PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Brauche Hilfe bei Smartcard auswahl



Der Noob
07.11.08, 09:40
Hi Leutz.

Also da ich leider mit Chipkarten noch nicht so sehr vertraut bin habe ich mal eine kleine frage:
benutze zZ zur speicherung von Passwörtern u.Ä. eine "kayMate" chipkarte von ReinerSCT.
nur missfällt mir dabei der eindeutig zu entziffernde aufdruck dabei...
lieber wäre es mir, eine blanke weiße karte zu haben und auch gleichzeitig noch 3 "dummycards" die genauso aussehen :)

was ich momentan rausgefunden habe ist, daß die Karten RSA verschlüsselung mit 1024bit verwenden und einen Pinschutz haben.

nun die Frage, wo bekomme ich solche eine oder mehrere karten her die das gleiche können und somit kompatibel sind und das auch noch ohne aufdruck?

Gruß
Der Noob

/dev/null_Peter
07.11.08, 12:55
Hi Noob,

es gibt sehr viele, äußerlich gleich aussehende, Chipkarten. Dabei ist die Zahl der Hersteller überschaubar. So gibt es eine Reihe von "dummen" Speicherkarten mit ein paar kB Speicherplatz bis hin zu (evaluierten) Prozessorkarten mit eigenem kryptologischen Rauschgenerator, kryptologischen Koprozessor, CPU, RAM, ROM usw. Entsprechend breit ist auch das Spektrum der Preisliste. Und die einzelne Karte ist auch i. d. Regel eine Zehnerstelle teuerer als die, die wir im Zehntausenderpack bestellen ... .

Auch nutzt dir die blanke Karte nicht allzu viel, denn ihr muss bei der Vorpersonalisierung ein Kartenprofil (eine Art Formatierung) aufgebracht werden. Klar, dieses macht mitunter gleich die Anwendersoftware, aber ob der Hersteller deiner Software und damit meist auch der Lieferant deiner Karte das auch will ... ?

Mit geigneter Software kann man aus der Karte, den Hersteller, den Kartentyp und den Revisionsstand auslesen. Wenn du den hast, hilft die Datenkrake mit den 2*o und 2*g den Ansprechpartner beim Hersteller zu finden ... .

Ich weiß aber nicht, ob dieser Aufwand wirklich angebracht ist. Wir fertigen Signaturkarten, mit denen der Nutzer "viele schöne Sachen" anstellen kann. Und diese Karten tragen eine schöne bunte Oberfläche mit Logo und Namen des Inhabers. Der Schutz des Zertifikates erfolgt durch eine 8-stellige PIN. Und diese sollte der Nutzer nicht gerade hinten drauf schreiben ... . Drei Fehlversuche, und die Karte ist tot - da kann sie der Finder gern behalten :-)

Und nebenbei:
Ich stecke deine drei gleich aussehenden weißen Karten in mein Lesegerät und sehe genau was drauf ist. Alles, selbstverständlich außer den darauf befindlichen privaten/geheimen Schlüsseln. Denn nicht umsonst gilt eine evaluierte Prozessorkarte als das sicherste Speichermedium für kryptologische Langzeitgeheimnisse ... .

MfG Peter

Der Noob
11.11.08, 23:44
hi peter!

sorry für die späte antwort..

aaaaalso.

ich kann dir sagen, daß es sich bei der karte die ich brauche um eine mateKey Security Card mit einer 1024bit RSA Verschlüsselung und einer Pineingabe handelt, die nach mehreren fehlversuchen durch einen PUK wieder entsperrt werden kann. so diese auch falsch eingegeben wird ist auch diese Karte tot.

somit wird es sich wohl um eine Prozessorkarte handeln.
auslesen kann ich auch, daß es sich um eine Rev. 2 handelt.. mehr nicht.

ok.. das mit der vorpersonalisierung ist eher problematisch, seh ich ein und ob meine programme das gleich machen weiß ich leider auch nicht :(

zum thema der mehreren gleichen karten ohne aufdruck.

vorrausgesetzt... jemand betritt meine bude und findet 3-4 gleiche chipkarten ohne sichtlichen vermerk was was ist, so kann er diese wohl durch einstecken in ein lesegerät identifizieren als cryptokarte, ja.. aber welche der 4 karten ist nun die tatsächlich interessante? alle sind pin geschützt. ICH weiß es. :)
jeder andere nicht... 3 sind leer, eine beinhaltet alles was ich so an passwörtern, verschlüsselungen, zertifikaten und ähnlichem habe. die anderen sind einfache dummys :D

nachvollziehbar?

Gruß
Der Noob

/dev/null_Peter
12.11.08, 19:52
naja: security thru obskurity :-)

Der Typ dieser Karte ist mir persönlich nicht bekannt. Aber unsere Datenkrake hilft, gleich der dritte Eintrag zeigt an, dass das Teil 16,89 Teuronen kostet. naja ... . Dort steht auch eine Beschreibung. Mehr habe ich aber nicht gesucht. Ich weiß auch nicht, ob diese Karte eine Evaluierung besitzt => selber suchen ... .

Wenn das Problem (?) mit der Vorpersonalisierung erledigt ist, kannst du dir ja ein Dutzend der Karten in deiner Bude verstreuen. Wolfgangs Jungs werden sich fürchterlich ärgern - ich glaubs aber nicht ganz. Falls du mir nicht glaubst, dann lade dir mal die Smartcard-Shell runter. => www.cardcontact.de (Grüße an Herrn S.)
Mit diesem Programm kannst du ganz schnell den Dateiinhalt der Karte ansehen. Selbstverständlich ohne den geheimen Schlüssel dafür aber den Inhalt in dem ein paar KB großen Dateisystem. Verschlüsseltes natürlich verschlüsselt.

Im Endeffekt ist das Speichern von kleinen Datenbeständen (Passwörter) im Dateisystem einer Prozessorkarte eine sehr sichere Sache.
Ob du die Sicherheit mit deiner Idee noch verstärken kannst, wage ich zu bezeifeln.

Kleiner Tipp: Schreibe mit dem Prokischreiber ein paar Zahlen mit Stellenanzahl der PIN auf die Karte. Vielleicht ist jemand so dumm und probiert die vermeintlichen PIN durch :-)

MfG Peter

Der Noob
13.11.08, 00:12
"naja: security thru obskurity :-)"
Das trifft es wohl sehr gut :D

nun ja.. auf meine frage beim hersteller der karte, ob es die auch ohne aufdruck gibt, hab ich keine antwort bekommen leider. schade.

die sache mit dem auslesen des datenbestandes auf der karte macht ja nix.. das macht es eher noch interessanter :D

dann muß ich eben auf meinen dummycards ebenso ALLE einträge ebenfalls anlegen.. nur eben mit anderen logindaten.. solange die selbe anzahl an stellen verwendet wird kann man diese ja nicht von einander unterscheiden. 4 karten, eine ist die richtige und die anderen beinhalten jeweils andere logindaten selber länge und größe und jede karte andere :D:D

und die idee mit den draufgeschriebenen pins find ich sehr genial! werd ich einfließen lassen :)

hab jetzt auch gesehen, das truecrypt ebenfalls smartcards unterstützt.. sehr geil :)
das macht es noch viel interessanter... und eröffnet auchnoch zusätzliche möglichkeiten zur 3-4 zonen verschlüsselung auf chipkarte/pin/passwort grundlage :)

naja.. mache halten mich für paranoid.. mir machts einfach nur spaß :D

gruß
der noob

/dev/null_Peter
13.11.08, 12:30
naja.. mache halten mich für paranoid..

Mach dir nix draus. Nach fast 30 Jahren Tätigkeit in der Branche bin ich mir sicher, dass ich es bin. Ich kann damit leben. Du darfst es nur nicht so übertreiben, dass es dein Leben beeinflusst.

ABER: Meine Signaturkarte trägt weiterhin deutlich sichtbar meinen Namen, ein Logo und - obwohl ich mir jederzeit in jede Tasche meiner Klamotten und in jedes Schubfach, unters Bett, zwischen die Dachlatten uns sonstwo je 10 leere Karten stecken könnte - ich benutze nur eine einzige davon. Oder zumindest nur die, die ich wirklich für die Tätigkeit benötige.

UND: Wenn du das Ding voll durchziehen willst, dann sollst du dir zumindestens einen mehrstufigen Firewall mit Geräten verschiedener Hersteller, einen Proxy oder eine Genugate und selbstverständlich einen abstrahlgeprüften PC (Zone 0) zulegen oder zum Arbeiten immer in einen Keller gehen, während ein Partner oben Ausschau nach verdächtigen Fahrzeugen hält. Wenn schon, denn schon :-)


So, jetzt gleiten wir aber langsam nach OT ab. Und bevor ein Mod den Thread nach Spaßzeugs verschiebt, beende ich für mich selbigen.

MfG Peter

Der Noob
17.11.08, 13:31
UND: Wenn du das Ding voll durchziehen willst, dann sollst du dir zumindestens einen mehrstufigen Firewall mit Geräten verschiedener Hersteller


Was glaubst du eigentlich was hier steht :D




, einen Proxy


ich route sämtlichen traffic über JonDo über 3 Proxymixcascader wovon einer mindestens im ausland steht :D




oder eine Genugate und selbstverständlich einen abstrahlgeprüften PC (Zone 0) zulegen oder zum Arbeiten immer in einen Keller gehen,


will mir eh grad nen neuen rechner bauen .. werd mal googlen ;)



während ein Partner oben Ausschau nach verdächtigen Fahrzeugen hält. Wenn schon, denn schon :-)


naja.. momentan wohn ich wieder alleine (NEIN, damit hatte das nix zu tun!)... aber meine Partnerin kann das ja übernehmen, wenn sie bei mir eingezogen ist.. aber sie versteht mich wenigstens was das angeht.. sie meint ich würde es nicht übertreiben :)



So, jetzt gleiten wir aber langsam nach OT ab. Und bevor ein Mod den Thread nach Spaßzeugs verschiebt, beende ich für mich selbigen.


Alles klar.. aber ich danke dir vielmals für deine Beiträge :)

Gruß
Der Noob