Chipkártya kezelés az Electra ügyfélprogramban

nyomtatható verzió

A chipkártya a jelenlegi ismereteink szerint a legbiztonságosabb digitális aláírást előállító eszköz, ami könnyű kezelhetősége, egyszerű felépítése és viszonylag alacsony ára miatt felhasználók nagy tömegének is rendelkezésére áll. Az Electra rendszer képes együttműködni a chipkártyákkal, hogy ezzel a lehető legnagyobb biztonságot nyújtsa mind a bank, mind pedig az ügyfelek részére.

A chipkártya alatt szorosan a hagyományos bankkártya méretű plasztik lapba integrált, kriptográfiai algoritmusokkal előre programozott, saját memóriával rendelkező hardver eszközt értjük. A forgalomban lévő bankkártyák egy része tartalmaz is ilyen chipet. A chipkártyán lévő információkhoz a felhasználók közvetlenül nem, csak speciális kiegészítő eszközök segítségével (pl. számítógéphez csatlakoztatható kártyaolvasó) juthatnak hozzá. A mai számítógépeknek csak nagyon kicsi része rendelkezik ilyen kiegészítő eszközzel, ezért a tényleges Electra ügyfélprogrambeli aláírás előtt a chipkártya kezelés használatára az egyes munkaállomásokat fel kell készíteni.

Az Electra ügyfélprogram a chipkártyák kezelésére a PKCS #11 szabványt használja. Mivel a szabvány által biztosított felület lehetővé teszi a chipkártyákon kívül, egyéb kripto-tokenek használatát is, ezért az ügyfélprogram rengeteg féle eszközzel képes együttműködni. A chipkártyákon kívül az egyik legelterjedtebb eszköz a szabványos USB csatlakozóval rendelkező eToken, aminek nagy előnye, hogy a használatához nincs szükség külön csatlakozó (kártyaolvasó) berendezésre.

A chipkártyák a biztonság szempontjából a legmagasabb szintet képviselik. Mindezt azért, mert a saját, különálló memóriájukban tárolt, kriptográfiai szempontból „titoknak” számító adatokhoz közvetlenül semmilyen körülmények között nem engednek hozzáférni. Egy chipkártyán tárolt kriptográfiai kulcs titkos részét kiolvasni a kártyáról nem lehet, és a digitális aláírás elkészítéséhez erre nincs is szükség. A kártyát csak arra lehet utasítani, hogy a memóriájában tárolt kulccsal végezzen el kriptográfiai algoritmust (pl. RSA-t), és a végeredményt adja vissza. A kriptográfiai algoritmus végrehajtása ténylegesen a kártyán lévő chipben történik, semmilyen adat, részeredmény nem kerül át a kártyát vezérlő (és az Electra ügyfélprogramot is futtató) számítógépre. A biztonságot tovább növeli, hogy a chipkártya memóriájába a „titok” sem külső forrásból kerül, hanem azt is a kártya állítja elő. A kártyát utasítani lehet arra, hogy hozzon létre a belső memóriájában pl. egy adott méretű RSA kulcsot. Ilyenkor a chipbe programozott algoritmusok segítségével a kártya saját maga állítja elő az RSA kulcs titkos és nyilvános részét is, és hozzáférést kizárólag csak a nyilvános részhez enged. A chipkártyával műveleteket végeztetni sem tud akárki, csak aki birtokában van az eszköz működtetéséhez szükséges PIN kódnak. Minden művelet elvégzése előtt először meg kell adni egy felhasználói PIN kódot, amit a kártya ellenőrizni fog, és csak abban az esetben hajt végre kriptográfiai műveleteket, ha a megadott kód megegyezik a saját memóriájában tárolt kóddal. A chipkártya természetesen nem engedi meg, hogy a PIN kódot tároló memóriaterületéről bárki adatokat olvasson ki. Ha egymás után háromszor hibázik a felhasználó, és helytelen PIN kódot ad meg, akkor a kártya blokkolódik, semmilyen műveletet nem hajlandó végrehajtani egészen addig, amíg a blokkoltságot fel nem oldják. A blokkolás feloldása külön művelettel lehetséges, amihez viszont egy adminisztrátori PIN kód ismeretére van szükség. Ha az adminisztrátori PIN is blokkolódik, akkor a kártyán lévő adatok a továbbiakban már nem lesznek használhatóak, ugyanis az adminisztrátori PIN törlése együtt jár a kártya memóriájának teljes törlésével is.

Ha az Electra rendszerben digitális aláírás készítésére chipkártyát akarunk használni, akkor első lépésként az Electra felhasználót össze kell kapcsolni a kártyán lévő aláírási kulcsokkal. Az összekapcsolásra alapvetően kétféle lehetőség van:

  • PKCS #11 eszköz regisztrációja
  • PKI alapú, X.509 tanúsítványon keresztüli összekapcsolás

A PKCS #11 eszköz regisztráció az Electra rendszer beépített adminisztrációs parancsa, aminek segítségével egy felhasználóhoz egy konkrét chipkártya egy konkrét RSA kulcsának nyilvános részét lehet kapcsolni. A regisztrációt az Electra szerveren az Adminisztrátor programmal vagy Electra ügyfélprogramból az ügyféloldali adminisztrációval kell elvégezni. Mindkét esetben digitálisan aláírt parancson keresztül kerül be a rendszerbe a felhasználó-chipkártya összerendelés.

A PKI alapú, X.509 tanúsítványok használata az Electra rendszerben kiváltja a PKCS #11 eszköz regisztrációját. Az Electra rendszer a chipkártyáról képes kiolvasni az RSA kulcsok mellett az esetlegesen hozzájuk tartozó, szabványos, X.509 tanúsítványokat is. Ilyenkor a felhasználóval a kapcsolatot a tanúsítvány subject mezőjébe írt Electra felhasználói azonosító (userid) adja. Az ügyfélprogram az Electra szerveren keresztül megkapja a tanúsítványok ellenőrzéséhez szükséges CA tanúsítványokat, így a kapcsolat a userid, tanúsítvány subject, tanúsítvány aláírás, CA tanúsítvány útvonalon keresztül jön létre. A PKI alapú PKCS #11 eszköz összerendelés természetesen csak speciális tanúsítványokkal működik, amik vagy közvetlenül, vagy egy jól meghatározható leképezéssel, de tartalmazzák az Electra felhasználói azonosítót.

Az Electra ügyfélprogram a chipkártyát csak a digitális aláírás létrehozására használja, az aláírást nem ellenőrzi. Az ellenőrzést az Electra szerver végzi a korábban valamelyik módon beregisztrált RSA kulcs nyilvános része segítségével. A PKI alapú összekapcsolás esetén az Electra szerver képes használni a PKI további eszközeit is: tanúsítvány lánc és visszavonási listák ellenőrzése.

 
 Kapcsolódó cikkek: