Produktdetails

SSH Secure-Shell

Windows-Logon

Bildschirmschoner

Oracle-Forms

SAP-Gui

Mozilla

Internet Explorer

Email

POP3

Mail Notifier

Impressum

Smartcard Authentication - Secure & Easy

SSH-Anmeldung an einem Unix-Rechner

Zur SSH-Anmeldung an einem Unix-Rechner verwendet Smartcard Authentication - Secure & Easy PuTTY, die freie SSH-Implementierung von Simon Tatham.

PuTTY unterstützt unter anderem die Authentifizierung mittels asymmetrischer RSA Schlüssel, allerdings kann die derzeit aktuelle PuTTY-Version nur Schlüssel benutzen, die in Passwort-gesicherten Dateien im Filesystem gespeichert werden.

Der sicherste Aufbewahrungsort für einen privaten RSA-Schlüssel ist aber eine durch PIN gesicherte Smartcard. Daher wird in Smartcard Authentication - Secure & Easy eine modifizierte PuTTY-Version eingesetzt, die genau diese Speicherung ermöglicht.

PuTTY 0.67 ist incl. Sourcecode frei verfügar. Die PuTTY-Licence erlaubt auch die Modifikation des Sourcecodes und die kommerzielle Nutzung des so veränderten Programmes. Die in Smartcard Authentication - Secure & Easy enthaltene Version von PuTTY kooperiert wie alle anderen Bestandteile von Smartcard Authentication - Secure & Easy mit anderen Programmen, die ihre Smartcard zur Authentifizierung nutzen. Das heisst, wenn die Smartcard bereits durch eine andere Anwendung freigeschaltet wurde (in der Regel z.B. durch die Windows-Anmeldung) dann erfordert die Nutzung der angepassten PuTTY-Version keine zusätzliche erneute PIN-Eingabe.

Zusätzlich zur PuTTY-Version aus Smartcard Authentication - Secure & Easy wird auch eine Standalone Lösung des SSH Authentication Agent (pageant.exe) angeboten. Dieses Programm kooperiert nicht mit den anderen Bestandteilen von Smartcard Authentication - Secure & Easy und ist für Anwender gedacht, die lediglich die Smartcard basierte SSH Anmeldung mittels SSH Authentication Agent einsetzen wollen.

Die Benutzung der Standalone-PuTTY Version ist für den privaten Gebrauch und zu Testzwecken lizenzkostenfrei. Das Programm selber finden sie im Download-Bereich.

Beide Version bieten zusätzlich zu den Möglichkeiten der originalen PuTTY-Software folgende Zusatzfeatures:

• Unterstützung von privaten RSA- und ECC-Schlüsseln, die auf Smartcards gespeichert werden.
• Unterstützung der sicheren PIN-Eingabe bei Kartenlesern mit Tastatur.
• Schlüssel werden automatisch in die Schlüsselliste eingefügt bzw. daraus entfernt wenn neue Karten im Leser entdeckt werden bzw. vorhandene Karten entfernt werden.
• Unterstützt die gleichzeitige Benutzung mehrere Kartenleser.
• Enthält eine Smartcard mehrere Schlüssel, so können alle vorhandenen Schlüssel benutzt werden,
• Eine eingegebenen PIN kann optional im RAM für die Laufzeit des Authentication Agent gespeichert werden.
• Unterstützung aller Smartcards/Token, für die eine PKCS#11-Bibliothek zur Verfügung steht (Support nur für RSA-Schlüssel).
• Native Unterstützung für einige Smartcards. Mit "nativer" Unterstützung ist hierbei gemeint, dass keine zusätzliche Middleware und/oder Treiber für die nachfolgend genannten Karten benötigt werden:
  • PKCard Smartcards Version 1 (RSA-Schlüssel bis zu 4096 bit Schlüssellänge) und Version 2 (RSA-Schlüssel und ECC-Schlüssel).
  • Alle gängigen TCOS basierten Smartcards, insbesondere alle TCOS basierten deutschen Signaturkarten (SignTrust 1024, NetKey E4, Datev).
  • einige CardOS Karten, insbesondere die meisten D-Trust Karten.
  • Elektronische Heilberufsausweise (eHBA).
  • Elektronische Gesundheitskarten (eGK).
  • Aladdin eToken PRO (32K and 64K).
  • Sicrypt Smartcard.
  • OpenPGP Smartcard, Version 1 und 2
  • OpenPGP Emulationen im CryptoStick und Yubikeys.
  • PIV Emulation in Yubikeys (ECC funktioniert, RSA nur mit aktuellen Versionen).
  • Aloaha Smartcard.
  
  
• Unterstützt werden RSA-Schlüssellängen bis hin zu 4096bit, sofern diese von der benutzten Smartcard unterstützt werden.
• Für alle privaten Schlüssel kann auf sehr einfache Weise eine Textdatei erzeugt werden, die den zugehörigen öffentlichen Schlüssel in unterschiedlichsten Formaten enthält. Hierzu muss lediglich die STRG-Taste beim Stecken der Smartcard gedrückt werden.
• Unterstützt werden alle Anwendungen, die das SSH Authentication Agent Protokoll unterstützen, insbesondere auch das frei verfügbare WinSCP und den Filezilla-Client.

Sollte Ihre Smartcard (noch) nicht unterstützt werden, so ist der Grund vermutlich der, dass bisher niemand Bedarf für diesen Typ Smartcard geäussert hat. Wenden sie sich in diesem Fall an support@smartcard-auth.de - Danke!

Wenn sie mir Zugriff auf eine Testkarte gewähren, kann ich üblicherweise in relativ kurzer Zeit die Unterstützung erweitern. Hierzu benötigen sie das folgende Client Programm, mit dem sie mir über eine Internet-Verbindung Zugriff auf einen ihrer Kartenleser gewähren können. Vorher sollten sie aber ihre PINs auf 123456 ändern und sich über die Konsequenzen im Klaren sein: ich kann dann aus der Ferne mit ihrer Smartcard anstellen, was ich möchte.

Installation

Die Installation der PuTTY-Version mit Standalone Smartcard Unterstützung ist denkbar einfach:

• Installieren sie die 32bit PuTTY-Version, indem sie das PuTTY-Installationspacket von dieser Stelle herunterladen und installieren.
• Im PuTTY-Verzeichnis (normalerweise C:\Programme\PuTTY) befindet sich der SSH Authentication Agent pageant.exe. Tauschen sie dieses Programm gegen die Version mit Smartcard Support aus dem Downloadbereich aus.
• Falls sie eine PKCS#11-Bibliothek benutzen wollen, so erstellen sie eine Kopie mit dem Namen pageant11.dll entweder im Verzeichnis, in dem sich pageant.exe befindet oder im system32-Verzeichnis.
• Die weitere Benutzung von PuTTY und/oder des Authentication Agent ist in der PuTTY-Dokumentation beschrieben. Der einzige Unterschied (neben der Möglichkeit Smartcards zu benutzen) besteht darin, dass beim Einführen einer Smartcard die STRG-Taste gedrückt werden kann und pageant.exe in diesem Fall eine Textdatei erzeugt, in der alle öffentlichen Schlüssel ihrer Karte in allen gängigen Formaten aufgeführt werden.

Kommerzielle Nutzung

Für die dauerhafte kommerzielle Nutzung ist es erforderlich die Schlüssel derjenigen Karten, die verwendet werden sollen, zu registrieren. Hierfür existiert eine Web-Oberfläche, auf der sie den Hash-Wert des Schlüssels eingeben können und nach Überweisung der Lizenzgebühr mittels PayPal unmittelbar eine Lizenzdatei erhalten.

Falls sie mehrere Schlüssel registrieren wollen, können sie auch einen Prepaid-Code erwerben, mit dem die Registrierung mehrerer Schlüssel möglich ist.

Dies gilt nicht für Benutzer von OpenPGP Karten oder Benutzer des OpenPGP CryptoSticks. Hier ist auch die kostenlose kommerzielle Nutzung möglich (und ausdrücklich erwünscht). Wenn sie mich diesbezüglich kontaktieren (mit Angabe des Hashwertes ihres öffentlichen Schlüssels) schicke ich ihnen umgehend eine Lizenz. Wenn ihnen das zu lange dauert, können sie auch für EUR 1 eine OpenPGP-Lizenz kaufen und erhalten diese dann zufort zugeschickt.

Um einen Schlüssel zu registrieren, folgen sie bitten den Anweisungen auf der (englischsprachigen) Registrierungsseite