asymetrycznej, umożliwia znaczne zwiększenie bezpieczeństwa elementów systemów informatycznych współczesnych środowisk IT.

Możliwość dwuskładnikowego uwierzytelniania do stacji roboczych, serwerów lub usług za pośrednictwem karty inteligentnej pojawiła się w systemach Microsoft wraz z Windows 2000. Jednak poza olbrzymimi zaletami rozwiązanie to miało jedną istotną wadę – nie wszystkie urządzenia były wyposażone w czytniki kart inteligentnych. Dlatego wprowadzając na rynek systemy Windows 8.1 i Windows Server 2012 R2, producent umożliwił emulację tego typu kart za pośrednictwem modułu TPM (Trusted Platform Module) w wersjach 1.2 lub 2.0. Niniejszy artykuł omawia zagadnienia tworzenia i pracy z wirtualnymi smart kartami, które mają identyczne własności jak karty fizyczne – z jednym wyjątkiem – samej karty inteligentnej nie można wyjąć z wirtualnego czytnika i działają one tak, jakby były zainstalowane na stałe.

> WDROŻENIE ZABEZPIECZENIA. WYMAGANIA WSTĘPNE

Proces wdrożenia wirtualnej smart karty należy podzielić na kilka następujących po sobie etapów, takich jak:

 

  • włączenie i konfiguracja modułu TPM;
  • konfiguracja szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie;
  • utworzenie i personalizacja wirtualnej smart karty;
  • wygenerowanie certyfikatu i zapisanie go na wirtualnej smart karcie;
  • praca z certyfikatami zapisanymi na wirtualnej smart karcie;
  • odnowienie oraz usunięcie certyfikatu z wirtualnej smart karty;
  • usunięcie wirtualnej smart karty.

 

Aby możliwa była praca z wirtualnymi kartami inteligentnymi, stacja robocza lub serwer muszą posiadać sprzętowy lub emulowany moduł TPM w wersji 1.2 lub 2.0. W systemach Windows 10 lub Windows Server 2016 emulację modułu TPM 2.0 oferuje Hyper-V. Na rysunku 1 pokazano emulowany moduł TPM 2.0 oraz emulowane urządzenie, czyli czytnik karty inteligentnej (Smart card reader) wraz z wirtualną kartą inteligentną o nazwie TESTOWACVSC. Analogicznie jak praca z kartami fizycznymi, praca z wirtualnymi smart kartami wymaga wdrożonej korporacyjnej infrastruktury klucza publicznego, która pozwala na wystawianie certyfikatów w środowisku Windows.

Aby taki moduł TPM wykorzystywać, trzeba go wstępnie zainicjalizować (opcje Enable i Activate), a następnie wykonać operację przejęcia na własność (Take/Set ownership). Obie operacje można wykonać, korzystając z interfejsu graficznego (konsola MMC plus przystawka zarządzanie modułem TPM – tpm.msc) lub za pomocą poleceń PowerShella. Na rysunku 2 zaprezentowano zainicjowany już moduł TPM.

> KONFIGURACJA SZABLONU CERTYFIKATU

Aby wygenerować certyfikat, który zostanie zapisany na wirtualnej karcie, jednostka certyfikująca musi mieć dostęp do szablonu certyfikatu wykorzystywanego dla certyfikatów zapisywanych na wirtualnej smart karcie, w którym włączone są rozszerzenia EKU (Extension Key Usage): Smart Card Logon oraz Client Authentication. Może to być ten sam szablon certyfikatu, co dla fizycznych kart inteligentnych. W artykule nie będzie omawiana procedura zarządzania szablonami certyfikatów ze względu na brak konieczności ich modyfikowania.

> UTWORZENIE I PERSONALIZACJA WIRTUALNEJ SMART KARTY

Kolejny krok polega na utworzeniu i personalizacji wirtualnej karty inteligentnej. Systemy Windows nie umożliwiają wykonania tych czynności za pomocą interfejsu graficznego – proces utworzenia i personalizacji należy przeprowadzić za pomocą narzędzia uruchamianego z linii poleceń tpmvscmgr.exe.

[...]

Autor jest architektem rozwiązań IT, trenerem, autorem książek i publikacji technicznych, wykładowcą Politechniki Gdańskiej. Uzyskane certyfikaty: MCSE+M, MCSE+S, 20*MCTS, 9*MCITP, MCT, MSA, MCSA 2008, 2012, Windows 7, MCSE Server Infrastructure, Communication, Messaging. Przez 5 lat MVP z zakresu Directory Services/Forefront/Exchange.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"