Evaluierung "Smartcard Office" - E-Government Innovationszentrum

Transcription

www.egiz.gv.at
E-Mail: [email protected]
Telefon: ++43 (316) 873 5514
Fax: ++43 (316) 873 5520
Inffeldgasse 16a / 8010 Graz / Austria
Evaluierung "Smartcard Office"
Schwerpunktthema Neue Dienste
Version 1.1, 18.02.2008
DI Thomas Knall – [email protected]
Zusammenfassung: CHIPDRIVE Smartcard Office ist eine Software, die verschiedene
Anwendungen im Zusammenhang mit Chipkarten anbietet, etwa das intelligente Befüllen von
Formularen, einen Passwort Manager oder ein chipkartenunterstütztes Windows-Logon. Als
Vorfeldtätigkeit zur Aktivität "Gesicherter Formularcontainer – Comfort Layer" wurde in dieser
Evaluierung die Verwendung dieses Tools im Zusammenhang mit der Bürgerkarte
untersucht wobei speziell auf die für den Formularcontainer interessanten Anwendungsteile
eingegangen wurde.
Inhaltsverzeichnis:
Abbildungsverzeichnis ..............................................................................................................................2
Revision History ........................................................................................................................................3
1
Einleitung ..........................................................................................................................................4
1.1
1.2
2
Geschlechtsspezifische Bezeichnungen
Motivation
4
4
Evaluierung .......................................................................................................................................5
2.1
2.2
2.3
2.4
Allgemeines
Voraussetzungen
Überblick
Technische Details
5
6
7
15
3
Zusammenfassung .........................................................................................................................18
Referenzen .............................................................................................................................................19
Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU -Graz
Abbildungsverzeichnis
Abbildungsverzeichnis
Abb. 2.1: getestete Version der Smartcard Office Module ...................................................................... 5
Abb. 2.2: Einführungsmodul .................................................................................................................... 7
Abb. 2.3: Form Fill Übersichtsseite (ohne Profil) ..................................................................................... 9
Abb. 2.4: Erstellen eines Form Fill Profils (Schritt 1) ............................................................................... 9
Abb. 2.5: Erstellen eines Form Fill Profils (Schritt 2) ............................................................................. 10
Abb. 2.6: Benennen eines neuen Form Fill Profils ................................................................................ 10
Abb. 2.7: Installieren der Mozilla Erweiterung ....................................................................................... 11
Abb. 2.8: Formularbefüllung ausgelöst durch den Benutzer ................................................................. 12
Abb. 2.9: Befüllte Formularfelder ........................................................................................................... 13
Abb. 2.10: Auswahl aus mehreren Profilen ........................................................................................... 13
Abb. 2.11: Automatische Rückfrage zum Speichern von Passwörtern ................................................. 14
Abb. 2.12: Auswahl zwischen mehreren Identitäten ............................................................................. 14
–2–
Revision History
Revision History
Version
Datum
Autor(en)
0.1
25.01.2008
T. Knall
erster Entwurf, Struktur
0.2
06.02.2008
T. Knall
Evaluierung-Überblick
0.3
07.02.2008
T. Knall
technische Details, Zusammenfassung
0.4
08.02.2008
A. Tauber
Durchsicht
1.0
08.02.2008
T. Knall
Finalisierung
1.0
18.02.2008
H. Leitold
Anmerkungen
1.1
18.02.2008
T. Knall
Überarbeitung
–3–
Einleitung
1 Einleitung
1.1 Geschlechtsspezifische Bezeichnungen
Alle Personenbezeichnungen, die in diesem Dokument in der männlichen Form verwendet
werden, gelten sinngemäß auch für die weibliche Form.
1.2 Motivation
SCM
Microsystems1
ist
ein
Anbieter
kontaktbehafteter
bzw.
kontaktloser
Chipkartenlesegeräte. CHIPDRIVE2 vertreibt als Marke von SCM Microsystems
verschiedenste Smartcard-basierte Softwarelösungen zur Authentifizierung, Verschlüsselung
und Zugangskontrolle.
"Smartcard Office" ist als eine Art All-in-One-Paket zu bezeichnen, das zahlreiche nützliche
Anwendungen im Zusammenhang mit Smartcards bietet. Es stellt sich nun die Frage, welche
dieser Anwendungen im Zusammenhang mit der Bürgerkarte genutzt werden kann, bzw.
dieser einen entsprechenden Mehrwert verleihen könnte. Die Bürgerkarte wird zwar nicht als
solche von "Smartcard Office" unterstützt bzw. die speziellen Bürgerkartenfunktionen werden
nicht explizit genutzt, trotzdem könnte "Smartcard Office" als nützliche ChipkartenAnwendung der Bürgerkarte zu einer breiteren Akzeptanz verhelfen.
Ein denkbares Szenario wäre beispielsweise die Beigabe der Software mit einer
Generallizenz als "Bonus" zu einem E-Government-Paket, das Kartenleser, Treiber, die
Bürgerkarten-Software "trustDesk basic" und ggf. noch weitere Anwendungen (wie z.B. ein
Acrobat-Plugin zur PDF-Signatur etc.) umfasst.
Die hier vorgenommene Evaluierung von "Smartcard Office" dient dazu, Basisfunktionalitäten
aufzuzeigen und besonders interessante Anwendungsmöglichkeiten zu identifizieren. Dabei
wird als Vorfeldtätigkeit zu dem Projekt "Gesicherter Formularcontainer (Comfort Layer)3"
besonders die Komponente "Form Fill" (automatisches Befüllen von Formularfeldern) sowie
die Komponente "Password Manager" (Speichern von Benutzernamen und Passwörtern)
genauer untersucht um deren Herangehensweise eventuell in ein Konzept und in die
Spezifikation eines Comfort Layers einfließen zu lassen.
1
2
3
http://www.scmmicro.com/
http://www.chipdrive.de/
Der Formularcontainer ist eine Anwendung, die für BürgerInnen häufig benötigte Formularinhalte
(Geburtsort, Anschrift, E-Mail Adresse...) ggf. verschlüsselt bereit hält oder aus etablierten
Registern (z.B. ZMR) entnimmt und bei Bedarf in Webformulare automatisch einfüllt.
–4–
Evaluierung
2 Evaluierung
Im Rahmen der Evaluierung werden zunächst die Voraussetzungen zur Nutzung der
Anwendung umrissen (Abschnitt 2.2), dann ein Überblick über die einzelnen
Anwendungsmöglichkeiten gegeben (Abschnitt 2.3) und schließlich die für den Comfort
Layer relevanten Module ("Form Fill" und "Password Manager") im Detail erläutert
(Abschnitt 2.4). Hierbei wird – soweit feststellbar – die Funktionsweise der Module
untersucht.
2.1 Allgemeines
Die
Untersuchung
von
Smartcard
Office
zur
Identifizierung
interessanter
Anwendungsmöglichkeiten im Zusammenhang mit Bürgerkarte bzw. E-Card fand mit der
zum Evaluierungszeitpunkt aktuellen Version 2.7 statt. Die genauen Versionen der einzelnen
Module sind aus Abb. 2.1 zu entnehmen.
Abb. 2.1: getestete Version der Smartcard Office Module
Bei der verwendeten Version handelt es sich um eine Demo-Version, die 30 Tage lang
uneingeschränkt genutzt werden kann. Nach Ablauf der Testperiode kann Smartcard Office
nur mit eingeschränkter Funktionalität verwendet werden wobei sichergestellt ist, dass
verschlüsselte Daten (Passwörter, Laufwerke, Bookmarks usw.) noch gelesen werden
können.
Zur Dokumentation von Smartcard Office kann zunächst angemerkt werden, dass diese
relativ kurz gehalten ist. So wird leider weder ein Benutzerhandbuch online zum Download
angeboten, noch wird ein solches (laut Webshop) beim Kauf der Software mitgeliefert.
Die Software präsentiert sich nach der Installation mit einem Einführungsmodul (siehe
Abb. 2.2); dieses bietet jedoch nur einen groben Überblick über die verfügbaren Module. Für
jedes der sieben Module (siehe Abschnitt 2.3.2) wird allerdings eine Online-Hilfe installiert
(MS-Help), die einige (kurze) Erklärungen enthält.
Über die Website kann ein Datenblatt zur Version 2.5 heruntergeladen, eine FAQ-Liste
eingesehen und die Knowledge-Base bzw. ein User-to-User-Forum genutzt werden.
–5–
Evaluierung
2.2 Voraussetzungen
Als Voraussetzungen zur Nutzung von Smartcard Office nennt SCM Microsystems folgende
Betriebssysteme:
WinNT 4.0 SP 6
Windows 2000
Windows XP
Windows Server 2003
Explizit nicht unterstützt werden:
Windows NT 4.0 Server
Windows 2000 Server
Windows Vista
Darüber hinaus gelten folgende Voraussetzungen:
64 MB Hauptspeicher
ca. 55 MB freier Festplattenspeicher
ein Kartenlesegerät mit PC/SC fähigem Treiber
Für die Module "Password Manager", "Address Book" und "Form Fill" wird entweder
der Internet Explorer ab Version 5.0 oder Mozilla/Firefox vorausgesetzt.
Kartenleser betreffend macht SCM keine definitiven Aussagen zu einzelnen Geräten.
Unterstützt werden generell sämtliche von SCM vertriebenen Geräte sowie Geräte, deren
Treiber PC/SC unterstützen.
–6–
Evaluierung
2.3 Überblick
Smartcard Office 2.7 setzt sich im Großen und Ganzen aus sieben Komponenten (dem
Smartcard Manager und sechs zusätzlichen Komponenten) zusammen. Nach der Installation
wird dem Anwender das Einführungsmodul gezeigt, das einen Überblick über die installierten
Komponenten bietet (siehe Abb. 2.2).
Abb. 2.2: Einführungsmodul
2.3.1 Zugangsschlüssel
Sämtliche
Komponenten
von
Smartcard
Office
arbeiten
mit
sogenannten
"Zugangsschlüsseln". Ein Zugangsschlüssel ist ein abstrakter Begriff für eine Chipkarte,
einen Fingerabdruck oder ein Master Passwort. Smartcard Office unterscheidet bei
Chipkarten grundsätzlich zwei Gruppen:
"Masterkey-Chipkarten" bzw. "Personal Security Cards": hierbei handelt es sich um
speziell von SCM Microsystems vertriebene Karten mit größerem Speicher. Smartcard
Office speichert Informationen direkt auf diesen Karten. Für den Zugriff auf die Daten
ist die Eingabe der Karten-PIN erforderlich. Bei Erreichen der maximalen Anzahl an
Fehlversuchen bei der PIN-Eingabe wird die Masterkey-Karte deaktiviert und kann
nicht mehr verwendet werden. Masterkey/Personal Security Karten können jederzeit
nachgekauft werden (etwa 17 Euro pro Stück).
Masterkey-Chipkarten und Personal Security Cards unterscheiden sich nur durch die
Anzahl der erlaubten Fehleingaben und die Größe des Kartenspeichers.
"Office Cards": Hierbei handelt es sich um HBCI-Karten, Geldkarten, E-Cards oder
A-Trust-Signaturkarten. Informationen werden nicht auf den Karten selbst sondern
verschlüsselt auf der Festplatte gespeichert. Die Sicherheit im Zusammenhang mit der
Verwendung dieser Karten ist stark verringert, da die Daten nicht über die Karte verbzw. entschlüsselt werden, d.h. durch eine Karten-PIN geschützt sondern über ein
herkömmliches Passwort gesichert werden. Für den Zugriff auf die Daten wird zwar die
Chipkarte benötigt, diese wird jedoch offensichtlich nur auf ihre Seriennummer oder ein
ähnliches Erkennungsmerkmal hin überprüft und verifiziert somit nur den Besitz der
Karte.
–7–
Evaluierung
2.3.2 Smartcard-Anwendungen
Die aktuelle Version von Smartcard Office bietet sieben Anwendungen im Zusammenhang
mit Smartcards an. Im Folgenden wird ein kurzer Überblick über diese Anwendungen
gegeben, wobei speziell auf "Form Fill" (Abschnitt 2.3.2.3) und "Password Manager"
(Abschnitt 2.3.2.4) eingegangen wird, da diese Komponenten Parallelitäten zum Konzept
eines Formular-Containers (Comfort-Layer) aufweisen.
2.3.2.1 Smartcard Manager
Der Smartcard Manager erfüllt im Vergleich zu den anderen Modulen keinen speziellen
sicherheitsrelevanten Anwendungszweck. Der Smartcard Manager dient zum Überblick über
die gespeicherten Daten, zur Kennwort- und PIN-Verwaltung, und zur Erstellung von
Sicherheitskopien gespeicherter Daten.
2.3.2.2 WinLogon
Der Standard-Windows-Anmeldedialog wird durch die Anwendung "WinLogon" ersetzt oder
um diese ergänzt (je nach Konfiguration). Ein Windows-Logon kann nun mittels einer bei
Smartcard Office registrierten Chipkarte (auf Wunsch zusätzlich mit Passwort oder PIN) als
Ersatz eines herkömmlichen Logins mit Benutzername/Passwort durchgeführt werden.
Wird eine "Masterkey-Karte" (siehe Abschnitt 2.3.1) verwendet, werden die Anmeldedaten
(Benutzername, Passwort und Domäne) direkt auf der Karte gespeichert, wobei diese
Informationen mit einem PIN verschlüsselt sein dürfen.
2.3.2.3 Form Fill
Form Fill ist ein Modul das in weiterer Folge besonders für den Entwurf eines Konzepts für
den Formularcontainer von Bedeutung sein könnte. Persönliche Daten wie Adresse,
Telefonnummer, E-Mail-Adresse etc. werden verschlüsselt gespeichert und können auf
Wunsch automatisch in Web-Formulare eingefügt werden. Hierbei wird eine Heuristik
verwendet um die entsprechenden Formularinhalte in die passenden Formularfelder
einzufügen (z.B. die E-Mail Adresse in Formulare mit der Bezeichnung "E-Mail" bzw.
"eMail"...).
Um "Form Fill" sinnvoll verwenden zu können muss zunächst mindestens ein Profil4 erstellt
werden (siehe Abb. 2.3 bis Abb. 2.6). Dieses Profil wird an einen Zugangsschlüssel (siehe
Abschnitt 2.3.1) gebunden der hierfür bereit liegen muss. Die "Form Fill" Übersichtsseite
ermöglicht neben dem Überblick über die gespeicherten Profile auch eine grundlegende
Konfiguration der Komponente.
4
Ein Profil umfasst persönliche Daten wie Namen, Geburtsdatum, Geschlecht sowie Daten zur
Anschrift.
–8–
Evaluierung
Abb. 2.3: Form Fill Übersichtsseite (ohne Profil)
Beim Erstellen eines Profils werden zunächst Angaben zur Person gemacht (Abb. 2.4).
Abb. 2.4: Erstellen eines Form Fill Profils (Schritt 1)
–9–
Evaluierung
Nun werden Angaben zur Adresse eingefügt (Abb. 2.5).
Abb. 2.5: Erstellen eines Form Fill Profils (Schritt 2)
Und schließlich wird das Profil benannt um es einfach identifizieren zu können (z.B. "privat",
"geschäftlich", "Musterprofilname"...) (siehe Abb. 2.6).
Abb. 2.6: Benennen eines neuen Form Fill Profils
Die in dem Profil gespeicherten Daten werden verschlüsselt und können nur nach
Freischaltung mit einem Zugangsschlüssel (siehe Abschnitt 2.3.1) genutzt werden.
– 10 –
Evaluierung
Soll die "Form Fill" Komponente mit Mozilla/Firefox eingesetzt werden können, muss
zunächst eine Mozilla Erweiterung installiert werden. Dies kann direkt aus dem WindowsStart-Menü über den bei der Installation hinzugefügten Link "Mozilla Erweiterung installieren"
erfolgen. Die Erweiterung wird ebenfalls zur Nutzung der Komponenten "Password Manager"
(Abschnitt 2.3.2.4) und "Address Book" (Abschnitt 2.3.2.6) benötigt, muss jedoch nur einmal
installiert werden.
Abb. 2.7: Installieren der Mozilla Erweiterung
Der Internet Explorer nutzt "Form Fill" technisch gesehen auf eine andere Weise (siehe
Abschnitt 2.4.3.2), sodass hier keine Erweiterung installiert werden muss.
– 11 –
Evaluierung
Aus der Sicht des Anwenders kann "Form Fill" sowohl über den Internet Explorer als auch
über Mozilla/Firefox auf identische Weise verwendet werden. Je nach Konfiguration werden
die passenden Formularfelder entweder automatisch oder durch Aufruf des Benutzers über
das Kontextmenü ausgefüllt (siehe Abb. 2.8).
Abb. 2.8: Formularbefüllung ausgelöst durch den Benutzer
– 12 –
Evaluierung
"Form Fill" befüllt nun sämtliche durch die Heuristik erkannten Formularfelder (siehe
Abb. 2.9). Wie aus der Abbildung zu entnehmen ist, wurden einige Felder nicht erkannt.
Leider bietet "Form Fill" keine Möglichkeit, benutzerdefinierte Formularfelder zu definieren.
Zudem können Formularfelder nicht automatisch beim Absenden des Formulars gespeichert
werden, was die Praxistauglichkeit der Smartcard Anwendung schon in Frage stellt.
Abb. 2.9: Befüllte Formularfelder
Sind mehrere Profile registriert, dann zeigt die Form Fill Komponente einen Dialog an aus
dem der Anwender ein Profil auswählen kann, dessen Daten dann ins Formular eingefügt
werden (siehe Abb. 2.10).
Abb. 2.10: Auswahl aus mehreren Profilen
– 13 –
Evaluierung
2.3.2.4 Password Manager
Der Password Manager ist eine Datenbank in der Passwörter verschlüsselt gespeichert und
mit einem Zugangsschlüssel gesichert werden. Die Funktionsweise des Password Managers
ist der des Moduls "Form Fill" sehr ähnlich.
Hier wird jedoch im Gegensatz zu Form Fill automatisch das Speichern der Anmeldedaten
beim Durchführen einer Authentifizierung mit Benutzername/Passwort angeboten (siehe
Abb. 2.11).
Abb. 2.11: Automatische Rückfrage zum Speichern von Passwörtern
Gleichfalls werden diese Daten bei einem erneuten Anmelden an der jeweiligen Webseite
auf Wunsch automatisch eingefügt. Falls für diese Webseite mehrere Identitäten registriert
sind, erfolgt eine Abfrage durch den in Abb. 2.12 gezeigten Dialog.
Abb. 2.12: Auswahl zwischen mehreren Identitäten
2.3.2.5 Disk Encryption
Disk Encryption ist einschlägig bekannter Software wie TrueCrypt oder PGP-Disk sehr
ähnlich. Es können virtuelle Laufwerke in Form einer Image-Datei erstellt werden, die unter
Windows transparent als normale Festplattenlaufwerke erscheinen und auch wie solche
genutzt werden können. Die Image-Datei ist mit einem Zugangsschlüssel gesichert.
2.3.2.6 Address Book
Dieses Modul dient der sicheren Speicherung von Browser-Lesezeichen (Bookmarks,
Favoriten). Erst nach Freigabe durch einen Zugangsschlüssel kann auf die Lesezeichen
(entweder im Mozilla/Firefox oder im Internet Explorer) zugegriffen werden.
2.3.2.7 Notepad
Notepad dient dazu, Notizen mit einen Zugangsschlüssel gesichert abzulegen und
strukturiert zu speichern.
– 14 –
Evaluierung
2.4 Technische Details
Dieser Abschnitt versucht, die Implementierungsweise bzw. die technische Ausprägung
einzelner Komponenten genauer zu beleuchten, wobei wieder speziell auf "Form Fill,
Password Manager und Address Book" (siehe Abschnitt 2.4.3) eingegangen wird um eine
wirksame Herangehensweise an das Folgeprojekt "Comfort-Layer" zu ermitteln.
2.4.1 Installation
Die Installation von Smartcard Office kann zwar unter Windows Vista durchgeführt werden,
die Software ist dennoch nicht Vista-fähig (der Installer nimmt keine diesbezügliche Prüfung
vor).
Smartcard Office installiert neben der Hauptanwendung, die über die Windows-Systray5
erreicht werden kann, einen Windows-Dienst, der als "gemeinsamer Basisdienst zum Zugriff
auf Smartcards für Smartcard Office und andere Anwendungen von SCM Microsystems
dient sowie einen Treiber für das Modul "Disk Encryption" (siehe Abschnitt 2.3.2.5).
Für jede installierte Smartcard-Anwendung (siehe Abschnitt 2.3.2) wird ein eigener Prozess
gestartet. Die Prozesse der Komponenten "Form Fill", "Password Manager" und "Address
Book" öffnen Ports um HTTP/XML-Anfragen des Mozilla-Plugins entgegen nehmen zu
können (siehe Abschnitt 2.4.3).
2.4.2 WinLogon
Wird die Komponente "WinLogon" bei der Installation ausgewählt, ersetzt Smartcard Office
die Microsoft Authentifizierungs-Komponente MSGina.dll durch eine eigene
Authentifizierungskomponente (durch die Smartcard Office Komponente twkgina.dll)
wodurch eine unter Smartcard Office registrierte Chipkarte für ein Windows-Login verwendet
werden kann.
2.4.3 Form Fill, Password Manager und Address Book
Aus technischer Sicht unterscheiden sich "Form Fill" und "Password Manager" nicht
wesentlich. Beide unterstützen den Internet Explorer und Mozilla/Firefox, wobei die
Implementierungen für den Internet Explorer jeweils gänzlich anders gestaltet wurden als für
Mozilla/Firefox. Aus diesem Grund wird hier auf beide Varianten getrennt eingegangen.
2.4.3.1 Mozilla/Firefox
Wie bereits in Abschnitt 2.3.2.3 erläutert ist für Mozilla/Firefox eine Erweiterung6 vorgesehen,
die die Funktionalität von "Form Fill", "Password Manager" und "Address Book" in diesem
Browser ermöglicht. Diese Erweiterung kommuniziert mit den entsprechenden Prozessen
mittels HTTP-Requests (auf localhost), mit denen Base64-kodierte Daten (mittels
Parameter (req=...) übertragen werden können. Die Prozesse antworten mit XML-overHTTP-Paketen, die die Mozilla/Firefox-Erweiterung einfach auswerten kann.
Ein Spezifikum von Smartcard Office bei dieser Art der Kommunikation ist, dass jede
Komponente ihre eigenen HTTP-Request-Methoden besitzt die anstelle der in HTTP
spezifizierten Methoden "GET", "POST" etc. verwendet werden.
5
6
Hierbei handelt es sich um den am rechten unteren Bildschirmrand gelegenen Bereich der
Windows-Taskleiste.
In der für das Mozilla Projekt entwickelten XML User Interface Language (XUL).
– 15 –
Evaluierung
Komponente
Prozess
Port
HTTP-Request-Methode
Password Manager
Pcard.exe
20701
SOMOPNGP7, SOMOFIPA8, SOMOLOAD9,
SOMOSAPA10, SOMODUMP11
Form Fill
FrmFill.exe
20702
SOMOPNGF12, SOMOFIFO13, SOMOLOAD,
SOMOTEST14
Address Book
BMan.exe
20703
SOMOABSV15, SOMOABAD16, SOMOABOO17
Request
Als Beispiel wäre hier ein Ping-Request (SOMOPNGF) zu nennen, mit dem beispielsweise die
Komponente "Form Fill" feststellt, ob der entsprechende Win32-Prozess verfügbar ist. Dies
entscheidet unter anderem ob das Kontextmenü des Browsers entsprechende Einträge
(z.B. "Formular ausfüllen") anzeigt. Der Prozess antwortet in diesem Fall mit einem "Pong"
(einer Nachricht mit beliebigem Inhalt).
Als weiteres interessantes Beispiel erscheint der Request zum automatischen Abfragen der
gespeicherten Formularinhalte (Methode SOMOLOAD) beim Laden einer Seite mit einem
Formular.
Dazu
sendet
die
Browser-Erweiterung
folgenden
Request
an
"http://localhost:20702":
SOMOLOAD
/&req=fHx8TmV4dEZvck18fHwwfGZpbGU6Ly8vQzovdGVzdGZvcm0yLmh0bWw/dm9ybmFtZT0mbmFjaG
5hbWU9fHx8dGVzdGZvcm0yLmh0bWx8M3x2b3JuYW1le01heHt0ZXh0fG5hY2huYW1le011c3Rlcm1hbm
57dGV4dHx7QWJzZW5kZW57c3VibWl0fHZvcm5hbWU6IDxpbnB1dCBuYW1lPSJ2b3JuYW1lIiBpZD0idm
9ybmFtZSIgc2l6ZT0iMzAiIG1heGxlbmd0aD0iMzAiIHR5cGU9InRleHQiPjxicj5uYWNobmFtZTogPG
lucHV0IG5hbWU9Im5hY2huYW1lIiBpZD0ibmFjaG5hbWUiIHNpemU9IjMwIiBtYXhsZW5ndGg9IjMwIi
B0eXBlPSJ0ZXh0Ij48YnI+PGlucHV0IHZhbHVlPSJhYnNlbmRlbiIgdHlwZT0ic3VibWl0Ij58||
HTTP/1.1
Host: 127.0.0.1:20702
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11)
Gecko/20071127 Firefox/2.0.0.11
Accept:
text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,
image/png,*/*;q=0.5
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Der Base64-Datenblock der mit dem Parameter req übertragen wird, enthält die FormAction, die auszulesenden Parameter und den HTML-Code des DOM-Objekts des HTMLFormulars. Die Auswertung wird vom verantwortlichen Win32-Prozess (FrmFill.exe) nach
Übermittlung der Daten durchgeführt.
7
8
9
10
11
12
13
14
15
16
17
Ping-Request für den "Password Manager" um zu verifizieren ob Smartcard Office bereit ist.
Request zum erzwungenen Befüllen eines Passwort-Feldes (ausgelöst vom Benutzer über das
Kontextmenü).
Automatisches Befüllen eines Formulars beim Laden der Seite. Hier wird nicht zwischen
"Password Manager" und "Form Fill" unterschieden.
Request um den Inhalt eines Passwort-Feldes an Smartcard Office zu übermitteln.
Request der beim Submitten eines Formulars versandt wird um dem Benutzer anzubieten, das
Passwort zu speichern.
Ping-Request für "Form Fill" um zu verifizieren ob Smartcard Office bereit ist.
Request zum erzwungenen Befüllen eines Formulars (ausgelöst vom Benutzer über das
Kontextmenü).
Absenden eines Test-Requests.
Request zum Abspeichern eines Bookmarks im Adressbuch.
Veranlasst Smartcard Office die Adress-Verwaltung aufzurufen.
Request zum Auslesen von gespeicherten Bookmarks.
– 16 –
Evaluierung
Response
Die Antwort wird in Form einer XML-over-HTTP-Response an die Browser-Erweiterung
zurückgesandt und sieht folgendermaßen aus:
<?xml version='1.0'?>
<data>
ZmlsZTovLy9DOi90ZXN0Zm9ybTIuaHRtbHx8dGVzdGZvcm0yLmh0bWx8MHx2
b3JuYW1lPSojKj1NYXh8bmFjaG5hbWU9KiMqPU11c3Rlcm1hbm58
</data>
Der Base64-Block enthält nun die Feldnamen zusammen mit den Felddaten die dann von
der Browser-Erweiterung ins Formular eingefüllt werden.
2.4.3.2 Internet Explorer
Für den Internet Explorer wird ein anderer Weg beschritten. Über das Kontext-Menü des
Internet Explorers wird durch Klick auf "Formular ausfüllen" ein WSH18-Script aufgerufen.
Dieses Script setzt einen bestimmten Schlüssel in der Registry, der regelmäßig von der
Form-Fill- (FrmFill.exe) bzw. Password-Manager-Komponente (Pcard.exe) ausgelesen
wird.
Beispiel eines WSH-Scripts:
var parentwin = external.menuArguments;
var doc = parentwin.document;
try {
var WshShell = new ActiveXObject("WScript.Shell");
WshShell.RegWrite("HKCU\\Software\\CHIPDRIVE\\SOApps\\FFmsg",
"SOIEFIFO /&req="+doc.URL+"||");
} catch(ex) {
win.alert('This function requires the Windows Scripting Host, which is
not installed or not activated on your system!')
}
Hierbei werden im Vergleich zur Verfahrensweise beim Mozilla Browser abgesehen von der
URL des Dokuments keine Formular-Daten "übertragen". Analog zur Mozilla-Erweiterung
wird hier über die Registry ein Kommando zum Befüllen des Formulars (SOIEFIFO)
übergeben. Die für die Befüllung erforderlichen Formular-Daten liest Smartcard Office –
getriggert durch den "Aufruf" über die Registry – über Windows-API Funktionen direkt aus
dem Browser-Fenster aus.
18
Windows Scripting Host kann unter Nutzung unterschiedlicher Bibliotheken Arbeitsabläufe scriptähnlich ausführen.
– 17 –
Zusammenfassung
3 Zusammenfassung
Smartcard Office ist eine leicht zu handhabende übersichtlich gestaltete Software, die
grundsätzlich das tut was online beworben wird. Im Detail jedoch erscheinen einzelne
Komponenten weniger ausgereift zu sein. Dazu kommt, dass die versprochene Sicherheit
nur im Zusammenhang mit speziellen Master-Key-Karten, die über CHIPDRIVE vertrieben
werden, gewährleistet ist.
Angesichts der Tatsache, dass Internet Explorer und Mozilla/Firefox gemeinsam 92,77%
Marktabdeckung besitzen (Browser Market Share vom Jänner 2008, siehe [BMS2008])
erscheint der Aspekt, dass nur die o.g. Browser unterstützt werden, tolerierbar.
Smartcard-Office in der aktuellen Version 2.7 kann nur unter Windows-Plattformen
eingesetzt werden, wobei jedoch Windows Vista nicht unterstützt wird. Irritierend ist, dass bei
der Installation nicht auf unterstützte Betriebssysteme getestet wird. Die Wahrscheinlichkeit
ist durchaus gegeben, dass Benutzer die Software unter Vista (erfolgreich) installieren und
dann feststellen müssen, dass diese nicht nutzbar ist.
Im Zusammenspiel mit der Bürgerkarte ist derzeit kein Mehrwert zu entdecken, da die
Bürgerkarte nur als "Office-Karte" erkannt und verwendet wird. Dies bedeutet, dass Daten
nur über ein herkömmliches Passwort verschlüsselt auf der Festplatte gespeichert werden.
Echte kartenbasierte Verschlüsselung und Speicherung der Daten kann leider ausschließlich
mit speziellen "Masterkey-Chipkarten" genutzt werden.
– 18 –
Referenzen
Referenzen
[BMS2008]
Net Applications: Browser Market Share for January 2008
Abgerufen aus dem World Wide Web am 05.02.2008 unter
http://marketshare.hitslink.com/report.aspx?qprid=0
[GINA]
Microsoft Developer Network, Winlogon and GINA
http://msdn2.microsoft.com/en-us/library/aa380543.aspx
[SCOFAQ]
SCM Microsystems, FAQs
http://chipdrive.scmmicro.com/index.php?selall=1&create_db=1&lang
=0&noqsearch=1
– 19 –

Evaluierung "Smartcard Office" - E-Government Innovationszentrum

Transcription

Similar documents

Kurzanleitung RedDot-Projekte für KIT-OE

HP Z Displays