質問:
家庭で使用するのに適したスマートカードは何ですか?
SEJPM
2015-09-12 21:32:28 UTC
view on stackexchange narkive permalink

私は常にインターネットのセキュリティを向上させる方法を探しています。私はプログラマーでもあり、 InfoSec Cryptoにある程度積極的であるため、スマートカードが最適であると判断しました。

そのため、次の資格を持つスマートカード(またはUSBトークン)を探しています。

  • 楕円曲線暗号のサポート(256ビット以上)
  • RSA(2048ビット以上)のサポート
  • 各キーの少なくとも10個のキーのストレージ
  • FIPS140-2レベル3認定(推奨)または高いコモンクライテリア認定(EAL 4 +)
  • 個人(非企業)が取得可能である必要があります
  • ドライバー( PKCS#11 / CSP / CNG)直接または OpenSCを介したWindows7およびWindows10(両方ともx64)のサポート。
  • 災害時の安全なキーバックアップとキーリカバリのサポート(たとえば、ラップされたキーのエクスポートと、別の物理カードでアンラップする方法)
  • 実際のカードの場合:標準の物理インターフェイス(つまり、ベンダー固有のカードリーダーは必要ありません)

必須ではないpo intには次のものが含まれます:

  • カスタムECC曲線のサポート
  • Curve25519 / Curve448
  • のネイティブサポートのサポートRSASSA-PSSまたは ECDSA(ソフトウェアがハッシュを実行しない場合)
  • 実際のカードの場合:非接触操作性
  • 低価格(< $ 100 perピース)
  • 資格のある電子署名の資格(つまり、法的拘束力のある署名)、できればドイツの法律の下で
また、Athena SCS IDProtect LASERを購入することを検討している場合は、テストが終了したら、後で追加します。ハードウェアキーボード(カードリーダーのピンパッドなど)は使用できないことに注意してください。 。
また、前提条件として、暗号化APIを使用する機能も必要です。
@Michaelそれは「ドライバーサポート」でカバーされています。
必ずしもそうとは限りませんが、一部の製品には署名されていないドライバーが付属しています。私には選択肢がありません。 @SEJPM
@Michaelも、GemaltosとAthenasがドライバーに署名していますが、Windowsではなく実際にLinuxをターゲットにしているSC-HSMだけが、適切なドライバー署名を持っていません。
二 答え:
#1
+13
Thomas Pornin
2016-04-19 05:29:03 UTC
view on stackexchange narkive permalink

バックアップ要件を除いて、 Gemalto IDPrime MDは要件に適合しているようです。いくつかの注意点:

  • RSAでは2048ビットでトップになります。 ECCの場合、カスタム曲線ではなく、3つの標準NIST曲線(P-256、P-384、およびP-521)のみをサポートします。
  • 経験から、APDUレベルでは、署名操作は実際にはコマンドです。秘密鍵を使用してべき乗剰余を実行します。したがって、ハードウェアはすべての種類のRSA(PKCS#1 v1.5、PSS ...)と互換性がありますが、ハッシュとパディングはホストコンピューターで実行されます。
  • MD830はFIPS140- 2レベル3、MD840はEAL5 +です。大西洋の両側で認定されたモデルはないようです。
  • カードは標準サイズのプラスチックの長方形として入手でき、名目上はすべての標準リーダーと互換性があります。ただし、カードが入った小さなサイズのUSBカードリーダーである「IDBridge」形式で入手することもできます。
  • 個々のカードは cryptoshopから購入できます。しかし、何が得られるのかは少し不明確です。同じパッケージを使用するIDPrimeMDカードとIDPrime.NETカードがあり、後者はECCをサポートしていません(RSAのみ)。明るい面では、個々の価格は約20ユーロになります。
  • カードはカスタムアプリケーション(.NETのサブセット)で再プログラム可能であるはずですが、私はそれを試したことがなく、追加のライセンスなどが必要です。認定は、再プログラムされたカードには適用されないと思います。

バックアップに関しては、署名キーのバックアップは必要ないと断言する準備ができています。実際、署名キーのバックアップが存在すると、署名の法的価値が低下するだけです(ただし、これにより、なぜ何かに署名する必要があるのか​​という疑問が生じます。生成する署名は、自分自身に向けられた法的​​武器です)。 。

暗号化キーの場合、データの損失を防ぐためにバックアップが必要です。認定されたハードウェアの外部に秘密キーを存在させたくない場合は、これらのカードを使用した優れたソリューションはありません。 個人的な使用のために、偏執病の場合でも、ハードディスクなしでCDROMを介して起動されたオフラインコンピューターでキーを生成するキー生成式を手配できます。次に、コンピュータは4枚または5枚のスマートカードのキーを押します。これは非常に多くのバックアップになります。

興味のある購入者への注意:友人が実際にこれらのカードの1つを購入しましたが、PKCS#11ライブラリでさえコンパイルされなかったため、Linuxで正しく実行するのに大きな問題がありました。どうやらWindowsの下では、すべてが機能しました。これらのカードを使用している他のショップは、[SmartCardFocus](http://www.smartcardfocus.com/)と[Gemalto Webstore](https://webstore.gemalto.com/INTERSHOP/web/WFS/GEMALTO-B2CCORP-Site/ en_US /-/ EUR / Default-Start)。
LinuxとWindowsで使用するこのスマートカードを購入することに興味がありました。しかし、Linuxでドライバーを入手するには、GemaltoSafeNetライセンスが必要であると言われました。私が連絡したジェムアルトの再販業者は、少なくとも25ライセンスを購入する必要があると言っていました。再販業者が私に言ったことを確認するために、ここにスレッドを作成しました:https://security.stackexchange.com/questions/206573/does-opensc-required-proprietary-gemalto-safenet-middleware-to-support-gemalto-iSoこのカードは、確認された場合、家庭での使用には適していないようです。
#2
  0
SEJPM
2016-06-20 03:10:45 UTC
view on stackexchange narkive permalink

トーマスがGemaltoIDPrimeカードを推奨していることに不満を持っている人もいると思うので、ここで別のオプションを提供したいと思います:

Smartcard-HSM

  • 1024〜2048ビットのRSAまたは最大320ビットのECCを提供し、すべてのNISTおよびBrainpoolカーブがプリロードされており、カスタムカーブをサポートすることもできます(ただし、現在、このソースはありません)
  • ECDSAおよびRSA署名をサポートし、SHA-1ベースのカードハッシュ(ECDSA)およびSHA1 / -256 / -384 / -512ベースのRSAを可能にします事前ハッシュ(「PKCS」、PKCS#1 v1.5の場合があります)
  • オペレーティングシステムはCCEAL5 +認定済みであり、チッププラットフォームはEAL2 +のみであり、 TOEはここにあります
  • 標準のカードフォームファクター(接触、非接触、デュアルインターフェイス)、セキュアエレメントと1GBの通常メモリを備えたマイクロSD、およびUSBトークンとして出荷されます
  • 現時点で唯一の再販業者は card-o-maticであり、個々のカードは1枚あたり約20ユーロ、トークンは約80ユーロでmです。 ore
  • ドライバーサポートはOpenSC経由で利用でき、Windows CAPIとPKCS#11をサポートします。デバイスドライバー(Windows用)は追加で提供され、インストールのドライバー署名チェックを無効にする必要がありますが、OpenSC PKCS#11ライブラリただし、制限があります。たとえば、同時にトークンにアクセスできるのは1つのアプリケーションのみです。
  • 特定のキー(デバイスキー暗号化キー(DKEK)と呼ばれる)でカードを初期化した場合は、キーバックアップをオフカードにすることができますが、そうでない場合はできません

TL; DR:少し費用がかかり、時々不便になる可能性があります。セキュリティレベルには多少制限がありますが、バックアップ、ブレインプール、および/または高いCC認定が必要な場合は、これが正しい選択である可能性があります。

ドライバーの署名について製造元に問い合わせたところ、WindowsではなくLinuxと組み込みシステムを主に対象としているため、製造元には価値がないと回答したことに注意してください。


このQ&Aは英語から自動的に翻訳されました。オリジナルのコンテンツはstackexchangeで入手できます。これは、配布されているcc by-sa 3.0ライセンスに感謝します。
Loading...