CAC Chipkarte neu authentifizieren

Question

Wir haben eine browserbasierte Anwendung, bei der wir den Benutzer dazu bringen wollen, sich erneut zu authentifizieren, wenn er sie eingibt. Wenn sie also auf die URL zugreifen, soll ihnen die PIN-Eingabeaufforderung angezeigt werden, damit sie sich erneut authentifizieren müssen. Gibt es eine vernünftige Möglichkeit, das zu tun?

Zusätzliche Informationen: Es handelt sich um eine CAC-Karte, und die Arbeitsstationen sind mit ActivIdentity und Tumbleweed ausgestattet. Außerdem könnte ich den Arbeitsplätzen bei Bedarf einen Dienst hinzufügen. Die Browser sind alle IE7. Der Webserver ist IIS 6 und die Seiten sind (größtenteils) in ASP.NET geschrieben.

Answer 1

Hier sind mehrere verschiedene Softwarekomponenten im Spiel.

Der erste ist die Karte selbst. Um eine digitale Unterschrift leisten zu können, muss sich das CAC in einem "verifizierten" Zustand befinden, was bedeutet, dass eine PIN eingegeben wurde, nachdem die Karte eingeführt wurde. Darüber hinaus hat jeder Schlüssel auf der Karte ein Kennzeichen, das angibt, ob die PIN bei jeder Verwendung des Schlüssels eingegeben werden muss. Ich habe es nicht überprüft, aber ich glaube, dass dies für das Schlüsselpaar "E-Mail" auf einem CAC eingestellt ist. Sie müssen also herausfinden, für welche Schlüssel das Flag "always verify" gesetzt ist, und die Pfadüberprüfung des Dienstes so konfigurieren, dass nur diese Schlüssel akzeptiert werden. Möglicherweise können Sie eine bestimmte OID in der erweiterten Schlüsselverwendung verlangen oder einige der DoD-Zwischenzertifikate von der Pfaderstellung ausschließen (indem Sie sie vielleicht als widerrufen kennzeichnen).

Die Middleware auf dem Rechner, der mit der Karte kommuniziert, könnte die PIN auch zwischenspeichern und sie der Karte immer dann zur Verfügung stellen, wenn die Karte anzeigt, dass sie eine PIN benötigt, bevor sie einen Vorgang abschließen kann. Ich glaube, dass ActivClient dies mit seiner PIN-Caching-Funktion bis Version 6 getan hat, aber in Version 7 scheint diese Option nicht mehr vorhanden zu sein. In der integrierten PIV-Unterstützung von Windows habe ich so etwas nicht gefunden. Diese "Funktion" könnte die Sicherheit gefährden, daher vermute ich, dass sie absichtlich entfernt wurde und dass es keine Hacks in der Registrierung oder andere Möglichkeiten gibt, das Verhalten wiederherzustellen. Es gibt keine HTTP-Header- oder TLS-Option, mit der Sie die PIN-Eingabe erzwingen können. Bei neueren Systemen sollte dies jedoch kein Problem darstellen.

Auf der Serverseite muss ein vollständiger Handshake stattfinden, damit der Client eine Authentifizierung durchführen kann. Die Client-Authentifizierung findet nicht statt, wenn es eine gültige TLS-Sitzung gibt. Sie müssen also einen Weg finden, die TLS-Sitzung (nicht die Anwendungssitzung, die wahrscheinlich an ein HTTP-Cookie gebunden ist) vor der Authentifizierungsanforderung ungültig zu machen oder die Authentifizierungsanforderung an eine andere Schnittstelle zu leiten, die keine Sitzungen aktiviert hat.

Answer 2

Es gibt zwei Möglichkeiten der Smartcard-Client-Authentifizierung im Web: Standard-TLS/SSL oder benutzerdefinierte Plugins für den Browser. Ich nehme an, Sie sprechen von Standard-Webbrowsern (IE/FF/Safari) und SSL-Authentifizierung.

Bei der PIN-Eingabeaufforderung sind zwei Dinge wichtig:

• SSL-Sitzung und SSL-Sitzungscache des des Browsers
• Authentifizierungsstatus des zugehörigen privaten Schlüssels auf der Karte
• die Art und Weise, wie Middleware implementiert wird.

Aus der Sicherheitsperspektive ist es letztendlich die Karte, die weiß, wann sie nach einer PIN "fragen" muss - einige Karten und Schlüssel erfordern eine PIN für jede Operation mit dem Schlüssel, bei einigen Karten ist es in Ordnung, einmal eine PIN zu erhalten und die Schlüssel im authentifizierten Zustand zu belassen, bis sie aus dem Lesegerät entfernt oder durch eine Anwendung zurückgesetzt werden.

Wenn die Sitzung im Cache des Browsers nicht wiederverwendet werden kann oder wenn die Verbindung aufgebaut wird, muss die Smartcard-Middleware (PKCS#11 unter Linux, CryptoAPI/BaseCSP-Modul unter Windows oder Tokend unter OSX) mit den Schlüsseln auf der Karte sprechen. Wenn der Authentifizierungsstatus auf der Karte die Eingabe einer PIN erfordert, wird in der Regel ein Rückruf durch den Browser ausgelöst. Oder wenn die Middleware weiß, dass sie die PIN benötigt, fragt sie diese ab, bevor sie mit der Karte spricht.

Es gibt keine 1:1-Beziehung zwischen der Eingabe einer PIN und der tatsächlichen Neuauthentifizierung der Zugriffsrechte auf den privaten Schlüssel und der Neuauthentifizierung der SSL-Sitzung.

Bei Standard-SSL sind Sie von der Art und Weise abhängig, wie SSL in den Browsern implementiert ist, und können auf der Client-Seite keine 100 % zuverlässige "Neuauthentifizierung durch Eingabe der PIN" vornehmen.

Wenn Sie Linux verwenden, können Sie mit OpenSC (das, AFAIK, CAC-Karten verwenden kann) "transaction_reset" in opensc.conf auf true setzen, was dazu führt, dass die Karte nach jeder Transaktion (jeder SSL-Sitzungsaushandlung) zurückgesetzt wird, und auf diese Weise können Sie sicher sein, dass der Benutzer jedes Mal, wenn Sie eine neue SSL-Sitzung eröffnen, die PIN erneut eingeben muss. Dies ist jedoch eine clientseitige Konfiguration, keine vom Server initiierte Funktion.

Answer 3

Sie können eine Javascript-Funktion verwenden, um den Browser dazu zu bringen, den bestehenden SSL-Cache in einigen Browsern zu vergessen:

function logout() {
    // clear browser authentication cache
    // IE specific
    try
    {
        document.execCommand("ClearAuthenticationCache", "false");
    }
    catch(e)
    {
        // do nothing
    }

    // clear for firefox or any browser that supports window.crypto API
    if (window.crypto && typeof window.crypto.logout === "function") {
        window.crypto.logout();
    }
}

Sie können die Javascript-Methode setTimeout verwenden, um die obige Logout-Funktion aufzurufen und sie möglicherweise auf die Seite logout.aspx umzuleiten, um den Kunden zur Eingabe einer neuen PIN zu zwingen.

Es verwendet jedoch JavaScript und der Code ist browserabhängig und funktioniert nicht in allen Browsern.