Slovensko.sk - virtual smart card


#1

Damy a pani,

nedavno som s jednym clenom interne debatoval o pripadnom rieseni alternativy prihlasovania pomocou certifikata z OP do statnych sluzieb.

Dlhodobo vyuzivam v ramci organizacii virtual smart card, ktory by bol zaujimavym riesenim pre aspon ciastocne pridanie pohodlia pre uzivatelov schranok (hlavne tych firemnych).

Jedna sa o presun certifikatu z hw media, v tomto pripade obcianskeho preukazu, do virtualneho prostredia, vdaka comu je permanentne pristupny systemu a nie je potrebne vyuzivat citacky a samotny OP.

Zakladne poziadavky su:

  • Windows 10 Enterprise Edition
  • A-64-bit processor
  • UEFI with Secure Boot (toto myslim, je optional)
  • Second-Level Address Translation (SLAT) technologies (for example, Intel Extended Page Tables [EPT], AMD Rapid Virtualization Indexing [RVI])
  • Virtualization extensions (for example, Intel VT-x, AMD RVI)
  • I/O memory management unit (IOMMU) chipset virtualization (Intel VT-d or AMD-Vi)
  • TPM 2.0

Nejake technicke info:


https://blogs.technet.microsoft.com/askds/2016/05/11/setting-up-virtual-smart-card-logon-using-virtual-tpm-for-windows-10-hyper-v-vm-guests/

Aktualne je otazne to ci po technickej stranke je mozne presunut/skopirovat potrebne data z OP do Virtual smart card, t.j. ci je mozne extrahovat private key.

Ak by v buducnosti bolo mozne certifikaty generovat samostatne online (nie len na pracoviskach offline), tak by bolo taktiez mozne ich takymto sposobom rovno ukladat namiesto do OP rovno do PC.

Zaujimali by ma nazory od vas.


#2

Pokial viem, tak toto je by-design nemozne. Privatny kluc sa generuje na karte a ostava tam.

Neviem aku certifikaciu ma ten TPM, ale pokial to nebude ekvivalent hw prvku smart card obcianskeho, tak s tym toho vela nepodpiseme.


Poznamka pod ciarou: Pokial viem, tak prihlasovanie (resp. autorizacia) cez mobil by malo fungovat tak, prvy krat sa zariadenie sparuje s obcianskym preukazom (proces este nie je zrejmy) a v mobile sa prave taketo TPM (alebo vendor specificke) budu pouzivat na identifikaciu zariadenia. Nasledne bude cez aplikaciu vynutene asi heslo alebo PIN alebo nejaky dalsi faktor. Netusim aku uroven autorizacie toto bude mat. No takto funguje v principe vzdialene podpisovanie (server signing) alebo podpisovanie pecatou v HSM pomocou kliknutia do agendoveho systemu. Je to podobny hack, ktory pravnikom z nejakeho dovodu nevadi a povazuju ho za ekvivalent notarsky overeneho podpisu (ak je tam casova peciatka).

Cize suma sumarum, na prihlasovanie do schranky a preberanie zasielok nevidim problem toto zvladnut aj bez virtualnej smart card (je to len dalsi sposob autentifikacie / autorizacie), nakoniec Govbox je prikladom, ze do schranky sa da dostat a preberat spravy uplne bez obcianskeho preukazu. Co sa tyka autorizacia (t.j. napr. podpisovania) tak tam to zacne byt zaujimave a zalezi aku uroven autorizacie by taketo riesenie dostalo. Od toho zavisi co sa s tym bude dat robit. Za realnejsie a rozumnejsie riesenie vsak povazujem znizovanie nutnej urovne autorizacie pre nejake ukony (vyzadovat vselikde ekvivalent notarsky overeneho podpisu, ked vo fyzickom svete staci podpis vlastnorucny je divne).


#3

├üno, z eID nie je mo┼żn├ę priv├ítne k─ż├║─Źe exportova┼ą. A je to spr├ívne.

Pripome┼łme si r├ímec pre autentifik├íciu (pod─ża platn├Żch predpisov):

  • jedna identita subjektu, viacer├ę autentifika─Źn├ę mechanizmy
  • s├║ stanoven├ę viacer├ę ├║rovne bezpe─Źnosti (t.j. aj ├║rovne z├íruk) pre autentifika─Źn├Ż mechanizmus (pod─ża eIDAS s├║ 3, pod─ża na┼íich ┼ítandardov 4, ale treba to ─Ź├şm sk├┤r zl├║─Źi┼ą s eIDAS levelmi)
  • eID autentifik├ícia nie je ÔÇťpomocou certifik├ítuÔÇŁ a sp─║┼ła najvy┼í┼íiu ├║rove┼ł bezpe─Źnosti
  • pr├şstup do schr├ínky moment├ílne (zo z├íkona) je umo┼żnen├Ż len pomocou eID alebo ÔÇťautentifika─Źn├ęho certifik├ítuÔÇŁ (AC)
  • AC je myslen├Ż na technick├Ż pr├şstup (API), nie prim├írne grafick├Żm rozhran├şm
  • pr├şstup cez AC v podstate funguje (vi─Ć. GovBox), ale je to extr├ęmne pr├ícne (najm├Ą integr├ícia)

To ─Źo chce┼í by sa dalo rie┼íi┼ą takto:

  • vytvor├şm si priv├ítny k─ż├║─Ź, ktor├Ż si spravujem ako chcem - Win Trusted storage, zamestnaneck├í Smart Card
  • k nemu vytvor├şm certifik├ít, ktor├Ż budem pou┼ż├şva┼ą ako AC
  • pomocou eID podp├ş┼íem potrebn├ę ┼żiadosti o pou┼żitie tohto AC (t.j. jeho zaradenie do registra AC)
  • sprav├şm si softv├ęr, ktor├Ż pomocou AC vie pristupova┼ą k schr├ínke (alebo pou┼żijem nejak├Ż existuj├║ci, ale neviem o ┼żiadnom ─Źo by podporoval scen├ír pou┼żitia AC ako potrebuje┼í)
  • pripoj├şm sa na API schr├ínok (to je t├í integr├ícia), alebo pou┼żijem nejak├ę proxy aby som t├Żm nezabil 4 mesiace ┼żivota

#4

Rozumiem. Dakujem za super podciarove info. Predpokladam, ze tie veci budu riesene parovanim identifikatora device a len prvotne potvrdenie pomocou OP. Takto by to mohlo skrz nejaku aplikaciu (inak symantec ma take riesenie - symantec vip access) fungovat vseobecne.