 Schönen guten Tag zusammen. Mein Name ist Reinhard Mutz. Ich arbeite so ein Leben hierhin und wieder auch mal für Sie es hört. Und möchte heute mal einen Vortrag halten zum Thema SmartCards. Ich habe diese Grafik von einem bekannten Dokument BetterCrypto.org und dort Crypto-Bright Hardening. Und ich denke, die passt eigentlich nicht ganz gut und war heutige Zeit. Das, was die Dame sagt, ist dann aus dem russischen Kroner bekannt von mir übersetzt worden. So geht das? Okay, Sie müssen nur näher. Ja, dann nimm ich Sie in der Hand. Ah ja, gut, alles. Gut, danke schön. Ich fange von vorne an. Also begrüße erst mal alle Anwesenden zu diesem Vortrag. Ich finde ganz gut, dass so viele erschienen sind. Mein Name ist Reinhard Mutz. Ich arbeite hin und wieder einmal für Sie es hört. Und habe heute hier vor einen kleinen Vortrag zum Thema SmartCards zu halten. Das sind diese kleinen Plastikgarten mit einem Chip drauf. Das ist ein sehr guter Vortrag. Und ich habe hier vor einen kleinen Vortrag zum Thema SmartCards zu halten. Das sind diese kleinen Plastikgarten mit einem Chip drauf. Ich werde dazu gleich ein bisschen mehr sagen. Und ich starte einfach mal mit der ersten Seite. Die Grafik ist von einem bekannten Dokument von der Seite BetterCrypto.org. Das Ganze in diesen Tagen auf Russisch und das Ganze hat eine bekannte von mir übersetzt. Als die Dolmetscherin war, muss man sagen, auch tätig war. Und die entsprechende Übersetzung, wer will, kann es hier mal eben nachlesen. Das ist eigentlich recht einfach im Deutschen. Das heißt, pass auf. In diesen Tagen haben die Wände ohren. Rede nicht so viel, schweige lieber. Und es passt eigentlich genau in die Zeit, die wir heute sehen. Zum Thema SmartCards. SmartCards helfen, gewisse Geheimnisse zu verbergen. Von neugierigen Blicken anderer. Vor der eigenen Vergesslichkeit. SmartCards vergess nichts. Allerdings ist es erforderlich, an der Stelle eben auch das entsprechende Passwort zu kennen. Die Dinge, die ich gleich hier zeige, kann ich hier auch mal damit ins Publikum winken. Wer die sehen möchte, kann auch nachher hier mal ganz kurz stehen bleiben. Das Anschauungsmaterial ist einfach hier. So, in dem Kursus möchte ich heute oder in dem Vortrag möchte ich eigentlich zeigen, dass SmartCards den Umgang mit Kryptografie durchaus erleichtern helfen. Allerdings, wer glaubt, ich kaufe ein SmartCard und bin fertig, der hat sich geirrt. Die Lernkurve im Umgang mit SmartCards ist steil, schwierig. Und es dauert, bis das man so weit gekommen ist, dass man diese Dinge tatsächlich einsetzen kann. Das ist keine einfache Sache. Aus dem Grunde will ich hier auch nicht allzu viel auf entsprechende Kommandos eingehen, weil diese Sache von Hersteller zu Hersteller möglicherweise verschieden sind. Da, wo man auf SmartCards aufsetzen kann, den oben SC-Standard, oder besser gesagt den PKCS 15-Standard folgen, sind die Kommandos einheitlich, auch wenn es da bestimmte Mappings gibt, aber da muss uns nicht weiter interessieren. Dort kann ich auch hingehen und sagen, diese Dinge sind mit der Installation gebrauchsfertig, aber wenn ich eine Karte kaufe, ist diese Karte leer. Und da muss man was draufbringen. Und wenn da was draufgebracht wurde, muss ich es noch in irgendeiner Weise einrichten. Und danach geht die Sache von selbst. Dann merke ich mir eigentlich nur noch ein Passwort für die Karte selber und bin an den Stellen fertig und kann sagen, ich habe hier was für meine eigene Sicherheit getan. Die Karten, die ich jetzt vorstellen möchte hier, ist einmal die Karte OWOC OneWebOneKey von Rainer SCT. Das ist tatsächlich nur, auch wie es jetzt hier auf dem Bild steht, eine Lock-in-Karte. Die Karte fällt ein bisschen aus dem Rahmen, weil man kann diese Karte gar nicht beschreiben, man kann sie wohl lesen. Dann muss ich dazu sagen, die Karte ist bei Park. Wenn man sich bei Rainer SCT dieses Gerät kauft, das ist der Komfortleser. Der kostet bei Rainer SCT 159 Nasse. Bei Völkner Elektronik ist er für 105 zu haben. Wer den haben möchte, aus welchen Gründen auch immer ein Tipp habe ich gerade gegeben. Mit der Karte war es so, ich habe das Ding vor zwei Jahren oder zweieinhalb Jahren mal erworben. Die Karte lag dabei und die Software von Rainer, speziell gemacht für den neuen Personalausweis, ist entwickelt worden als Browser-Interface nur laufähig auf 32-Bit-Technologie Firefox ESR 17. Mit dieser verdammt modernen Hardware und Software vor allen Dingen ist es mir gelungen, die Karte tatsächlich in Betrieb zu nehmen. Ich habe mich dann auch damit bei Rainer SCT registrieren können. Und dann kommt der erste Vorteil der Karte, was man damit machen kann, wenn man sich so registriert hat. Man kann für dieses Gerät hier die Garantie verlängern. Das ist mir geglückt. Mittlerweile habe ich aber den Firefox einer etwas anderen, neueren Version. Auch hier dieser Laptop 64-Bit-Technologie. Und ich habe mal versucht, dieses Gerät hier in irgendeiner Weise nutzbar zu machen. Die Java-Bibliothek, die dabei liegt, oder besser gesagt, Java-Script-Bibliotheken, so was alles, sagen wir an der Stelle, da sind Fehler. Und ich habe ehrlich gesagt keine Lust zum Suchen. Dann der zweite Teil von den Karten. Zu dem chinesischen Hersteller Feitian gibt es viel zu erzählen. Und ich muss eigentlich sagen, die Karte ist auf der einen Seite so, dass man sagen kann, die Karte begeistert. Und auf der anderen Seite muss man doch gucken, dass diese Karte gewisse Anforderungen nicht genügt. Die Karte bietet Platz für bis zu sieben Zertifikate. Unterstützt RSA-Kies mit einer Länge bis zu 2048 Bit, nicht darüber hinaus. Und hat und kennt zwei Passworte. Das eine ist die ganz normale Userpin. Und die ist nötig, damit die Software auf die Karte zugreifen kann und die Karte auslesen kann. Was nicht mehr ausgelesen wird, ist der private Schlüssel. Der bleibt auf der Karte. Kryptografische Funktionen werden auf der Karte ausgeführt. Das ist ein Vorteil. Es kann also niemand hingehen und zum Beispiel im Private Key irgendwo mitbekommen. Die Karte ist für meinen Kollegen Benni, der private Key sammelt und die auch auf seiner Webseite veröffentlicht. Nicht die Karte, die er sich wünscht, er wünscht sich was anderes. Aber diese Seiten kann man dann gefahrlos besuchen, da wird nichts passieren. Der Nachteil dieser Karte ist, es gibt keine SO-Pin. SO ist hier die Abkürzung für den Security Officer. Und da ist die Frage direkt da, was für Aufgaben hat die Pin. Die Userpin schaltet die Karte zum Gebrauch frei. Wenn ich das Passwort vergessen habe und als User die Puck eingebe, dann ist es wie üblich in diesen Bereichen. Ich kann die Anzahl meiner Fehlversuche dadurch auf Null zurücksetzen und habe wiederum drei neue Versuche, das richtige Passwort einzugeben. Das wird aber irgendwann auch nicht mehr helfen. Und wenn die notwendige oder einstellbare Anzahl von Fehlversuchen erreicht wurde, macht die Karte dicht. Und dann ist der Private Key auch für mich ein nicht zu knackendes Geheimnis. Also muss man aus diesen Dingen schon mal lernen. Im Umgang mit Smart Cards ist es wichtig, sich die entsprechenden Passworte und so weiter aufzuschreiben und die so zu deponieren, dass die außer mir auch sonst niemand mehr zu lesen bekommt. Dann die Frage, was macht die SO-Pin? Die SO-Pin, wie gesagt Security Officer-Pin, würde es erlauben, auf der Karte ein neues Passwort zu setzen. Und dann käme ich an den Inhalt von der Karte wieder dran. Da sehe ich schon, dass einige Leute den Kopf schöpeln. Der Gebrauch der Karte ist abhängig von zwei Einsatzszenarien. Privat, da brauche ich den SO-Pin nicht. Wenn ich aber im Unternehmen bin und meinen Mitarbeitern Kartenaussendige, dann möchte ich da schon mal wissen, was los ist und bekannterweise vergessen Mitarbeiter nicht nur Passworte. Sie vergessen auch, wo sie sich die aufgeschrieben haben und sie vergessen dann irgendwann auch, wem sie die vorher mal vertraulich erzählt haben, damit sie bei Zeiten wieder daran erinnert werden können. Und an den Stellen muss ich sagen, eine Karte ohne SO-Pin ist für den Unternehmenseinsatz eher nicht geeignet. Es hat ein Franzose mal versucht, mit Feitian in Europa ein ganz großes Geschäft aufzuziehen. Er hatte eine schöne Webseite, Guzeu. Mittlerweile hat er sein Geschäft aufgegeben und zwar eben wegen der fehlenden Möglichkeit, eine SO-Pin einzugeben. Den chinesischen Hersteller wird nachgesagt, dass er eine Applikation hat, mit der er das machen könnte. Es ist auch versprochen worden, die entsprechende Applikation freizugeben. Aber die ist bei Guzeu nie angekommen. Sodass er nach knapp zwei Jahren vergeblicher Versuche gesagt hat, das ist kein verlässlicher Partner. Wenn ich die SO-Pin nicht eingeben kann, der Verdacht aber besteht, dass der Hersteller das nach wie vor kann, dann ist an dieser Stelle irgendwas faul. Und ich muss die Notbremse ziehen. Das hat er gemacht. Er hat den Vertrag mit Feitian im Ganzen aufgekündigt. Er ist mittlerweile wieder in seinem hausbackenden Beruf als Matheleer tätig. Und die Webseite kommt eigentlich nur auf die Meldung, die Services sind heruntergefahren. Da steht leider nichts mehr zur Verfügung. Er hat sehr viel, man muss sich sagen, getan. Er hat einen bekannten Entwickler bezahlt, der OpenSC Tools und so weiter für Smart Cards geholfen hat, zu entwickeln und, und, und. Das alles ist leider weg. Das sind insofern keine gute Sachen. Als nächste Karte haben wir hier die GluPG-Karte, die Version 2.0. Erlaubt es hier, ASR-Key das Mittenhaltinge von 3072 mit aufzubringen. Die verlangt die Installationen von CCI-Udef-Roles. Das sind eigentlich nur ein paar Textsachen. Und ansonsten ist auf der Karte vergleichsweise wenig Platz, also einzartifikat im Grunde genommen und sonst nicht mehr. Die Karte ist dann auch preisig gesehen 3, 4 Euro teurer als die von den Chinesen. Bei den Chinesen kann man die im Bandel bestellen, 5 Stück. Ist so für das Bandel das Minimum, dann liegt die Karte etwa bei 15 Euro. Hier weiß ich jetzt nur den Preis von der einen Karte, die liegt etwa bei 18, 19 Euro. Und die Version 2.0 hat hier noch einen kontaktlosen Chip drauf und zwar eine My 4 Classic. Mittlerweile gibt es die Version 2.1. Die zulässige Key-Length sind 4096 Bit. Es gibt Verbesserungen gegenüber der Version 2.0. Und was vielleicht das Interessante ist, es gibt mittlerweile die technische Beschreibung der Version 3.0. An die Karte ist noch lange nicht zu denken. Das Ganze zeigt aber jetzt schon mal eine gewisse Tendenz auf, eine einmal gekaufte Karte hält auch nur eine ganz begrenzte Zeit. Und die hält nur deswegen eine begrenzte Zeit, weil die Software unaufhörlich schneller entwickelt wird, als das auf eine Karte übertragen werden kann. Insofern, wenn man sich hier mit dem Gedanken trägt, auch in größeren Umgebungen mit Smartcards zu experimentieren und die einzusetzen, ist gut beraten, verschiedenste Hersteller auszuprobieren und mit diesen Leuten dann eben auch Gespräche zu suchen. Ich weiß zum Beispiel von der Uni Leipzig, dass die für demnächst alle auch nicht-wissenschaftlichen Mitarbeiter und studentischen Hilfskräfte ein Projekt aufgesetzt haben, und so, dass sie ein Login auf den Uni-Rechner mit Smartcards möglich machen. Die haben sich für einen bekannten Hersteller aus Holland entschieden. Mit der einfachen Begründung, ich brauche für diesen USB-Stick keinen Treiber. Die Treiber sind bei den Betriebssystemen dabei und egal, ob das jetzt Linux oder Windows ist, sie laufen auf beiden Systemen. Es gibt auch da gewisse Einschränkungen. Es gibt dann eben halt Zertifikate mit einer Schlüssellänge 2048 Bild, nicht darüber hinaus. Aber für den Einsatzzweck ist es an der Stelle so, die sagen, das ist gut so. Das reicht uns. Sie bekommen auch eine eigene API. Der Hersteller schlattet die mit einer entsprechenden SDK aus. Als Gegenleistung unterschreiben sie ein NDA. Das heißt, dass das, was sie da selber machen können und was sie da erfahren von einem Hersteller, geben sie nicht weiter. Das bleibt an der Stelle properitäre Welt und verschlossen. Wer das haben will, müsste sich an den Hersteller wenden und selber dort vorstellig werden. Ein NDA unterschreiben und dann kann das sein. Bei Stückzahlen von am Ende irgendwo 20, 30.000 Stück ist das wohl jederzeit machbar. Dann kommen wir mal zu den Lesegeräten. Auch da wiederum gibt es die von Feitern. Man sieht jetzt hier schon wieder, Hardware. Diese Lesegeräte sind hier zwar Full-Speed, aber USB 2.0, für USB 3 habe ich sowas noch nicht gesehen. Das ist alles irgendwo im Kommen. Vorsichtig ausgedrückt, aber um diese Probleme muss man sich kümmern. Das Interessante ist, der unterstützt jetzt hier T0 und T1 Protokolle und die Klassen AB und C. Insofern ist das schon ein recht komfortables Gerät und man muss auch sagen, relativ preiswert. Ich glaube, das liegt so um unter 20 Euro. Feitern hat in dem Bereich ein USB-Kryptostick auf den Markt gebracht als E-Pass 2003. Das Leer hier, der sieht so aus, diese Größenordnung. Goose hat den Angeboten hier Stückpreis, ich glaube 17,50 Euro, eigentlich sehr preiswert. Der Nachteil ist, also das Ding ist für Windows-Leute gedacht und gemacht. Und Goose hatte eine SDK, um diese Sachen linuxtauglich zu machen. Wie gesagt, es gibt es nicht mehr. Schade, weil das Teil ist wirklich klasse. Es hat ein Speicherbereich von ungefähr 64 Kilobytes, also 7 Zartifikate und man kann damit fantastisch arbeiten. Das ist der Rieder, von dem auch ich den Titel entliegen habe. Das ist dieses Teil hier. Ich kann ihn zusammenfalten, dann habe ich den. Dann kann ich ihn auseinanderfalten. Dann sehen Sie an der Seite dieses USB-Ding und hier vorne einen kleinen Schlitz. Und in diesen Schlitz passt dann eben auch eine Smartguard rein. So, wenn ich die so zusammengesteckt habe, kann ich das Ding einstecken und bin sofort fertig. Ich glaube, die beiden Teile passen jederzeit in die Hosentasche. Auf der Karte, wie gesagt, ein Kryptoprozessor und damit sind alle kryptografischen Funktionen in einem gesicherten Environment. Es gibt dann an der Stelle ein bisschen abgewandelt ein Gerät wie das hier, so ein Tischgerät mit entsprechend langem Anschlussgabel. Kann man sich am PC irgendwo anbringen, hat es auf dem Schreibtisch stehen, steckt die Karte von vorne rein und gut ist. Es gibt dann auch noch weitere Möglichkeiten, Sie kennen die Tastaturen, bei denen man Chipkarten einführt. Also wer schon mal öfter bei einem Onkel Doktor zu Besuch war und die Gesundheitskarte vorgelegt hat, der sieht das, die stecken die rein, dann wird die ausgelesen. Es gab mal vor einiger Zeit eine sehr preiswerte Tastatur von Lenovo mit integriertem Chipkartenleser für 15, 16 Euro, die habe ich mir mal direkt besorgt. Funktioniert einwandfrei, ich muss allerdings dazu sagen, bis da sich dieses Keyboard unter Linux am Laufen hatte, habe ich ein bisschen geguckt, weil standardmäßig mit neuere Hardware ist das Ding am USB-Port ausgeschaltet. Man muss das tatsächlich im BIOS feischalten und dann funktioniert es. Das sind so die kleinen, sagen wir mal, Hesslichkeiten, an denen man sich irgendwann mal aufhalten wird. Und wenn die, wie es vorhin sagte, wenn die überwunden sind, ist eigentlich soweit alles in Ordnung. So, der reine SCT-Comfort-Leser, also dieses Teil, ist der Comfort-Leser der extra-Klasse, er hat ein eigenes Display, eine eigene Tastatur und eine USB-Verbindung. Der Leser hier garantiert, dass die Daten, die hier auf dem Display angezeigt werden, nicht über den Host laufen. Das ist eine ganz wichtige Sache. Der ist vom BSI zertifiziert, für alle Funktionen vom neuen Personalausweis. Der neue Personalausweis fällt mit, unter dem Begriff der SmartGards, ist allerdings berührungslos. Es ist halt ein NFC-Chip da drin und er kann mit dem hier ausgelesen werden. Er hat zwei Möglichkeiten. Er liest sowohl kontaktbehaftete Karten aus als auch kontaktlose Karten. Als, sagen wir mal, als kleiner Zusatz jetzt dazu, eine Information. Ich habe hier auch den Basis-Leser. Der Basis-Leser kostet nun keine 100 Euro oder so, auch keine 50, ich glaube, der liegt bei 30 Euro. Da legt man hier den neuen Personalausweis drauf und dann kann der ausgelesen werden. Dazu muss man aber das Passwort über die ganz normale PC-Tastatur eingeben und dann ist es eigentlich das Sicherheitskonzept an der Stelle gebrochen. Dass das Ding zertifiziert worden ist, bezeichnet man BSI-Intern mittlerweile als, naja, es ist halt passiert. Also ich glaube, mit den heutigen Erfahrungen würden sich so Dinge auch nicht mehr freigeben für den Markt. So, wenn ich eine SmartGard jetzt besitze und lese gerade untergleichen, dann ist die Frage, was muss ich tun unter Linux laufen die Dinge mittlerweile out of the box. Man muss das Paket OpenSC installieren, dann PCSC Lite und GNUT-LS. Mit der Installation ist man eigentlich schon fertig. Es gibt mittlerweile eine Vielzahl von Geräten, die hier unterstützt werden. Sofern diese den Standard hier in CCID unterstützen. Die Liste ist wirklich lang. Und wer sich dafür interessiert, sollte mal einfach die Dateien studieren, die bei einer Installation aufgespielt werden. Dort gibt es dann eine Datei namens P-List Info und in dieser P-List Info stehen alle unterstützten Geräte drin. So viel vorweg, wer so wissen will, welcher Hardware möglicherweise nicht unterstützt wird, sollte sich diese Dinge trotzdem installieren. Der kann in P-List nachgucken, ob seine beabsichtigte Hardware hier direkt unterstützt wird oder nicht. Wenn die Karte nun installiert ist, muss da etwas drauf. Am Beispiel eines einfachen digitalen Zertifikats wird man jetzt hingehen und schlüsselbar erzeugen, den Certificate-Signing-Request erzeugen. Ich habe hier mal geschrieben, man kann sich auf dem Tester von CSert einloggen, den CSR hochladen, Certificat erzeugen, herunterladen und dann beides im Format P12 wieder abspeichern. Nun weiß ich nicht, wie gut und wie genau man sich mit diesen Dingen hier schon auskennt. Auch hier ist es sicherlich so OpenSSL, SwissKnife, wie man so manchmal tschärfzahlbar sagt, aber es ist halt nicht ganz einfach, mit diesen Dingen umzugehen. Einige Dinge möchte ich mal hier zeigen. Wenn ich den privaten Schlüssel generieren will, dann nehme ich das Kommando OpenSSL, GenRSA, der Minus Out, Client Key und gebe dann noch die Schlüssellinge an. Es steht anschließend in dieser Datei Client Key der private Schlüssel drin. Und ich kann mir z.B. mit C8-K auch anzeigen lassen. Es gibt dann so eine kleine ASCII-Grafik, die so ein bisschen was verrät über die Streuung der Entität. Wenn mir das nicht gefällt, kann ich dieses Kommando beliebig oft wiederholen, bis das es mir gefällt. Nur das, was ich jetzt hier hingeschrieben habe, ist nicht die ganze Wahrheit. Die ganze Wahrheit auf einem PC ist einfach die, wenn ich das Kommando unmittelbar nach dem Booten eingebe, kann es sein, dass ich beim nächsten Booten den gleichen privaten Schlüssel bekomme. Nicht sehr wahrscheinlich, weil moderne Systeme setzen in Diemen ein, und zwar den Hefted Diemen, mit dem man also versucht Entropie auch abzuspeichern und vorzuhalten. Aber auf der sicheren Seite ist man, indem man einfach mal das Kommando Urandom aufruft und dann mal so 500 MB in eine Tonne schreibt. Danach ist Entropie mit Sicherheit auf dem System vorhanden, und dann kann ich mit diesen Kommandos weitergehen. Ich kann auch hingehen, dass das Schöne jetzt hier mit C8-Tool beispielsweise mir eine elliptische Kurve generieren, hat aber dann den Nachteil, dass ich zwar hier einen privaten Schlüssel bekomme, aber meine Smart-Cards können mit elliptischen Kurven zur Zeit nichts anfangen. Also bin ich gezwungen, tatsächlich an den Stellen auf RSA-Schlüssel zu bleiben. So, wenn ich das so weit bin, der Schlüssel gefällt mir, dann kann ich hier mit OpenSSL ein Certificate zu einem Request erzeugen, indem ich dieses Kommando einfach hier eingebe, dann läuft ein Dialog ab, ich werde gefragt, in welchem Land ich bin, ein Full-Qualified-Domain, dem soll angegeben werden, eine E-Mail-Adresse, mein Name und so weiter und so fort, und wenn ich dann fertig bin, ist auch das Certificate zu einem Request abgespeichert, der liegt vor, und ich kann mir dann die Inhalte hier auch nochmal kurz anzeigen lassen. Und mach dann Folgendes, wenn ein Anbieter von Certificaten das möglich macht, das ganze CSR hochzuladen, dann sollte man diesen Weg gehen, weil dann auch sichergestellt ist, dass der private Schlüssel definitiv nur auf meiner Maschine ist. Der ist dem CSR nicht enthalten, dem CSR ist lediglich der Fingerprint vom privaten Schlüssel enthalten. Wenn ich den nachher zurückbekomme, muss ich die beiden Teile zu einer Datei zusammenfügen. Und das ist dann hier beschrieben, und zwar auch wiederum mit OpenSSL, pkcs12 ist das Format, das hier gefragt wird, also p12. Ich exportiere das und sage, die Outdatei soll jetzt hier Rm, wäre ich in meinem Fall, minusseriennummer.b12 sein. Ich mache das über die Seriennummer, weil ich dann sofort weiß, wie viel Certificate ich wann wo habe und so weiter und so fort. Und ich kann die auch definitiv zuordnen. Ich habe hier bei CSR ungefähr, ich würde mal sagen, so circa 15 verschiedene Mailadressen und für jede einzelne nutze ich ein Certificat. Und ich gehöre nicht zu denen, die an der Stelle mehrere Mailadressen in ein Certificat wackeln, sondern definitiv eine Mailadresse, ein Certificat. Hat Vorteile, gibt Leute die sagen, nee, brauche ich nicht, wenn dann alles direkt rein, je mehr Mailadressen sie da reinschreiben, umso mehr ist auch von ihnen bekannt. Und in meinem ganz konkreten Fall, ich bekenne es ehrlich, ich bin bekennender Skatspieler. Das weiß nicht jeder und das geht auch nicht jeden was an. Und für meine Mailadressen in dem Umfall habe ich selbstverständlich auch Certificate. Ganz klar. Das Ganze schreibe ich in ein p12 von Martin und an der Stelle möchte ich einfach nur mal sagen, es ist ein bisschen erschreckend, wenn man sie dreimal nach der Eingabe eines Passwords fragt. Wenn sie es abgespeichert haben, geben sie ein Passwort ein. Dann wollen sie es irgendwann zusammenführen, das heißt, sie geben das Passwort ein, was sie gebraucht haben, um es abzuspeichern. Dann wird das Passwort abgefragt von Private Key und es wird das Passwort abgefragt, unter dem die p12 Datei abgespeichert wird. Und letzter ist es wichtig, wenn sie die p12 Datei im Mozilla, im Thunderbird, im e-mail-Klient X, Z und Z sonstwo installieren wollen, dann werden sie das letzte Passwort aus dieser Dreierkette benötigen. Damit bei 10, 20, 30 Certificaten der Überblick nicht verloren geht, muss ich an dieser Stelle einfach mal hingehen und eine kleine Empfehlung aussprechen. Wenn das Certificat fertig ist, erstellen sich bitte eine simple CD. Die hat 700 MB, 20 Certificate ist also kein Platz und eine CD kostet heute gar nicht mehr so viel Geld. Das kann da alles wunderbar drauf und zwar speichern sie dort nicht einfach nur die Certificate ab, sondern sämtliche Kommandos, die sie eingetippt haben, um dieses Certificat zu erhalten. So oft macht man das nicht, man würde es irgendwann vergessen haben und dann heißt es verdammt noch mal, was habe ich denn damals da gemacht. Passwort nach 2 Jahren vielleicht das letzte, aber und so weiter, speichern sich das alles in der Textdatei ab, dokumentieren sie das wirklich Schritt für Schritt. Die Textdatei zusammen mit den Certificaten auf eine CD und anschließend mit dem Webkommando die Certificate vom Rechner gelöscht. Die brauchen sie nicht mehr auf dem Rechner. Wenn sie die in den Client installieren wollen, dann nur mit vorher gesetzten MasterPasswort niemals ohne. Das MasterPasswort wird benötigt, um die verschiedenen Datenbanken anzusprechen. Ansonsten liegen diese Dinge offen rum und wenn die offen rum liegen werden die auch irgendwann entfernt und von anderen Leuten gelesen. Das wollen sie bestimmt nicht haben. Insofern diese Dinge absichern über ein MasterPasswort und wenn es geht diese Sachen auf eine Smartcard bringen, dann sind sie ganz sicher. So dann mal zur Frage Smartcards im Unternehmen. Die Vorteile mögliche nachteile Vorteile sind ganz einfach, eine Smartcard kann nicht durch Zugucken ausgelesen werden. Geht einfach nicht. Wenn Sie einigermaßen darauf achten, kriegt auch keiner Ihre persönliche Pin mit. Gegebenenfalls könnten Sie die auch ändern. Wenn Sie das Passwort vergessen haben, wo die Ihre Smartcard ist, wissen Sie, die nehmen Sie und wenn Sie auch da das ZugangsPasswort vergessen haben, wie gesagt, die sollen sich wirklich aufschreiben. Zur Not müssen Sie nach Hause fahren in Safe gehen und die Smartcard sich wieder dort abholen. Aber das verhindert unter anderem, dass Passworte am Telefon weitergegeben werden. Haben wir Fritz, ich brauche mal eben Zugriff auf den Lauf weg, geht mal Passwort vorbei. Geht nicht. Fritz hat Zugriff drauf, der ist bekannt. Der kann Ihnen den Inhalt von der Datei eventuell vorlesen oder dergleichen aber Passwort darüber geben, geht gar nicht. Der Mitarbeiter kennt im Normalfall nur die Pinnen. Er hat den Zug nicht hat, muss er zur Systemadministration und dann tippt ihm einer die Puck ein und dann hat er wieder mal 3 Versuche und wenn das gar nicht geht und die Systemadministration über die SO-Pin verfügt, könnte die dann ein neues Passwort setzen. Dafür wäre beispielsweise ein SO-Pin sinnvoll. Einsatzgebiete OpenVib, e-mail und dergleichen ein weiteres Wichtiges Einsatzgebiet ist Documents-Signing beispielsweise oder wenn Sie entsprechende Statifikat haben auch Co-Signing. Dann die große Frage SmartGards zu Hause, brauche ich doch nicht. Stimmt. Aber wo von uns ist Launen? Das ist die Frage, die sich hier stellt und die Frage muss man irgendwann mal beantworten und Launen ist eigentlich der PC zu Hause, der ideale Trainingsort. Sie machen nichts kaputt. Schießen Sie sich selber vielleicht mal ab, wenn Sie Peche haben. Aber das kriegt man alles wieder hin mit hausbackenden Mitteln. Und die schwachstellende Zukunft in der Entwicklung sehen Sie eigentlich nur, wenn Sie anfangen, sich mit diesen Dingen zu beschäftigen. Ich sagte vorhin schon mal elliptische Kurven in der Kryptografie ist ein tolles Thema. Mit SmartGards das Problem, dass im Moment nicht wirklich unterstützt wird und wenn dann auch nur ganz spezielle einzelne Kurven aber nicht so wie das gerade mal diskutiert wird und SmartGards hinken nach meiner Schätzung etwa 2 Jahre der Softwareentwicklung hinterher. Das muss man sehen. Ansonsten ist gegen SmartGards gar nichts zu sagen, ganz im Gegenteil mit anderen Dingen vorzuziehen und wer viel unterwegs ist der sollte die SmartGards dabei haben und die halt getrennt von irgendwelchen aufgeschriebenen Dingen bewahren. Und die CD mit ihren Zertifikaten brauchen sie zu Hause, aber nicht unterwegs. Wissen ist Macht, wie immer und noch mal Ver- und Entschlüsselung passiert auf der Karte. So, dazu erstmal vielen Dank für die Aufmerksamkeit das wir bis hierhin durchgehalten haben finde ich schon mal erstaunlich und die einen sagen so, die anderen so das Thema ist nicht ganz einfach und ich möchte allen nochmal mit auf den Weg geben den bekannten Satz von Bruce Schneier Security is a process, not a product und zu diesem Prozess den er kennenzulernen so weiter lade ich Sie herzlich ein. Danke irgendwelche Fragen. Nein, der half gets H-P-G-E-D Ich glaube, dass Havel kommt von Havelster, so als Abkürzung Havelster ist die Antemaschine der sammelt Zufallszahlen auf der Maschine wie sie zufällig entstehen Normalerweise kennen wir dazu die zwei Funktionen Randomize also Random, die auf dem System läuft oder uRandom der neuere Nachfolger mit u uRandom das standortmäßig dabei, da brauchen Sie nichts besorgen gar nichts, das haben Sie auf jedem Linux-System drauf die Frage ist nur ist der Pott voll ist der Pott frisch gefüllt Sie können mit OpenSSL-Rand sich ein neues Randpfeil erzeugen also ein Punkt RND-Pfeil 24 bytes groß aber Sie können hingehen und sagen so, ich habe die Kiste gerade neu gebotet fünf Minuten brauche ich sowieso um Kaffee zu trinken und dann speisen Sie einfach mal den URandom an und zwar über das DD-Kommando und sagen DD und dann Input-Pfeil EF-Gleich, Slash-Def Slash-URandom Size-Gleich 512 und ein Count-Gleich von mir aus 1M dann zieht er Ihnen 512 MB da raus und schmeißt die direkt mit Slash-Def umleitung das Slash-Def-Sechnal ihr schmeißt die weg, sammelt allerdings Unterwegs Entropie und der Pott ist frisch gefüllt wenn Sie in Unternehmenseinsatz wiederum sind und müssen jetzt mal 300 Zertifikate erstellen für Mitarbeiter dann sollten Sie nach einer Zahl X ganz einfach mal diese Sache laufen lassen ganz einfach bitte Sie, wir haben da gerade das Mikro okay, danke für den Vortrag erstmal ich habe eine Frage bei der Hardware-Auflistung war jetzt der Yubi-Kinish mit drinnen, der ist ja prinzipiell wahrscheinlich fällt ja auch in die Richtung zwar nur die teure Ausführungen die können zumindest elliptische Kurven, den NIST-Kurven und nur kurz, ich glaube es 248 DRSA-Kurven gibt es deine Meinung dazu? Sie können gleich mal unten vorbeikommen, mein Kollege hat gerade mal drei frische Yubikis bekommen der kennt sich ja mit aus wir können da gerne nachher drüber diskutieren und sehen was die können und was eventuell nicht können jetzt war noch jemand von da ganz oben bitte ist der Unterschied zwischen Def-Random und U-Random nicht dass U-Random Pseudo-Zufall ist und Random wirklich aus dem Entropie-Pool an sich stammt wie kann der Entropie-Pool gefüllt werden wenn man U-Random abruft dadurch dass der Demon-Half-Gate aktiv ist der klingt sich da ein und sammelt die Entropie und speichert die auch ab wo soll die Entropie herkommen also von Tastature-Eingaben wenn man die Maus berührt von irgendwelchen Interrupts aber das passiert doch die ganze Zeit dadurch dass man Def-Random bzw. U-Random abruft kann man doch bloß Entropie verbrauchen und nicht neuerzeugen also wenn ich Random hier aufrufe dann bleibt der stehen dann passiert gar nichts U-Random zieht durch Def-Random blockiert wenn der Entropie-Pool leer ist und U-Random ist Pseudo-Zufall der erzeugt immer neuen auch wenn Entropie-Pool schon leer ist worauf von sie jetzt ganz genau hinaus damit ich das auch mal richtig verstehe nicht dass wir jetzt anfangs einander vorbeizureden also zum einen der Unterschied zwischen Def-Random und U-Random ist meiner Meinung nach dass Def-U-Random Pseudo-Zufall ist also nicht so zuverlässig ist wenn ich Kies erzeugen würde ich das eher aus Def-Random als U-Random nehmen Def-Random blockiert wenn kein Zufall im Pool mehr vorhanden ist und dann muss man halt neuen Zufall erzeugen indem man irgendwie auf der Tastatur rumklappert die Maus bewegt oder einfach wartet mit einem einzigeren Zufall also an diese Zufallsbewegungen mit der Maus und so weiter die mag es mit irgendwelchen Grafischen Tuts nach wie vor geben hier wird die Entropie im Hintergrund erzeugt und der Diemen sorgt dafür dass er davon erfährt und sammelt die und er sammelt eigentlich auch das was sonst zufällig auf der Maschine alles passiert der wertet alle Tastaturangaben aus und so weiter und so fort um sich darin für einen Vorrat an Entropie zu sorgen sonst nix und wie sie den füllen ist vollkommen egal nur wenn ich die Kiste neu einschalte habe ich einen leeren Hauptspeicher wenn ich beim leeren Hauptspeicher arbeite weiß ich nicht wo ich stehe deswegen ist die sichere Sache nach dem einschalten und wenn ich wirklich hingehen muss und muss mir ein Kieper erzeugen kann ich ein paar Dokumente aufmachen und ich kann aber eben auch mit der Idee einfach nur dafür sorgen dass da was passiert was passiert denn da der liest Defurendum aus aber an der Stelle wird doch höchstens Entropie verbraucht aber keiner erzeugt nach meiner Kenntnis wenn irgendein Prozess läuft ok dann können Interrupt entstehen und dadurch kann der Entropie Pool vielleicht gefüllt werden aber dann kann man auch Def 0 kopieren oder irgendwas wie bitte nicht das hat es mal gegeben die Sachen wollen wir nicht wieder haben bringen wir hier auch gar nicht erst in der Diskussion also es hat schon mal Fälle gegeben wo in einem Tool hartnäßig irgendwas was nicht initialiert worden ist auf 0 gesetzt worden ist und damit ist halt ein Bufferbereich der eigentlich irgendwie zufällig was enthalten sollte definitiv auf 0 gesetzt dass wir nicht weiter darüber reden die Zeiten wollen wir auch nicht wieder haben deswegen ist in den Entwicklungen muss man ja mal sehen der Herr F. G. Diemen der ist vor ich weiß nicht glaube 3 Jahren 4 Jahren etwa dazugekommen der ist also nicht ganz neu und dessen Aufgabe besteht eben darin gesichert dafür zu sorgen dass es einen Vorrat an Entropie gibt ja so dann war hier vorne noch jemand sie vergessen ich habe noch noch eine kleine Frage zur Hardware diesen schönen Club Card Reader ist der auch zu den Knuppige Cards kompatibel und auch zu den der schöne Club USB Card Reader den sie hatten ist der auch mit den Knuppige Cards kompatibel okay, da war ich nämlich noch ein bisschen auf der Suche nach Hardware-Kompatibilitäten ich meine wie gerechnet sind ich muss heute sagen nicht mehr sehr teuer ja und dann wollte ich noch mal Sie haben das vorhin sozusagen in einem Auffass gemacht ich wollte mir noch ein bisschen Eigenwerbung machen zur Knuppige Cards, weil das sind ja schon verschiedene Dinge und man kann auch verschiedene Sachen machen ich mache morgen ein Workshop zur Knuppige in der Praxis wo ich die Möglichkeiten, Einsatzmöglichkeiten der Smartcard an Beispiel der Knuppige Cards uns vielleicht auch noch ein paar Sachen zur Authentifizierung damit angucken können das würde eben recht schön an diesen Vortrag hier anschließen also wenn morgen der Vortrag ist Praxis mit der Club-BG-Garte würde ich dann auch gerne dazu kommen darf ich mal fragen wann der ist also morgen 17 Uhr, also okay dann gucken wir ins Programm heft und dann, so der oben war erster und dann noch den hier ja, man kann ja über so eine SSL Verbindung nicht nur den Server authentifizieren sondern auch den Client und entsprechend benutzen manche Websites halt auch Kleinzertifikate um die Nutzer zu identifizieren StartSSL macht das zum Beispiel das Vorgehen dabei ist dass halt im Webbrowser auf Anforderungen ein neues Zertifikat erzeugt wird da wird der Publikier dann zum Server hochgeladen und kommt signiert zurück würde mich interessieren, gibt es da irgendwie einen Tooling dafür erzeugten Privatekeys dann auch auf so eine Smartcard automatisiert zu kriegen dass sie das auch aus dem Bausag gleich mitnehmen kann oder? Bei dem vorbeschriebenen Weg ist der wenn es also über einen normalen CSR geht ist der private Schlüssel immer auf ihrem PC und den bringen sie nicht nach StartSSL hin und startSSL dienen den auch nicht zurück genau, ich schicke da nur den Publikien also den öffentlichen Schlüssel und schicke dann den CSR hin und in dem CSR ist der Fingerprint ihres Schlüsselbars enthalten worauf ich eigentlich hinaus wollte der private Key der ist ja noch in meinem Browser drin den merkt er sich, damit er den das nächste mal wieder benutzen kann um die SSL Verbindung aufzubauen Nein, das ist falsch, Ihr Browser weiß auch von dem privaten Schlüssel definitiv nichts also den CSR erzeugen können Sie auf der Kommandozeile machen den CSR laden Sie hoch, den kennt der Browser Ja nicht, ich meine es gibt um sich zum Beispiel bei StartSSL direkt einzuloggen gibt es direkt so ein Verfahren es gibt in HTML so ein Element wenn der Browser das im Formular sieht das Formular abschickt, dann generiert er intern einen privaten Schlüssel schickt den CSR hoch und kriegt den als Reply auch wieder ein Zertifikat zurück so und da interessiert mich jetzt halt das Tooling ob man irgendwie diese privaten Schlüsse, die ja vom Browser generiert worden sind, automatisch wieder in die angeschlossene SmartCard zurückbekommt oder ob man den Browser dazu bringen kann direkt den Schlüssel, das auf der SmartCard zu benutzen also wenn Sie mit einer SmartCard arbeiten dann bringen Sie den Browser dazu die SmartCard zu benutzen die SmartCard ist für den Browser ein Device PKCS11, falls Ihnen das was sagt und das ist die Library mit der die SmartCard angesprochen wird und die SmartCard ist nur dazu da Daten entgegenzunehmen die zu entschlüsseln und das entschlüsselte Produkt wieder zurückzugeben oder den unbekehrten Weg zu gehen Klartext entgegenzunehmen und dann das verschlüsselte Produkt zurückzugeben andere Funktionen macht die SmartCard nicht und die Integration in gängige Browser funktioniert auch schon so was wie ein Firefox oder wenn ich da jetzt meine SmartCard ranklemmen dann benutze auch die Schlüssel hier drauf sind Wie gesagt, ich hatte vorhin schon mal hingehen darauf hingewiesen, Kollege von mir hat jubik hier unten am Stand wir können das gleich gerne mal uns da drüber unterhalten Okay, danke ja So, waren da noch Fragen, hier vorne waren noch jemand Ja, SmartCard spezifisch nochmal eine kurze Frage Ich hatte vor Jahren mal mit dieser ersten Version dieser GNU-PG-Karte experimentiert und meinte mich da noch zu erinnern dass ich immer den Weg gegangen bin den privaten Schlüssel auf das SmartCard erzeugen zu lassen Genau, also mir war der Weg den privaten Schlüssel zu erzeugen und auf die SmartCard zu laden auch gar nicht bekannt ist das nicht auch vom Vorgehen her eigentlich das Konzept das SmartCard schon auch dadurch durchbrochen dass dann der private Schlüssel ja die Karte ohnehin zwangsläufig verlassen hatte wenn man ihn woanders generieren muss und dann reinlädt zum Verständnis nochmal, danke das kann man so oder so sehen wenn Sie den privaten Schlüssel offen im System rumliegen lassen dann werden Sie den Tag erleben an dem der private Schlüssel nicht mehr privat ist davon ist abzuwarten wenn Sie hingehen und den privaten Schlüssel erzeugen und wirklich vorsichtig sind in dem Sinne Sie haben einen Rechner der nicht am Internet hängt erzeugen doch den privaten Schlüssel vernichten den ordentlich Web oder endlichen Tools sodass es dann wirklich weg ist haben den auf die SmartCard geladen und machen sich eine Sicherungskopie auf CDRM Sie können die Dinge auch ausdrucken per QR-Code wie auch immer spielt keine Rolle Sie haben eine Sicherung davon das legen Sie gut weg dann stimmt das Konzept nach wie vor und es ist also von links nach rechts breites Band ich glaube bei der GNU-PG-Karte wenn Sie da ein Zertifikat erzeugen auf der Karte dann können Sie bei der Erzeugung angeben dass er Ihnen ein Backup auf dem PC spielt mit privaten Schlüssel testet das macht der Krypto-Chip der auf der SCARAT-Card implementiert ist und wie die das machen das ist Sache von einem Hersteller ich würde mal sagen da ist viel Glauben gefragt