Evaluierung "Smartcard Office" - E-Government Innovationszentrum
Transcription
Evaluierung "Smartcard Office" - E-Government Innovationszentrum
www.egiz.gv.at E-Mail: post@egiz.gv.at Telefon: ++43 (316) 873 5514 Fax: ++43 (316) 873 5520 Inffeldgasse 16a / 8010 Graz / Austria Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Version 1.1, 18.02.2008 DI Thomas Knall – thomas.knall@egiz.gv.at Zusammenfassung: CHIPDRIVE Smartcard Office ist eine Software, die verschiedene Anwendungen im Zusammenhang mit Chipkarten anbietet, etwa das intelligente Befüllen von Formularen, einen Passwort Manager oder ein chipkartenunterstütztes Windows-Logon. Als Vorfeldtätigkeit zur Aktivität "Gesicherter Formularcontainer – Comfort Layer" wurde in dieser Evaluierung die Verwendung dieses Tools im Zusammenhang mit der Bürgerkarte untersucht wobei speziell auf die für den Formularcontainer interessanten Anwendungsteile eingegangen wurde. Inhaltsverzeichnis: Abbildungsverzeichnis ..............................................................................................................................2 Revision History ........................................................................................................................................3 1 Einleitung ..........................................................................................................................................4 1.1 1.2 2 Geschlechtsspezifische Bezeichnungen Motivation 4 4 Evaluierung .......................................................................................................................................5 2.1 2.2 2.3 2.4 Allgemeines Voraussetzungen Überblick Technische Details 5 6 7 15 3 Zusammenfassung .........................................................................................................................18 Referenzen .............................................................................................................................................19 Das E-Government Innovationszentrum ist eine gemeinsame Einrichtung des Bundeskanzleramtes und der TU -Graz Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Abbildungsverzeichnis Abbildungsverzeichnis Abb. 2.1: getestete Version der Smartcard Office Module ...................................................................... 5 Abb. 2.2: Einführungsmodul .................................................................................................................... 7 Abb. 2.3: Form Fill Übersichtsseite (ohne Profil) ..................................................................................... 9 Abb. 2.4: Erstellen eines Form Fill Profils (Schritt 1) ............................................................................... 9 Abb. 2.5: Erstellen eines Form Fill Profils (Schritt 2) ............................................................................. 10 Abb. 2.6: Benennen eines neuen Form Fill Profils ................................................................................ 10 Abb. 2.7: Installieren der Mozilla Erweiterung ....................................................................................... 11 Abb. 2.8: Formularbefüllung ausgelöst durch den Benutzer ................................................................. 12 Abb. 2.9: Befüllte Formularfelder ........................................................................................................... 13 Abb. 2.10: Auswahl aus mehreren Profilen ........................................................................................... 13 Abb. 2.11: Automatische Rückfrage zum Speichern von Passwörtern ................................................. 14 Abb. 2.12: Auswahl zwischen mehreren Identitäten ............................................................................. 14 –2– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Revision History Revision History Version Datum Autor(en) 0.1 25.01.2008 T. Knall erster Entwurf, Struktur 0.2 06.02.2008 T. Knall Evaluierung-Überblick 0.3 07.02.2008 T. Knall technische Details, Zusammenfassung 0.4 08.02.2008 A. Tauber Durchsicht 1.0 08.02.2008 T. Knall Finalisierung 1.0 18.02.2008 H. Leitold Anmerkungen 1.1 18.02.2008 T. Knall Überarbeitung –3– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Einleitung 1 Einleitung 1.1 Geschlechtsspezifische Bezeichnungen Alle Personenbezeichnungen, die in diesem Dokument in der männlichen Form verwendet werden, gelten sinngemäß auch für die weibliche Form. 1.2 Motivation SCM Microsystems1 ist ein Anbieter kontaktbehafteter bzw. kontaktloser Chipkartenlesegeräte. CHIPDRIVE2 vertreibt als Marke von SCM Microsystems verschiedenste Smartcard-basierte Softwarelösungen zur Authentifizierung, Verschlüsselung und Zugangskontrolle. "Smartcard Office" ist als eine Art All-in-One-Paket zu bezeichnen, das zahlreiche nützliche Anwendungen im Zusammenhang mit Smartcards bietet. Es stellt sich nun die Frage, welche dieser Anwendungen im Zusammenhang mit der Bürgerkarte genutzt werden kann, bzw. dieser einen entsprechenden Mehrwert verleihen könnte. Die Bürgerkarte wird zwar nicht als solche von "Smartcard Office" unterstützt bzw. die speziellen Bürgerkartenfunktionen werden nicht explizit genutzt, trotzdem könnte "Smartcard Office" als nützliche ChipkartenAnwendung der Bürgerkarte zu einer breiteren Akzeptanz verhelfen. Ein denkbares Szenario wäre beispielsweise die Beigabe der Software mit einer Generallizenz als "Bonus" zu einem E-Government-Paket, das Kartenleser, Treiber, die Bürgerkarten-Software "trustDesk basic" und ggf. noch weitere Anwendungen (wie z.B. ein Acrobat-Plugin zur PDF-Signatur etc.) umfasst. Die hier vorgenommene Evaluierung von "Smartcard Office" dient dazu, Basisfunktionalitäten aufzuzeigen und besonders interessante Anwendungsmöglichkeiten zu identifizieren. Dabei wird als Vorfeldtätigkeit zu dem Projekt "Gesicherter Formularcontainer (Comfort Layer)3" besonders die Komponente "Form Fill" (automatisches Befüllen von Formularfeldern) sowie die Komponente "Password Manager" (Speichern von Benutzernamen und Passwörtern) genauer untersucht um deren Herangehensweise eventuell in ein Konzept und in die Spezifikation eines Comfort Layers einfließen zu lassen. 1 2 3 http://www.scmmicro.com/ http://www.chipdrive.de/ Der Formularcontainer ist eine Anwendung, die für BürgerInnen häufig benötigte Formularinhalte (Geburtsort, Anschrift, E-Mail Adresse...) ggf. verschlüsselt bereit hält oder aus etablierten Registern (z.B. ZMR) entnimmt und bei Bedarf in Webformulare automatisch einfüllt. –4– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung 2 Evaluierung Im Rahmen der Evaluierung werden zunächst die Voraussetzungen zur Nutzung der Anwendung umrissen (Abschnitt 2.2), dann ein Überblick über die einzelnen Anwendungsmöglichkeiten gegeben (Abschnitt 2.3) und schließlich die für den Comfort Layer relevanten Module ("Form Fill" und "Password Manager") im Detail erläutert (Abschnitt 2.4). Hierbei wird – soweit feststellbar – die Funktionsweise der Module untersucht. 2.1 Allgemeines Die Untersuchung von Smartcard Office zur Identifizierung interessanter Anwendungsmöglichkeiten im Zusammenhang mit Bürgerkarte bzw. E-Card fand mit der zum Evaluierungszeitpunkt aktuellen Version 2.7 statt. Die genauen Versionen der einzelnen Module sind aus Abb. 2.1 zu entnehmen. Abb. 2.1: getestete Version der Smartcard Office Module Bei der verwendeten Version handelt es sich um eine Demo-Version, die 30 Tage lang uneingeschränkt genutzt werden kann. Nach Ablauf der Testperiode kann Smartcard Office nur mit eingeschränkter Funktionalität verwendet werden wobei sichergestellt ist, dass verschlüsselte Daten (Passwörter, Laufwerke, Bookmarks usw.) noch gelesen werden können. Zur Dokumentation von Smartcard Office kann zunächst angemerkt werden, dass diese relativ kurz gehalten ist. So wird leider weder ein Benutzerhandbuch online zum Download angeboten, noch wird ein solches (laut Webshop) beim Kauf der Software mitgeliefert. Die Software präsentiert sich nach der Installation mit einem Einführungsmodul (siehe Abb. 2.2); dieses bietet jedoch nur einen groben Überblick über die verfügbaren Module. Für jedes der sieben Module (siehe Abschnitt 2.3.2) wird allerdings eine Online-Hilfe installiert (MS-Help), die einige (kurze) Erklärungen enthält. Über die Website kann ein Datenblatt zur Version 2.5 heruntergeladen, eine FAQ-Liste eingesehen und die Knowledge-Base bzw. ein User-to-User-Forum genutzt werden. –5– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung 2.2 Voraussetzungen Als Voraussetzungen zur Nutzung von Smartcard Office nennt SCM Microsystems folgende Betriebssysteme: WinNT 4.0 SP 6 Windows 2000 Windows XP Windows Server 2003 Explizit nicht unterstützt werden: Windows NT 4.0 Server Windows 2000 Server Windows Vista Darüber hinaus gelten folgende Voraussetzungen: 64 MB Hauptspeicher ca. 55 MB freier Festplattenspeicher ein Kartenlesegerät mit PC/SC fähigem Treiber Für die Module "Password Manager", "Address Book" und "Form Fill" wird entweder der Internet Explorer ab Version 5.0 oder Mozilla/Firefox vorausgesetzt. Kartenleser betreffend macht SCM keine definitiven Aussagen zu einzelnen Geräten. Unterstützt werden generell sämtliche von SCM vertriebenen Geräte sowie Geräte, deren Treiber PC/SC unterstützen. –6– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung 2.3 Überblick Smartcard Office 2.7 setzt sich im Großen und Ganzen aus sieben Komponenten (dem Smartcard Manager und sechs zusätzlichen Komponenten) zusammen. Nach der Installation wird dem Anwender das Einführungsmodul gezeigt, das einen Überblick über die installierten Komponenten bietet (siehe Abb. 2.2). Abb. 2.2: Einführungsmodul 2.3.1 Zugangsschlüssel Sämtliche Komponenten von Smartcard Office arbeiten mit sogenannten "Zugangsschlüsseln". Ein Zugangsschlüssel ist ein abstrakter Begriff für eine Chipkarte, einen Fingerabdruck oder ein Master Passwort. Smartcard Office unterscheidet bei Chipkarten grundsätzlich zwei Gruppen: "Masterkey-Chipkarten" bzw. "Personal Security Cards": hierbei handelt es sich um speziell von SCM Microsystems vertriebene Karten mit größerem Speicher. Smartcard Office speichert Informationen direkt auf diesen Karten. Für den Zugriff auf die Daten ist die Eingabe der Karten-PIN erforderlich. Bei Erreichen der maximalen Anzahl an Fehlversuchen bei der PIN-Eingabe wird die Masterkey-Karte deaktiviert und kann nicht mehr verwendet werden. Masterkey/Personal Security Karten können jederzeit nachgekauft werden (etwa 17 Euro pro Stück). Masterkey-Chipkarten und Personal Security Cards unterscheiden sich nur durch die Anzahl der erlaubten Fehleingaben und die Größe des Kartenspeichers. "Office Cards": Hierbei handelt es sich um HBCI-Karten, Geldkarten, E-Cards oder A-Trust-Signaturkarten. Informationen werden nicht auf den Karten selbst sondern verschlüsselt auf der Festplatte gespeichert. Die Sicherheit im Zusammenhang mit der Verwendung dieser Karten ist stark verringert, da die Daten nicht über die Karte verbzw. entschlüsselt werden, d.h. durch eine Karten-PIN geschützt sondern über ein herkömmliches Passwort gesichert werden. Für den Zugriff auf die Daten wird zwar die Chipkarte benötigt, diese wird jedoch offensichtlich nur auf ihre Seriennummer oder ein ähnliches Erkennungsmerkmal hin überprüft und verifiziert somit nur den Besitz der Karte. –7– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung 2.3.2 Smartcard-Anwendungen Die aktuelle Version von Smartcard Office bietet sieben Anwendungen im Zusammenhang mit Smartcards an. Im Folgenden wird ein kurzer Überblick über diese Anwendungen gegeben, wobei speziell auf "Form Fill" (Abschnitt 2.3.2.3) und "Password Manager" (Abschnitt 2.3.2.4) eingegangen wird, da diese Komponenten Parallelitäten zum Konzept eines Formular-Containers (Comfort-Layer) aufweisen. 2.3.2.1 Smartcard Manager Der Smartcard Manager erfüllt im Vergleich zu den anderen Modulen keinen speziellen sicherheitsrelevanten Anwendungszweck. Der Smartcard Manager dient zum Überblick über die gespeicherten Daten, zur Kennwort- und PIN-Verwaltung, und zur Erstellung von Sicherheitskopien gespeicherter Daten. 2.3.2.2 WinLogon Der Standard-Windows-Anmeldedialog wird durch die Anwendung "WinLogon" ersetzt oder um diese ergänzt (je nach Konfiguration). Ein Windows-Logon kann nun mittels einer bei Smartcard Office registrierten Chipkarte (auf Wunsch zusätzlich mit Passwort oder PIN) als Ersatz eines herkömmlichen Logins mit Benutzername/Passwort durchgeführt werden. Wird eine "Masterkey-Karte" (siehe Abschnitt 2.3.1) verwendet, werden die Anmeldedaten (Benutzername, Passwort und Domäne) direkt auf der Karte gespeichert, wobei diese Informationen mit einem PIN verschlüsselt sein dürfen. 2.3.2.3 Form Fill Form Fill ist ein Modul das in weiterer Folge besonders für den Entwurf eines Konzepts für den Formularcontainer von Bedeutung sein könnte. Persönliche Daten wie Adresse, Telefonnummer, E-Mail-Adresse etc. werden verschlüsselt gespeichert und können auf Wunsch automatisch in Web-Formulare eingefügt werden. Hierbei wird eine Heuristik verwendet um die entsprechenden Formularinhalte in die passenden Formularfelder einzufügen (z.B. die E-Mail Adresse in Formulare mit der Bezeichnung "E-Mail" bzw. "eMail"...). Um "Form Fill" sinnvoll verwenden zu können muss zunächst mindestens ein Profil4 erstellt werden (siehe Abb. 2.3 bis Abb. 2.6). Dieses Profil wird an einen Zugangsschlüssel (siehe Abschnitt 2.3.1) gebunden der hierfür bereit liegen muss. Die "Form Fill" Übersichtsseite ermöglicht neben dem Überblick über die gespeicherten Profile auch eine grundlegende Konfiguration der Komponente. 4 Ein Profil umfasst persönliche Daten wie Namen, Geburtsdatum, Geschlecht sowie Daten zur Anschrift. –8– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung Abb. 2.3: Form Fill Übersichtsseite (ohne Profil) Beim Erstellen eines Profils werden zunächst Angaben zur Person gemacht (Abb. 2.4). Abb. 2.4: Erstellen eines Form Fill Profils (Schritt 1) –9– Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung Nun werden Angaben zur Adresse eingefügt (Abb. 2.5). Abb. 2.5: Erstellen eines Form Fill Profils (Schritt 2) Und schließlich wird das Profil benannt um es einfach identifizieren zu können (z.B. "privat", "geschäftlich", "Musterprofilname"...) (siehe Abb. 2.6). Abb. 2.6: Benennen eines neuen Form Fill Profils Die in dem Profil gespeicherten Daten werden verschlüsselt und können nur nach Freischaltung mit einem Zugangsschlüssel (siehe Abschnitt 2.3.1) genutzt werden. – 10 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung Soll die "Form Fill" Komponente mit Mozilla/Firefox eingesetzt werden können, muss zunächst eine Mozilla Erweiterung installiert werden. Dies kann direkt aus dem WindowsStart-Menü über den bei der Installation hinzugefügten Link "Mozilla Erweiterung installieren" erfolgen. Die Erweiterung wird ebenfalls zur Nutzung der Komponenten "Password Manager" (Abschnitt 2.3.2.4) und "Address Book" (Abschnitt 2.3.2.6) benötigt, muss jedoch nur einmal installiert werden. Abb. 2.7: Installieren der Mozilla Erweiterung Der Internet Explorer nutzt "Form Fill" technisch gesehen auf eine andere Weise (siehe Abschnitt 2.4.3.2), sodass hier keine Erweiterung installiert werden muss. – 11 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung Aus der Sicht des Anwenders kann "Form Fill" sowohl über den Internet Explorer als auch über Mozilla/Firefox auf identische Weise verwendet werden. Je nach Konfiguration werden die passenden Formularfelder entweder automatisch oder durch Aufruf des Benutzers über das Kontextmenü ausgefüllt (siehe Abb. 2.8). Abb. 2.8: Formularbefüllung ausgelöst durch den Benutzer – 12 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung "Form Fill" befüllt nun sämtliche durch die Heuristik erkannten Formularfelder (siehe Abb. 2.9). Wie aus der Abbildung zu entnehmen ist, wurden einige Felder nicht erkannt. Leider bietet "Form Fill" keine Möglichkeit, benutzerdefinierte Formularfelder zu definieren. Zudem können Formularfelder nicht automatisch beim Absenden des Formulars gespeichert werden, was die Praxistauglichkeit der Smartcard Anwendung schon in Frage stellt. Abb. 2.9: Befüllte Formularfelder Sind mehrere Profile registriert, dann zeigt die Form Fill Komponente einen Dialog an aus dem der Anwender ein Profil auswählen kann, dessen Daten dann ins Formular eingefügt werden (siehe Abb. 2.10). Abb. 2.10: Auswahl aus mehreren Profilen – 13 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung 2.3.2.4 Password Manager Der Password Manager ist eine Datenbank in der Passwörter verschlüsselt gespeichert und mit einem Zugangsschlüssel gesichert werden. Die Funktionsweise des Password Managers ist der des Moduls "Form Fill" sehr ähnlich. Hier wird jedoch im Gegensatz zu Form Fill automatisch das Speichern der Anmeldedaten beim Durchführen einer Authentifizierung mit Benutzername/Passwort angeboten (siehe Abb. 2.11). Abb. 2.11: Automatische Rückfrage zum Speichern von Passwörtern Gleichfalls werden diese Daten bei einem erneuten Anmelden an der jeweiligen Webseite auf Wunsch automatisch eingefügt. Falls für diese Webseite mehrere Identitäten registriert sind, erfolgt eine Abfrage durch den in Abb. 2.12 gezeigten Dialog. Abb. 2.12: Auswahl zwischen mehreren Identitäten 2.3.2.5 Disk Encryption Disk Encryption ist einschlägig bekannter Software wie TrueCrypt oder PGP-Disk sehr ähnlich. Es können virtuelle Laufwerke in Form einer Image-Datei erstellt werden, die unter Windows transparent als normale Festplattenlaufwerke erscheinen und auch wie solche genutzt werden können. Die Image-Datei ist mit einem Zugangsschlüssel gesichert. 2.3.2.6 Address Book Dieses Modul dient der sicheren Speicherung von Browser-Lesezeichen (Bookmarks, Favoriten). Erst nach Freigabe durch einen Zugangsschlüssel kann auf die Lesezeichen (entweder im Mozilla/Firefox oder im Internet Explorer) zugegriffen werden. 2.3.2.7 Notepad Notepad dient dazu, Notizen mit einen Zugangsschlüssel gesichert abzulegen und strukturiert zu speichern. – 14 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung 2.4 Technische Details Dieser Abschnitt versucht, die Implementierungsweise bzw. die technische Ausprägung einzelner Komponenten genauer zu beleuchten, wobei wieder speziell auf "Form Fill, Password Manager und Address Book" (siehe Abschnitt 2.4.3) eingegangen wird um eine wirksame Herangehensweise an das Folgeprojekt "Comfort-Layer" zu ermitteln. 2.4.1 Installation Die Installation von Smartcard Office kann zwar unter Windows Vista durchgeführt werden, die Software ist dennoch nicht Vista-fähig (der Installer nimmt keine diesbezügliche Prüfung vor). Smartcard Office installiert neben der Hauptanwendung, die über die Windows-Systray5 erreicht werden kann, einen Windows-Dienst, der als "gemeinsamer Basisdienst zum Zugriff auf Smartcards für Smartcard Office und andere Anwendungen von SCM Microsystems dient sowie einen Treiber für das Modul "Disk Encryption" (siehe Abschnitt 2.3.2.5). Für jede installierte Smartcard-Anwendung (siehe Abschnitt 2.3.2) wird ein eigener Prozess gestartet. Die Prozesse der Komponenten "Form Fill", "Password Manager" und "Address Book" öffnen Ports um HTTP/XML-Anfragen des Mozilla-Plugins entgegen nehmen zu können (siehe Abschnitt 2.4.3). 2.4.2 WinLogon Wird die Komponente "WinLogon" bei der Installation ausgewählt, ersetzt Smartcard Office die Microsoft Authentifizierungs-Komponente MSGina.dll durch eine eigene Authentifizierungskomponente (durch die Smartcard Office Komponente twkgina.dll) wodurch eine unter Smartcard Office registrierte Chipkarte für ein Windows-Login verwendet werden kann. 2.4.3 Form Fill, Password Manager und Address Book Aus technischer Sicht unterscheiden sich "Form Fill" und "Password Manager" nicht wesentlich. Beide unterstützen den Internet Explorer und Mozilla/Firefox, wobei die Implementierungen für den Internet Explorer jeweils gänzlich anders gestaltet wurden als für Mozilla/Firefox. Aus diesem Grund wird hier auf beide Varianten getrennt eingegangen. 2.4.3.1 Mozilla/Firefox Wie bereits in Abschnitt 2.3.2.3 erläutert ist für Mozilla/Firefox eine Erweiterung6 vorgesehen, die die Funktionalität von "Form Fill", "Password Manager" und "Address Book" in diesem Browser ermöglicht. Diese Erweiterung kommuniziert mit den entsprechenden Prozessen mittels HTTP-Requests (auf localhost), mit denen Base64-kodierte Daten (mittels Parameter (req=...) übertragen werden können. Die Prozesse antworten mit XML-overHTTP-Paketen, die die Mozilla/Firefox-Erweiterung einfach auswerten kann. Ein Spezifikum von Smartcard Office bei dieser Art der Kommunikation ist, dass jede Komponente ihre eigenen HTTP-Request-Methoden besitzt die anstelle der in HTTP spezifizierten Methoden "GET", "POST" etc. verwendet werden. 5 6 Hierbei handelt es sich um den am rechten unteren Bildschirmrand gelegenen Bereich der Windows-Taskleiste. In der für das Mozilla Projekt entwickelten XML User Interface Language (XUL). – 15 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung Komponente Prozess Port HTTP-Request-Methode Password Manager Pcard.exe 20701 SOMOPNGP7, SOMOFIPA8, SOMOLOAD9, SOMOSAPA10, SOMODUMP11 Form Fill FrmFill.exe 20702 SOMOPNGF12, SOMOFIFO13, SOMOLOAD, SOMOTEST14 Address Book BMan.exe 20703 SOMOABSV15, SOMOABAD16, SOMOABOO17 Request Als Beispiel wäre hier ein Ping-Request (SOMOPNGF) zu nennen, mit dem beispielsweise die Komponente "Form Fill" feststellt, ob der entsprechende Win32-Prozess verfügbar ist. Dies entscheidet unter anderem ob das Kontextmenü des Browsers entsprechende Einträge (z.B. "Formular ausfüllen") anzeigt. Der Prozess antwortet in diesem Fall mit einem "Pong" (einer Nachricht mit beliebigem Inhalt). Als weiteres interessantes Beispiel erscheint der Request zum automatischen Abfragen der gespeicherten Formularinhalte (Methode SOMOLOAD) beim Laden einer Seite mit einem Formular. Dazu sendet die Browser-Erweiterung folgenden Request an "http://localhost:20702": SOMOLOAD /&req=fHx8TmV4dEZvck18fHwwfGZpbGU6Ly8vQzovdGVzdGZvcm0yLmh0bWw/dm9ybmFtZT0mbmFjaG 5hbWU9fHx8dGVzdGZvcm0yLmh0bWx8M3x2b3JuYW1le01heHt0ZXh0fG5hY2huYW1le011c3Rlcm1hbm 57dGV4dHx7QWJzZW5kZW57c3VibWl0fHZvcm5hbWU6IDxpbnB1dCBuYW1lPSJ2b3JuYW1lIiBpZD0idm 9ybmFtZSIgc2l6ZT0iMzAiIG1heGxlbmd0aD0iMzAiIHR5cGU9InRleHQiPjxicj5uYWNobmFtZTogPG lucHV0IG5hbWU9Im5hY2huYW1lIiBpZD0ibmFjaG5hbWUiIHNpemU9IjMwIiBtYXhsZW5ndGg9IjMwIi B0eXBlPSJ0ZXh0Ij48YnI+PGlucHV0IHZhbHVlPSJhYnNlbmRlbiIgdHlwZT0ic3VibWl0Ij58|| HTTP/1.1 Host: 127.0.0.1:20702 User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.11) Gecko/20071127 Firefox/2.0.0.11 Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8, image/png,*/*;q=0.5 Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3 Accept-Encoding: gzip,deflate Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive Der Base64-Datenblock der mit dem Parameter req übertragen wird, enthält die FormAction, die auszulesenden Parameter und den HTML-Code des DOM-Objekts des HTMLFormulars. Die Auswertung wird vom verantwortlichen Win32-Prozess (FrmFill.exe) nach Übermittlung der Daten durchgeführt. 7 8 9 10 11 12 13 14 15 16 17 Ping-Request für den "Password Manager" um zu verifizieren ob Smartcard Office bereit ist. Request zum erzwungenen Befüllen eines Passwort-Feldes (ausgelöst vom Benutzer über das Kontextmenü). Automatisches Befüllen eines Formulars beim Laden der Seite. Hier wird nicht zwischen "Password Manager" und "Form Fill" unterschieden. Request um den Inhalt eines Passwort-Feldes an Smartcard Office zu übermitteln. Request der beim Submitten eines Formulars versandt wird um dem Benutzer anzubieten, das Passwort zu speichern. Ping-Request für "Form Fill" um zu verifizieren ob Smartcard Office bereit ist. Request zum erzwungenen Befüllen eines Formulars (ausgelöst vom Benutzer über das Kontextmenü). Absenden eines Test-Requests. Request zum Abspeichern eines Bookmarks im Adressbuch. Veranlasst Smartcard Office die Adress-Verwaltung aufzurufen. Request zum Auslesen von gespeicherten Bookmarks. – 16 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Evaluierung Response Die Antwort wird in Form einer XML-over-HTTP-Response an die Browser-Erweiterung zurückgesandt und sieht folgendermaßen aus: <?xml version='1.0'?> <data> ZmlsZTovLy9DOi90ZXN0Zm9ybTIuaHRtbHx8dGVzdGZvcm0yLmh0bWx8MHx2 b3JuYW1lPSojKj1NYXh8bmFjaG5hbWU9KiMqPU11c3Rlcm1hbm58 </data> Der Base64-Block enthält nun die Feldnamen zusammen mit den Felddaten die dann von der Browser-Erweiterung ins Formular eingefüllt werden. 2.4.3.2 Internet Explorer Für den Internet Explorer wird ein anderer Weg beschritten. Über das Kontext-Menü des Internet Explorers wird durch Klick auf "Formular ausfüllen" ein WSH18-Script aufgerufen. Dieses Script setzt einen bestimmten Schlüssel in der Registry, der regelmäßig von der Form-Fill- (FrmFill.exe) bzw. Password-Manager-Komponente (Pcard.exe) ausgelesen wird. Beispiel eines WSH-Scripts: var parentwin = external.menuArguments; var doc = parentwin.document; try { var WshShell = new ActiveXObject("WScript.Shell"); WshShell.RegWrite("HKCU\\Software\\CHIPDRIVE\\SOApps\\FFmsg", "SOIEFIFO /&req="+doc.URL+"||"); } catch(ex) { win.alert('This function requires the Windows Scripting Host, which is not installed or not activated on your system!') } Hierbei werden im Vergleich zur Verfahrensweise beim Mozilla Browser abgesehen von der URL des Dokuments keine Formular-Daten "übertragen". Analog zur Mozilla-Erweiterung wird hier über die Registry ein Kommando zum Befüllen des Formulars (SOIEFIFO) übergeben. Die für die Befüllung erforderlichen Formular-Daten liest Smartcard Office – getriggert durch den "Aufruf" über die Registry – über Windows-API Funktionen direkt aus dem Browser-Fenster aus. 18 Windows Scripting Host kann unter Nutzung unterschiedlicher Bibliotheken Arbeitsabläufe scriptähnlich ausführen. – 17 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Zusammenfassung 3 Zusammenfassung Smartcard Office ist eine leicht zu handhabende übersichtlich gestaltete Software, die grundsätzlich das tut was online beworben wird. Im Detail jedoch erscheinen einzelne Komponenten weniger ausgereift zu sein. Dazu kommt, dass die versprochene Sicherheit nur im Zusammenhang mit speziellen Master-Key-Karten, die über CHIPDRIVE vertrieben werden, gewährleistet ist. Angesichts der Tatsache, dass Internet Explorer und Mozilla/Firefox gemeinsam 92,77% Marktabdeckung besitzen (Browser Market Share vom Jänner 2008, siehe [BMS2008]) erscheint der Aspekt, dass nur die o.g. Browser unterstützt werden, tolerierbar. Smartcard-Office in der aktuellen Version 2.7 kann nur unter Windows-Plattformen eingesetzt werden, wobei jedoch Windows Vista nicht unterstützt wird. Irritierend ist, dass bei der Installation nicht auf unterstützte Betriebssysteme getestet wird. Die Wahrscheinlichkeit ist durchaus gegeben, dass Benutzer die Software unter Vista (erfolgreich) installieren und dann feststellen müssen, dass diese nicht nutzbar ist. Im Zusammenspiel mit der Bürgerkarte ist derzeit kein Mehrwert zu entdecken, da die Bürgerkarte nur als "Office-Karte" erkannt und verwendet wird. Dies bedeutet, dass Daten nur über ein herkömmliches Passwort verschlüsselt auf der Festplatte gespeichert werden. Echte kartenbasierte Verschlüsselung und Speicherung der Daten kann leider ausschließlich mit speziellen "Masterkey-Chipkarten" genutzt werden. – 18 – Evaluierung "Smartcard Office" Schwerpunktthema Neue Dienste Referenzen Referenzen [BMS2008] Net Applications: Browser Market Share for January 2008 Abgerufen aus dem World Wide Web am 05.02.2008 unter http://marketshare.hitslink.com/report.aspx?qprid=0 [GINA] Microsoft Developer Network, Winlogon and GINA Abgerufen aus dem World Wide Web am 04.02.2008 unter http://msdn2.microsoft.com/en-us/library/aa380543.aspx [SCOFAQ] SCM Microsystems, FAQs Abgerufen aus dem World Wide Web am 04.02.2008 unter http://chipdrive.scmmicro.com/index.php?selall=1&create_db=1&lang =0&noqsearch=1 – 19 –