"Marcin Cenkier" <m...@p...fm> wrote in message
news:3CED5326.4060206@poczta.fm...
> Vizvary II Istvan wrote:
> > Słabe punkty kart opisałem w Win Security Magazine w trzech
> > kolejnych artykułach, nie chce mi się powtarzać. W zasadzie wynikają
> > onę z pewnego przyjętego kompromisu pomiędzy wygodą a
> > bezpieczeństwem.
>
> Może jednak troszkę przybliżysz temat? Z tego co się orientuję, jeśli
> nie można wyciągnąć klucza z karty, to nie da się podpisać czegokolwiek
> bez karty (bo to ona dokonuje procesu podpisywania)

Temat dosyc skomplikowany...

Dokładnie tak jest. Może zamiast "dokonuje proces podpisania" ja bym napisał
"krytyczny pod względem bezpieczeństwa kluczy fragment procesu podpisania".
Nie znam też udokumentowanego udanego ataku na kartę kryptograficzną, która
by pozwoliła odczytać klucz prywatny wbrew woli właściciela lub producenta
(zalezy jak karta jest skonfigurowana).
Kłopot w czym innym. Zauważ pewne naduzycie terminologii. Każdy mówi o
"bezpieczeństwie kluczy". A weż przez analogie nastepującą sytuacje:
Mam chałupę. Przymocuje grubym łańcuchem klucz do drzwi. Na zewnatrz! Klucz
bedzie bezpieczny ? Będzie. Wynika coś z tego co do bezpieczeństwo chałupy?
Nic. Po prostu same "bezpieczeństwo kluczy" nie wystarczy by podpis cyfrowy
mozna było bezpiecznie sporzadzić.

Standardowo konfigurowana karta kryptograficzna posługuje się jednym PIN
kodem. Słuzy on do umozliwienia zapisu kluczy, do odblokowania funkcji
logowania , odszyfrowania, podpisywania itd. Karta w założeniach słuzy do
wielu rzeczy, więc OS otwiera zawsze w trybie wielodostepu. Zaloguję się do
serwera na kartę, autoryzuję się (podam PIN) i karta jest otwarta. Trojan
sobie wykorzystuje i coś sobie przesyła do karty, coś odbiera. On już wie
co. Nawet PIN może nie podglądać, bo Winda cache'uje PIN kod i sam wysyła
bez wiedzy uzytkownika. Oczywiście by uzytkownikowi ułatwić pracę.
Tak na prawdę w środowisku bezpiecznym wcale to nie przeszkadza.
Nie jest też wina kart tylko właśnie owego żle dobranego kompromisu pomiędzy
wygodą a bezpieczeństwem.
Sa też inne karty. Posiadają inny PIN ogólny, inny do podpisu. Na dodatek
ten do podpisu trzeba podać za każdym razem. Ja mam też takie karty. A
uzywam tamte, bo outlook tych lepszych nie obsługuje. Ale przecież nikt
Outlooka nie bedzie wykorzystywał do aplikacji finansowych.
Mozna też zabezpieczać się w inny sposób.
Ja konstruuje czytniki, więc co może robić czytnik w ramach standardu, by
było bezpieczniej ?
Te nasze czytniki (TKE) mrugają, gdy jest transmisja (rzadkosc, a przecież
aż się prosi). Mój czytnik w domu jeszcze wydaje dzwięki. Innaczej gra gdy
klucz sie generuje, inaczej gdy deszyfruje, inaczej gdy podpisuje. Bardzo
szybko człowiek wie, jak brzmą poszczególne operacje. Cos nie gra - wyjmuję
kartę. Generowanie podpisu trwa więc trojan nawet wysle, to nie odbierze z
czytnika wyniku. Chyba , że podmienił dokument....

I tu wychodzi drugi niezbyt jasna sprawa jesli chodzi o podpis cyfrowy. To
jest kwestia wyarygodnej wizualizacji. Skąd podpisujący ma mieć pewność, co
właściwie podpisuje. Temu zresztą tez mozna zaradzić na rózna sposobt.
Dla mnie na przykład wystarczające byłoby mozliwość kontroli dokumentu PO
podpisaniu ale przed wysłaniem, za pomoca narzędzi obiektywnych, to znaczy
przez jakis program, który nie pochodzi od firmy, która stworzyła aplikację
, za pomoca której generowałem podpis.
Więc na dodatek kwestia standardu samego podpisu i standardu dokumentu,
któregop podpisujemy....

Może tyle na poczatek.

> > Można by bezpieczniej, będzie za to mniej wygodnie. Na pewno nie
> > można skopiować kluczy i gdy nie ma karty w czytniku, nikt się za
> > nas nie podpisze. Niemalo, ale czasami nie wystarcza.
>
> To znaczy kiedy?

Pierwsza sprawa to bezpieczne środowisko. Gdzie by nie był klucz
przechowany. Gdy srodowisko nie jest bezpieczne, powinno byc stosowane
rozwiązanie, który poza przechowaniem klucza zapewnia bezpieczną ścieżkę
informacji pomiędzy aplikacja a kartą.
Prawdopodobnie rozwiązaniem może byc kiedyś model TPC (Trusted PC) . Juz
pierwszy model w wykonaniu IBM sie pojawił ponoć na rynku. Osobny temat.

Vizvary Istvan