Nasazení virtuálních smart karet ve firemním prostředí

Miroslav Knotek
10 minuty, 16 sekundy
5

Nejčastěji používaná forma ověřování pomocí uživatelského jména a hesla je zároveň také formou nejslabší. Primární odpovědnost za ochranu autentizačních údajů leží na koncovém uživateli, který musí zvolit dostatečně komplexní heslo. Toto heslo nesmí být snadno uhodnutelné a uživatel ho nesmí nikomu dalšímu sdělit. I při dodržení těchto základních pravidel je možné, díky různým útokům typu naslouchání na síti, útoku hrubou silou či sociálním inženýrství, přece jen teoreticky heslo zjistit. Ve chvíli kdy útočník zná heslo uživatele, může ho použít pro ověřování, aniž by si toho samotný uživatel musel nutně všimnout. To vše vede řadu organizací k úvahám o zavedení dvoufaktorové autentizace, která je obvykle založená na tom, že něco znám (heslo, PIN atp.) a něco fyzicky mám (např. USB token, smart kartu, mobilní telefon). Nejběžnějším scénářem nasazení dvoufaktorové autentizace je ověřování za pomoci certifikátů uložených včetně privátního klíče na inteligentní čipové kartě s mikroprocesorem (anglicky “smart card”). Toto řešení jednoznačně zvyšuje bezpečnost autentizace, ale je spojeno často s nemalými náklady na pořízení vlastních čipových karet a čteček čipových karet. S poměrně masovým rozšířením TPM modulů v dnešních počítačích se ale otevírá možnost nasazení dvou faktorové autentizace i bez těchto zvýšených nákladů. Tímto řešením jsou právě virtuální smart karty.

Co je TPM?

TPM (Trusted Platform Module) je kryptoprocesor instalovaný na základní desce, který mimo jiné umí generovat náhodná čísla, generovat a chránit kryptografické klíče, provádět kryptografické operace aniž by šifrovací klíč poskytnul operačnímu systému. Zajímavou vlastností TPM je také takzvaná atestace. TPM je schopný vytvořit unikátní hash z informací o hardwarové a softwarové konfiguraci. Díky atestaci jsme pak schopni ověřit, že se nejen jedná opravdu stále o stejný počítač, ale dokonce máme i důkaz, že se nezměnila žádná jeho podstatná konfigurace hardware a software. Specifikace TPM určitě není horkou novinkou, ale až v poslední době můžeme hovořit o tom, že TPM je běžnou součástí většiny počítačů. S TPM čipem se dnes už můžeme dokonce setkat i v mobilních telefonech s Windows Phone.

Co je virtuální smart karta?

Virtuální smart karta v podstatě emuluje tradiční fyzické smart karty, ale díky využití TPM čipu pro ochranu privátních klíčů není nasazení spojeno s nákup dalšího hardwaru. Je to tedy zajímavá alternativa pro firmy, jejichž počítače jsou vybaveny TPM čipy, jak zvýšit bezpečnost ověřování bez výrazných investic. Virtuální smart karty mají díky využití TPM stejné srovnatelné bezpečností charakteristiky: *Neexportovatelnost* – všechny citlivé informace na virtuální smart kartě jsou zašifrovány za pomocí modulu TPM v daném počítači a nemohou být použity na jiném počítači s jiným TPM. Součástí návrhu TPM jsou i obranné prostředky proti různým typům útoků, a tak dokonce ani v případě, že bych někomu odcizil TPM a vložil ho do svého počítače, tak se stále k chráněným datům ze zdrojového počítače nebudu schopen dostat. Izolovaná kryptografie** – podobně jako u tradičních smart karet jsou veškeré kryptografické operace s chráněnými klíči prováděny mimo paměť operačního systému, a tak i v případě virtuálních smart karet platí, že operační systém nemá přístup k chráněnému kryptografickému klíči a veškeré kryptografické operace s takovýmto klíčem probíhají výhradně uvnitř TPM čipu. *Anti-hammering – pokud uživatel zadá opakovaně špatně PIN k virtuální smart kartě, dle konkrétní logiky TPM dojde k dočasnému přerušení možnosti znovu PIN zadat. Toto chování je podobné funkci zamykání uživatelských účtů na danou dobu po vyčerpání povoleného počtu chybných pokusů o přihlášení.

Čím se liší virtuální smart karta od tradiční?

Přestože virtuální smart karta je navržena jako co nejpřesnější emulace tradičních smart karet a zajišťuje autentizaci se srovnatelnou mírou bezpečnosti za použití dvou faktorů (znám PIN a mám počítač s TPM), přece jen najdeme celou řadu praktických rozdílů, s kterými je třeba počítat.

Virtuální smart karta je stále vložená

Tradiční smart karta je díky svému kompaktnímu tvaru určena pro nošení s sebou například společně s osobními doklady. Protože je často kombinovaná třeba s docházkovým systémem nebo zabezpečením vstupu do kancelářských prostor, uživatelé jsou tak vlastně nenásilně nuceni ji nenechávat ve čtečce při odchodu od počítače. Naopak virtuální smart karta je neustále „vložená“ v počítači a není si ji možné odnést s sebou. Pokud někde nechám osobní počítač, dávám tím prostor komukoliv zkoušet uhodnout můj PIN. Nicméně díky anti-hammering funkci TPM čipu toto riziko přece jen výrazně sníženo. Naopak tradiční smart karty jsou často díky přenášení ztraceny nebo zapomenuty a nezanedbatelné náklady na provoz tvoří obsluha procesu vystavování dočasných smart karet a revokace těch ztracených nebo fyzicky zničených. Toto u virtuální smart karty hrozí pouze v případě odcizení nebo ztráty celého počítače, což nastává určitě s nižší frekvencí. Musíme ale počítat s tím, že Smart Card Removal Policy v Group Policy tedy nemá při použití virtuálních smart karet žádný význam.

Virtuální smart karta je nepřenositelná

Výhodou tradičních smart karet je jejich přenositelnost. Mohu svojí smart kartu využít k přihlášení na libovolný počítač vybavený čtečkou. Virtuální smart karta je naopak vázaná na konkrétní počítač a je zcela nepřenositelná. Pro autentizační a podpisové certifikáty to není nepřekonatelný problém. Mohu mít jednoduše více různých virtuálních smart karet na jednotlivých počítačích a s nimi se přihlašovat. Složitější je to u šifrovacích certifikátů, kde je nemožnost přenášení mezi počítači již citelnou nevýhodou. Pokud ale uživatel využívá pro většinu své práce svůj vlastní počítač, nemusí toto omezení být nakonec relevantní. Situace, kdy jeden počítač využívá více uživatelů, problematická naopak není. Je možné na jednom počítači mít několik virtuálních smart karet s certifikáty pro jednotlivé uživatele.

Virtuální smart karta je levná

Za předpokladu počítačů vybavených TPM čipem jsou z pohledu materiálních investic virtuální smart karty v podstatě zadarmo. Zcela odpadá nutnost nákupu skutečných smart karet a čteček čipových karet. I samotný provoz je obvykle výrazně levnější, neboť není nutné řešit časté náhrady ztracených, zničených nebo zapomenutých smart karet, což reálně poměrně běžně v praxi nastává.

Požadavky na nasazení virtuálních smart karet

Pro nasazení virtuálních smart karet existují tyto požadavky: Požadavky na operační systém:

Autor: Miroslav Knotek

KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.

Následující článek Předchozí článek