[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2002 ml@sikurezza.org Soggetto: Re: Win Logon con smartcard Mittente: Fabio Mazzocchi Data: 4 Sep 2002 11:27:28 -0000
Quello di cui parli è un prodotto diverso dal Winlogon che è invece un sistema nativo offerto con i sistemi operativi Microsoft a partire da Windows 2000. Il Winlogon è basato su architettura PKI, e sia le smartcard che i token USB hanno un coprocessore crittografico che gli permette di eseguire le operazioni on-board. Oltre al Winlogon è anche possibile fare connessioni RAS e VPN (oltre che posta elettronica sicura ed SSL) sempre usando la smartcard come mezzo di autencazione, firma e decifratura. ----- Original Message ----- From: "Alessio" <alessio@itapac.net> To: <ml@sikurezza.org> Sent: Monday, September 02, 2002 2:24 PM Subject: Re: Win Logon con smartcard > On Sun, Sep 01, 2002 at 03:59:37PM +0200, Linux Administrator wrote: > > Vorrei poter effuare il logon in Windows Xp attraverso una smartcard per > > incrementare la sicurezza. > > > > So che e' possibile farlo ma non ho trovato nessun documento che mi > > spieghi come. > > > > Inoltre attraverso quale utility associato l'hash della smartcard > > all'utente? > > > > Non conosco approfonditamente quanto sia stato implementato in WinXP > ma presumo che ci sia la stessa architettura PKI basata su Kerberos > che e' all'interno di Windows 2000. > Sotto Win2K e' possibile configurare un architettura krb in cui un server > contiene tutte le informazioni di logon per gli utenti nel dominio e la > smartcard viene utilizzzata come repository del certificato utilizzato > dalle macchine locali per la generazione della richiesta del ticket. > Un ottima pagina che spiega meglio il funzionamento dell'intera architettura > e' http://www.winntmag.com/Articles/Index.cfm?ArticleID=4691&pg=1 > Ovviamente dal punto di vista hardware bisogna scegliere la propria soluzione > Sono molto diffuse le chiavi USB mentre le smartcard vere e proprie > (ISO7816/3-4) richiedono solitamente software proprietario. > Per quanto ne so sui portatili cono smartcard reader viene fornito sia un BIOS > che puo' diventare bloccante (cioe' senza smartcard il computer > non boota proprio) altrimenti una particolare applicazione permette di > utilizzare al logon le smartcard, ma non si tratta di una struttura PKI: > semplicemente il proprietario del computer genera 2 smartcard (una normale > e una di 'emergenza' da amministratore) che sono in grado di fare il logon. > E' possibile richiedere poi alla casa madre altre smartcard per generare > altri utenti, ma l'intero processo si svolge sulla macchina locale e > probabilmente (malelingue :)) c'e' poco di crittografico,si tratta soltanto > di usare la smartcard come eeprom contenente login+password. > > Bye > Alessio > > > > > > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005