Smartcard Authentication - Secure & Easy

SSH-Anmeldung an einem Unix-Rechner

Zur SSH-Anmeldung an einem Unix-Rechner verwendet Smartcard Authentication - Secure & Easy PuTTY, die freie SSH-Implementierung von Simon Tatham.

PuTTY unterstützt unter anderem die Authentifizierung mittels asymmetrischer RSA Schlüssel, allerdings kann die derzeit aktuelle PuTTY-Version 0.68 nur Schlüssel benutzen, die in Passwort-gesicherten Dateien im Filesystem gespeichert werden.

Der sicherste Aufbewahrungsort für einen privaten RSA-Schlüssel ist aber eine durch PIN gesicherte Smartcard. Daher wird in Smartcard Authentication - Secure & Easy eine modifizierte PuTTY-Version eingesetzt, die genau diese Speicherung ermöglicht.

PuTTY 0.67 ist incl. Sourcecode frei verfügar. Die PuTTY-Licence erlaubt auch die Modifikation des Sourcecodes und die kommerzielle Nutzung des so veränderten Programmes. Die in Smartcard Authentication - Secure & Easy enthaltene Version von PuTTY kooperiert wie alle anderen Bestandteile von Smartcard Authentication - Secure & Easy mit anderen Programmen, die ihre Smartcard zur Authentifizierung nutzen. Das heisst, wenn die Smartcard bereits durch eine andere Anwendung freigeschaltet wurde (in der Regel z.B. durch die Windows-Anmeldung) dann erfordert die Nutzung der angepassten PuTTY-Version keine zusätzliche erneute PIN-Eingabe.

Zusätzlich zur PuTTY-Version aus Smartcard Authentication - Secure & Easy wird auch eine Standalone Lösung des SSH Authentication Agent (pageant.exe) angeboten. Dieses Programm kooperiert nicht mit den anderen Bestandteilen von Smartcard Authentication - Secure & Easy und ist für Anwender gedacht, die lediglich die Smartcard basierte SSH Anmeldung mittels SSH Authentication Agent einsetzen wollen.

Die Benutzung der Standalone-PuTTY Version ist für den privaten Gebrauch und zu Testzwecken lizenzkostenfrei. Das Programm selber finden sie im Download-Bereich.

Beide Version bieten zusätzlich zu den Möglichkeiten der originalen PuTTY-Software folgende Zusatzfeatures:

Sollte Ihre Smartcard (noch) nicht unterstützt werden, so ist der Grund vermutlich der, dass bisher niemand Bedarf für diesen Typ Smartcard geäussert hat. Wenden sie sich in diesem Fall an support@smartcard-auth.de - Danke!

Wenn sie mir Zugriff auf eine Testkarte gewähren, kann ich üblicherweise in relativ kurzer Zeit die Unterstützung erweitern. Hierzu benötigen sie das folgende Client Programm, mit dem sie mir über eine Internet-Verbindung Zugriff auf einen ihrer Kartenleser gewähren können. Vorher sollten sie aber ihre PINs auf 123456 ändern und sich über die Konsequenzen im Klaren sein: ich kann dann aus der Ferne mit ihrer Smartcard anstellen, was ich möchte.

Installation

Die Installation der PuTTY-Version mit Standalone Smartcard Unterstützung ist denkbar einfach:

Kommerzielle Nutzung

Für die dauerhafte kommerzielle Nutzung ist es erforderlich die Schlüssel derjenigen Karten, die verwendet werden sollen, zu registrieren. Hierfür existiert eine Web-Oberfläche, auf der sie den Hash-Wert des Schlüssels eingeben können und nach Überweisung der Lizenzgebühr mittels PayPal unmittelbar eine Lizenzdatei erhalten.

Falls sie mehrere Schlüssel registrieren wollen, können sie auch einen Prepaid-Code erwerben, mit dem die Registrierung mehrerer Schlüssel möglich ist.

Dies gilt nicht für Benutzer von OpenPGP Karten oder Benutzer des OpenPGP CryptoSticks. Hier ist auch die kostenlose kommerzielle Nutzung möglich (und ausdrücklich erwünscht). Wenn sie mich diesbezüglich kontaktieren (mit Angabe des Hashwertes ihres öffentlichen Schlüssels) schicke ich ihnen umgehend eine Lizenz. Wenn ihnen das zu lange dauert, können sie auch für EUR 1 eine OpenPGP-Lizenz kaufen und erhalten diese dann zufort zugeschickt.

Um einen Schlüssel zu registrieren, folgen sie bitten den Anweisungen auf der (englischsprachigen) Registrierungsseite