Rozdział 9

Karty elektroniczne (smart cards)

Rozwiązania natychmiastowe zobacz na stronie:

Instalowanie czytnika kart elektronicznych (smart card reader)

Konfigurowanie stacji rejestrowania kart elektronicznych (smart card enrollment station)

Wydawanie kart elektronicznych (smart cards)

Logowanie się za pomocą kart elektronicznych

Wdrażanie kart elektronicznych (smart cards)[Author ID1: at Wed Oct 4 20:45:00 2000 ]

Rozwiązywanie problemów związanych z kartami elektronicznymi (smart card)[Author ID1: at Wed Oct 4 20:45:00 2000 ]

Zabezpieczanie stacji rejestrowania kart elektronicznych (smart card enrollment station)

Umieszczanie aplikacji na kartach elektronicznych (smart cards)[Author ID1: at Wed Oct 4 20:45:00 2000 ]

Zastosowanie pakietu Smart Card Software Development Kit

Zastosowanie interfejsów API firmy Microsoft

Zastosowanie interfejsu Java Card API 2.1

Zastosowanie standardu (OpenCard F[Author ID1: at Thu Oct 5 01:14:00 2000 ]F[Author ID1: at Thu Oct 5 01:14:00 2000 ]ramework — OCF[Author ID1: at Thu Oct 5 01:14:00 2000 ])

W skrócie

Co to jest karta elektroniczna (smart card)?

Jak wyjaśniono to w rozdziale 6.[Author ID1: at Wed Oct 4 20:45:00 2000 ], karty elektroniczne (smart cards) są elementem Infrastruktury Klucza Publicznego (Public Key Infrastructure [Author ID1: at Wed Oct 4 20:46:00 2000 ]-[Author ID1: at Wed Oct 4 20:46:00 2000 ]— [Author ID1: at Wed Oct 4 20:46:00 2000 ]PKI) systemu Windows 2000. Karty elektroniczne m[Author ID1: at Wed Oct 4 20:46:00 2000 ]M[Author ID1: at Wed Oct 4 20:46:00 2000 ]ogą być stosowane przy logowaniu interaktywnym, uwierzytelnianiu klienta i logowaniu zdalnym (remote logon). Ponadto s[Author ID1: at Wed Oct 4 20:46:00 2000 ]S[Author ID1: at Wed Oct 4 20:46:00 2000 ]tanowią zabezpieczony przed penetracją (tamper-[Author ID1: at Wed Oct 4 20:46:00 2000 ] [Author ID1: at Wed Oct 4 20:46:00 2000 ]resistant) — [Author ID1: at Wed Oct 4 20:46:00 2000 ]([Author ID1: at Wed Oct 4 20:46:00 2000 ]waham się określić je jako odporne na penetrację (tamper [Author ID1: at Wed Oct 4 20:46:00 2000 ]-[Author ID1: at Wed Oct 4 20:46:00 2000 ]proof))[Author ID1: at Wed Oct 4 20:46:00 2000 ] —[Author ID1: at Wed Oct 4 20:46:00 2000 ] środek do przechowywania danych, który umożliwia ochronę kluczy prywatnych (private keys) i innych danych osobowych,[Author ID1: at Wed Oct 4 20:47:00 2000 ] oraz oddzielenie operacji zabezpieczonych (secure operations), takich jak zatwierdzanie klucza publicznego, od innych funkcji systemowych, mniej ważnych z punktu widzenia bezpieczeństwa systemu. Jednak główną zaletą kart elektronicznych (smart card) [Author ID1: at Wed Oct 4 20:47:00 2000 ]jest ich przenośność (portability). Użytkownik karty elektronicznej (smart card) [Author ID1: at Wed Oct 4 20:47:00 2000 ]ma łatwą, bezpieczną i wygodną metodę przenoszenia danych uwierzytelniających logowania (logon credentials) i innych informacji poufnych pomiędzy komputerami w pracy, w [Author ID1: at Wed Oct 4 20:47:00 2000 ]domu lub na [Author ID1: at Wed Oct 4 20:47:00 2000 ]drodze.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 20:47:00 2000 ]: [Author ID1: at Wed Oct 4 20:47:00 2000 ]zobacz na stronie

Stosowanie zabezpieczeń z kluczem publicznym w systemie Windows 2000

Karta elektroniczna (smart card) jest miniaturowym komputerem wbudowanym w płaską kartę plastikową, która wygląda jak standardowa karta kredytowa lub bankomatowa, a podstawową [Author ID1: at Wed Oct 4 20:48:00 2000 ]różnicą jest brak paska magnetycznego oraz [Author ID1: at Wed Oct 4 20:48:00 2000 ]i [Author ID1: at Wed Oct 4 20:48:00 2000 ]wielokrotnie większa ilość przechowywanych danych. Obwody karty elektronicznej zasilane są z czytnika kart elektronicznych (smart cards[Author ID1: at Wed Oct 4 20:48:00 2000 ] reader), do którego karta jest włożona. Dane [Author ID1: at Wed Oct 4 20:48:00 2000 ]ych [Author ID1: at Wed Oct 4 20:48:00 2000 ]pomiędzy kartą elektroniczną (smart card) [Author ID1: at Wed Oct 4 20:48:00 2000 ]a usługą lub aplikacją uruchomioną na komputerze wymieniane są przez łącze szeregowe (serial interface), a [Author ID1: at Wed Oct 4 20:49:00 2000 ]obsługiwane przez czytnik i związany z nim sterownik urządzenia (device driver).

Karta elektroniczna może być kartą z wpisaną wartością (stored [Author ID1: at Wed Oct 4 20:49:00 2000 ]-[Author ID1: at Wed Oct 4 20:49:00 2000 ]value card), kartą zbliżeniową (contacless card) lub kartą czipową (i[Author ID1: at Wed Oct 4 20:49:00 2000 ]I[Author ID1: at Wed Oct 4 20:49:00 2000 ]ntegrated c[Author ID1: at Wed Oct 4 20:49:00 2000 ]C[Author ID1: at Wed Oct 4 20:49:00 2000 ]ircuit c[Author ID1: at Wed Oct 4 20:49:00 2000 ]C[Author ID1: at Wed Oct 4 20:49:00 2000 ]ard [Author ID1: at Wed Oct 4 20:49:00 2000 ]-[Author ID1: at Wed Oct 4 20:49:00 2000 ]— [Author ID1: at Wed Oct 4 20:49:00 2000 ]ICC). W systemie Windows 2000 zastosowano karty czipowe (ICC), za pomocą których można wykonywać zaawansowane operacje takie jak wymiana klucza podpisu cyfrowego (digital signature key exchange). Zamiast wprowadzania nazwy konta użytkownika i hasła,[Author ID1: at Wed Oct 4 20:51:00 2000 ] użytkownik karty elektronicznej loguje się do systemu Windows 2000,[Author ID1: at Wed Oct 4 20:51:00 2000 ] wkładając kartę elektroniczną (smart card) [Author ID1: at Wed Oct 4 20:52:00 2000 ]do czytnika i wpisując numer PIN w taki sam sposób, jak przy korzystaniu z bankomatu.

Są dwa rodzaje kart elektronicznych (smart cards) [Author ID1: at Wed Oct 4 20:52:00 2000 ]— karty kontaktowe (contact smart cards[Author ID1: at Wed Oct 4 20:52:00 2000 ]) oraz karty bezkontaktowe (contactless smart cards). Karty kontaktowe (contact smart cards)[Author ID1: at Wed Oct 4 20:52:00 2000 ]Te pierwsze[Author ID1: at Wed Oct 4 20:52:00 2000 ] mają na przedniej części złotą płytkę, nazywaną płytką łączącą (contact plate) lub modułem (module). Płytka ta ma osiem końcówek (contacts) i służy jako złącze pomiędzy układem scalonym wbudowanym w kartę elektroniczną (smart card) [Author ID1: at Wed Oct 4 20:52:00 2000 ]a czytnikiem kart elektronicznych (smart card reader)[Author ID1: at Wed Oct 4 20:53:00 2000 ]. Na rysunku 9.1 przedstawiono schemat takiej [Author ID1: at Wed Oct 4 20:53:00 2000 ]karty elektronicznej[Author ID1: at Wed Oct 4 20:53:00 2000 ]. Karty elektroniczne (smart cards) [Author ID0: at Thu Nov 30 00:00:00 1899 ]GemSAFE firmy Gemplus mają złącza (contacts) owalne,[Author ID1: at Wed Oct 4 20:53:00 2000 ] a karty elektroniczne Cryptoflex firmy Schlumberger —[Author ID1: at Wed Oct 4 20:53:00 2000 ]mają [Author ID1: at Wed Oct 4 20:53:00 2000 ] [Author ID1: at Wed Oct 4 20:53:00 2000 ]złącza prostokątne.

Karta elektroniczna (smart card) [Author ID1: at Wed Oct 4 20:53:00 2000 ]bezkontaktowa razem z układem scalonym ma wbudowaną antenę, która[Author ID1: at Wed Oct 4 20:53:00 2000 ] [Author ID1: at Wed Oct 4 20:54:00 2000 ]. A[Author ID1: at Wed Oct 4 20:53:00 2000 ]ntena [Author ID1: at Wed Oct 4 20:54:00 2000 ]umożliwia komunikację z odbiornikiem (antenna[Author ID2: at Thu Oct 5 06:24:00 2000 ]antena[Author ID1: at Thu Oct 5 06:24:00 2000 ]/[Author ID1: at Wed Oct 4 20:54:00 2000 ] [Author ID1: at Wed Oct 4 20:54:00 2000 ]— [Author ID1: at Wed Oct 4 20:54:00 2000 ]coupler unit) bez fizycznego kontaktu. Karty bezkontaktowe stosowane są wtedy, gdy konieczne jest bardzo szybkie przetwarzanie transakcji, n[Author ID2: at Thu Oct 5 06:24:00 2000 ]a [Author ID1: at Wed Oct 4 20:54:00 2000 ]p[Author ID2: at Thu Oct 5 06:24:00 2000 ]rzykład [Author ID1: at Wed Oct 4 20:54:00 2000 ]pobieranie[Author ID2: at Thu Oct 5 06:24:00 2000 ]np. pobieranie[Author ID1: at Thu Oct 5 06:24:00 2000 ] opłat za przejazd autostradą (toll collection). Obecnie karty takie nie są obsługiwane przez system Windows 2000.

Rozmiary i dane charakterystyczne kart elektronicznych określają normy ISO 7810 oraz ISO 7816.

Współdziałanie kart elektronicznych

Współdziałanie (interoperability) pomiędzy kartami od różnych dostawców jest warunkiem koniecznym,[Author ID1: at Wed Oct 4 20:54:00 2000 ] aby karty elektronicznej[Author ID1: at Wed Oct 4 20:54:00 2000 ] zostały szeroko zaakceptowane. Aby [Author ID1: at Wed Oct 4 20:55:00 2000 ]W celu [Author ID1: at Wed Oct 4 20:55:00 2000 ]zapobiegania[Author ID1: at Wed Oct 4 20:55:00 2000 ]iec[Author ID1: at Wed Oct 4 20:55:00 2000 ] lub przynajmniej zmniejszenia[Author ID1: at Wed Oct 4 20:55:00 2000 ]yć[Author ID1: at Wed Oct 4 20:55:00 2000 ] niezgodności pomiędzy aplikacjami, kartami i czytnikami,[Author ID1: at Wed Oct 4 20:55:00 2000 ] konieczne jest opracowanie norm, które zostaną powszechnie przyjęte. Normy dotyczące kart elektronicznych (smart cards) opracowywane są na podstawie norm ISO 7816 dla kart z układem scalonym ze złączem (integrated circuit cards with contacts). Normy te dotyczą współdziałania (interoperability) na poziomie fizycznym, elektrycznym i protoko[Author ID1: at Wed Oct 4 20:55:00 2000 ]ó[Author ID1: at Wed Oct 4 20:55:00 2000 ]łu[Author ID1: at Wed Oct 4 20:55:00 2000 ] łącza transmisji danych (data-[Author ID1: at Wed Oct 4 20:56:00 2000 ] [Author ID1: at Wed Oct 4 20:56:00 2000 ]link protocol).

Rysunek 9.1.[Author ID1: at Wed Oct 4 20:57:00 2000 ] Karta elektroniczna (contact smart card).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

W roku 1996 Eurocard, Masterplay i Visa (EMV) opracowały specyfikację kart elektronicznych, która jest adaptacją norm ISO 7816 i określa kilka dodatkowych typów danych i reguł kodowania na potrzeby świadczenia usług finansowych. Europejskie firmy telekomunikacyjne również zawarły normy ISO 7816 w swojej specyfikacji kart elektronicznych dla systemu GSM (Global System for Mobile Communications), umożliwiające[Author ID1: at Wed Oct 4 20:58:00 2000 ]ych[Author ID1: at Wed Oct 4 20:58:00 2000 ] identyfikowanie i uwierzytelnianie użytkowników telefonów komórkowych.

Chociaż wszystkie te specyfikacje (ISO 7816, EMV i GSM) były krokami[Author ID1: at Wed Oct 4 20:58:00 2000 ]szły[Author ID1: at Wed Oct 4 20:58:00 2000 ] w dobrym kierunku, to każda z nich albo określała warunki współpracy tylko na niskim poziomie,[Author ID1: at Wed Oct 4 20:58:00 2000 ] albo dotyczyła tylko określonych zastosowań i [Author ID1: at Wed Oct 4 20:43:00 2000 ] [Author ID1: at Wed Oct 4 20:44:00 2000 ]nie uzyskała powszechnej akceptacji. Takie zagadnienia związane ze współpracą (interoperability), jak interfejsy API niezależne od sprzętu, narzędzia dla programistów i współużytkowanie zasobów,[Author ID1: at Wed Oct 4 20:58:00 2000 ] nie zostały poruszone w żadnej z nich.

Grupa robocza PC/SC

Grupa robocza PC/SC (p[Author ID1: at Wed Oct 4 20:59:00 2000 ]P[Author ID1: at Wed Oct 4 20:59:00 2000 ]ersonal c[Author ID1: at Wed Oct 4 20:59:00 2000 ]C[Author ID1: at Wed Oct 4 20:59:00 2000 ]omputer/s[Author ID1: at Wed Oct 4 20:59:00 2000 ]S[Author ID1: at Wed Oct 4 20:59:00 2000 ]mart c[Author ID1: at Wed Oct 4 20:59:00 2000 ]C[Author ID1: at Wed Oct 4 20:59:00 2000 ]ard) została powołana w maju 1996 roku przez największe firmy komputerowe i producentów kart elektronicznych. Obecnie członkami tej grupy są:[Author ID1: at Wed Oct 4 20:59:00 2000 ] Bull, Gemplus, Hewlett [Author ID1: at Wed Oct 4 21:00:00 2000 ]-[Author ID1: at Wed Oct 4 21:00:00 2000 ]Pa[Author ID1: at Wed Oct 4 21:00:00 2000 ]ckard, IBM, Microsoft, Schlumberger, Siemens, Nixdorf Information Systems, Sun Microsystems i Toshiba. Członkowie grupy [Author ID3: at Tue Jul 17 09:13:00 2001 ]wnoszą duże [Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID3: at Tue Jul 17 09:13:00 2001 ]

w zakresie sprzętu i oprogramowania komputerowego oraz projektowania kart z układem scalonym (ICC systems)[Author ID3: at Tue Jul 17 09:13:00 2001 ].[Author ID1: at Wed Oct 4 21:00:00 2000 ] wnoszą --> duże[Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID3: at Tue Jul 17 09:13:00 2001 ][Author:MG] [Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID3: at Tue Jul 17 09:13:00 2001 ].[Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID3: at Tue Jul 17 09:13:00 2001 ][Author ID3: at Tue Jul 17 09:13:00 2001 ]

Grupa ta została powołana,[Author ID1: at Wed Oct 4 21:01:00 2000 ] aby wskazać ograniczenia w istniejących do tej pory standardach, które utrudniają stosowanie kart z wbudowanym układem scalonym (ICC) w komputerach osobistych,[Author ID1: at Wed Oct 4 21:01:00 2000 ] ale nie zdołała właściwie określić warunków współdziałania (interoperability) pomiędzy produktami od różnych dostawców z punktu widzenia aplikacji pracujących na komputerze osobistym.

W szczególności członkowie grupy roboczej wskazali na potrzebę opracowania standardowych interfejsów programowych dla urządzeń sprzęgających (Interface [Author ID3: at Tue Jul 17 09:14:00 2001 ]d[Author ID1: at Wed Oct 4 21:01:00 2000 ]D[Author ID1: at Wed Oct 4 21:01:00 2000 ][Author ID3: at Tue Jul 17 09:15:00 2001 ]evice[Author ID3: at Tue Jul 17 09:15:00 2001 ]s[Author ID3: at Tue Jul 17 09:14:00 2001 ] [Author ID1: at Wed Oct 4 21:01:00 2000 ][Author ID3: at Tue Jul 17 09:14:00 2001 ]-[Author ID1: at Wed Oct 4 21:01:00 2000 ] [Author ID3: at Tue Jul 17 09:15:00 2001 ]—[Author ID1: at Wed Oct 4 21:01:00 2000 ][Author ID3: at Tue Jul 17 09:15:00 2001 ]o[Author ID3: at Tue Jul 17 09:15:00 2001 ] [Author ID1: at Wed Oct 4 21:01:00 2000 ][Author ID3: at Tue Jul 17 09:15:00 2001 ] --> I[Author ID3: at Tue Jul 17 09:15:00 2001 ]DF[Author ID3: at Tue Jul 17 09:14:00 2001 ][Author:MG] [Author ID1: at Wed Oct 4 21:09:00 2000 ][Author ID3: at Tue Jul 17 09:14:00 2001 ]) o[Author ID3: at Tue Jul 17 09:14:00 2001 ]raz specyfikacji wspólnych interfejsów programowych (programming interface) i mechanizmów sterujących (control mechanizm) dla komputerów osobistych. Prace [Author ID1: at Wed Oct 4 21:12:00 2000 ]Działania [Author ID1: at Wed Oct 4 21:12:00 2000 ]tej grupy również doprowadziły do wniosku, że opracowywane rozwiązania muszą obejmować, w takim zakresie,[Author ID1: at Wed Oct 4 21:12:00 2000 ] jak to tylko możliwe, istniejące urządzenia i aplikacje. Dalszym celem grupy jest opracowanie rozwiązań, które zaspokoją potrzeby wszystkich firm, działających w tej dziedzinie.

Specyfikacje opracowane przez grupę PC/SC są oparte na normach ISO 7816 i są zgodne ze specyfikacjami EMV i GSM. Mają one szerokie poparcie ze strony firm, działających w tej dziedzinie i podejmowane są wysiłki na rzecz uczynienia z nich w przyszłości norm (standards). Dokładniejsze informacje dotyczące grupy roboczej PC/SC i specyfikacji opracowanych przez jej członków można znaleźć pod adresem www.smartcardsys.com. [Author ID1: at Wed Oct 4 21:13:00 2000 ]

OpenCard Framework (OCF)[Author ID1: at Wed Oct 4 21:14:00 2000 ]

OpenCard Framework (OCF) jest to osnowa oprogramowania obiektowego (object-[Author ID1: at Wed Oct 4 21:14:00 2000 ] [Author ID1: at Wed Oct 4 21:14:00 2000 ]oriented software framework) do korzystania z kart elektronicznych (smart cards[Author ID1: at Wed Oct 4 21:14:00 2000 ]), opracowana i rozwijana przez grupę OpenCard Consortium. Grupa ta została założona przez firmy Bull, Dallas Semiconductor, First Access, Gemplus, IBM, Network Computer Inc., Schlumberger, SCM Microsystems, Sun Microsystems, UbiQ i Visa International.

Standard OCF jest uważany za uzupełniający w stosunku do specyfikacji PC/SC i zawiera model strukturalny dwóch głównych usługodawców z branży kart elektronicznych (smart card)[Author ID1: at Wed Oct 4 21:15:00 2000 ]:

• P[Author ID1: at Wed Oct 4 21:15:00 2000 ]p[Author ID1: at Wed Oct 4 21:15:00 2000 ]rogramistów aplikacji i usług,[Author ID1: at Wed Oct 4 21:15:00 2000 ]

• d[Author ID1: at Wed Oct 4 21:15:00 2000 ]D[Author ID1: at Wed Oct 4 21:15:00 2000 ]ostawców kart i terminali.[Author ID1: at Wed Oct 4 21:15:00 2000 ]

W standardzie OCF ustalono dwa interfejsy:

• i[Author ID1: at Wed Oct 4 21:15:00 2000 ]I[Author ID1: at Wed Oct 4 21:15:00 2000 ]nterfejs programisty API wysokiego poziomu (high-[Author ID1: at Wed Oct 4 21:15:00 2000 ] [Author ID1: at Wed Oct 4 21:15:00 2000 ]level API), który pozwala na ukrycie cech konkretnych urządzeń — kart elektronicznych oraz [Author ID1: at Wed Oct 4 21:16:00 2000 ]lub [Author ID1: at Wed Oct 4 21:16:00 2000 ](i) terminali kart elektronicznych — przed programistami aplikacji i usług,[Author ID1: at Wed Oct 4 21:16:00 2000 ].[Author ID1: at Wed Oct 4 21:16:00 2000 ]

• W[Author ID1: at Wed Oct 4 21:16:00 2000 ]w[Author ID1: at Wed Oct 4 21:16:00 2000 ]spólny interfejs usługodawcy,[Author ID1: at Wed Oct 4 21:16:00 2000 ] który umożliwia integrację urządzeń związanych z kartami elektronicznymi, pochodzących od różnych dostawców.

Standard OCF jest zgodny ze standardem PKCS #11 (Cryptoki), specyfikacją EMV, normami CEN EN726, ISO 7816 oraz specyfikacją grupy PC/SC. Specyfikacja EMV i norma CEN726 określają dane techniczne kart. Standard PKCS #11 jest standardem zabezpieczeń danych aplikacji. OCF zapewnia usługi CardServices jako interfejs API zgodny ze standardem PKCS #11, aby aplikacje mogły korzystać z żetonów sprzętowych (hardware tokens) jako jednego ze sposobów zabezpieczeń cyfrowych.

Specyfikacje PC/SC nie są istotnym elementem OCF, ale,[Author ID1: at Wed Oct 4 21:17:00 2000 ] jeśli tylko są obecne, mogą z nich korzystać interfejsy API OCF, przynajmniej jeśli [Author ID1: at Wed Oct 4 21:18:00 2000 ]gdy [Author ID1: at Wed Oct 4 21:18:00 2000 ]chodzi o czytnik kart elektronicznych. OCF i PC/SC nadal współpracują,[Author ID1: at Wed Oct 4 21:18:00 2000 ] aby osiągnąć pełną zgodność odnośnie samych kart elektronicznych. OCF może dostarczyć rozwiązań wielu problemów, na które napotykają producenci kart elektronicznych i programiści, tworzący aplikacje do obsługi tych kart i dlatego zamieszczono szczegółowy opis w części niniejszego rozdziału pod tytułem „Rozwiązania natychmiastowe”. Więcej informacji można znaleźć na stronie www.opencard.org.

Technologia Java Card

Karty Java Card są to [Author ID1: at Wed Oct 4 21:18:00 2000 ]karty[Author ID1: at Wed Oct 4 21:18:00 2000 ]ami[Author ID1: at Wed Oct 4 21:18:00 2000 ] elektronicznymi[Author ID1: at Wed Oct 4 21:18:00 2000 ]e[Author ID1: at Wed Oct 4 21:18:00 2000 ], na których można uruchomić programy zgodne ze specyfikacją Java Card API 2.1 opracowaną przez dział JavaSoft firmy Sun Microsystems. Stosując karty Javy, [Author ID1: at Wed Oct 4 21:19:00 2000 ]a Card [Author ID1: at Wed Oct 4 21:19:00 2000 ]programiści aplikacji związanych z kartami elektronicznymi,[Author ID1: at Wed Oct 4 21:19:00 2000 ] korzystają z możliwości, jakie daje technologia obiektowa „Raz napisane, wszędzie uruchamiane"[Author ID3: at Tue Jul 17 09:08:00 2001 ]”[Author ID3: at Tue Jul 17 09:08:00 2001 ] ("[Author ID3: at Tue Jul 17 09:08:00 2001 ]„[Author ID3: at Tue Jul 17 09:08:00 2001 ]Write-[Author ID1: at Wed Oct 4 21:19:00 2000 ] o[Author ID1: at Wed Oct 4 21:19:00 2000 ]O[Author ID1: at Wed Oct 4 21:19:00 2000 ]nce, r[Author ID1: at Wed Oct 4 21:19:00 2000 ]R[Author ID1: at Wed Oct 4 21:19:00 2000 ]un A[Author ID1: at Wed Oct 4 21:19:00 2000 ]a[Author ID1: at Wed Oct 4 21:19:00 2000 ]nywhere"[Author ID3: at Tue Jul 17 09:09:00 2001 ]”[Author ID3: at Tue Jul 17 09:09:00 2001 ]) i zaawansowane narzędzia do tworzenia aplikacji. Specyfikacja Java Card API 2.1 została opracowana we współpracy z producentami kart elektronicznych (smart card manufacturers), firm wydających karty (issuers) oraz obsługujących karty elektroniczne (smart card associations). Do firm które [Author ID1: at Wed Oct 4 21:19:00 2000 ]popierających technologię Java Card należą: Bull, Citicorp, De la Rue, First Union, Gemplus, Giesecke&Devrient, Hitachi, IBM Corporation, Mitsubishi Electric, Mondex, OKI, NTT Data Corporation, Motorola, Schlumberger, Texas Instruments, Toshiba, VeriFone i Visa.

Specyfikacja Java Card API 2.1 jest zgodna z normami ISO 7816-4 oraz 7816-5. Norma ISO 7816-4 dotyczy funkcji interfejsu Java Card API, takich jak dostęp do systemu plików i operacji wejście[Author ID1: at Wed Oct 4 21:21:00 2000 ]-wyjście[Author ID1: at Wed Oct 4 21:21:00 2000 ]. Norma ISO 7816-5 dotyczy identyfikatorów (identifiers) i konwencji nazewniczych obsługiwanych przez Java Card API.

Podczas gdy standard OpenCard Framework (OCF) jest zaimplementowany za pomocą programu w języku Java,[Author ID1: at Wed Oct 4 21:22:00 2000 ] działającego na komputerze lub terminalu komunikującym się kartą elektroniczną (smart card), to Java Card jest okrojoną [Author ID1: at Wed Oct 4 21:22:00 2000 ]skróconą [Author ID1: at Wed Oct 4 21:22:00 2000 ]wersją Javy, zainstalowaną na samej karcie. Standard Open[Author ID0: at Thu Nov 30 00:00:00 1899 ]Card [Author ID0: at Thu Nov 30 00:00:00 1899 ]Framework[Author ID0: at Thu Nov 30 00:00:00 1899 ] może korzystać zarówno z kart elektronicznych typu Java Card (Java Card smart cards),[Author ID1: at Wed Oct 4 21:23:00 2000 ] jak i ze [Author ID1: at Wed Oct 4 21:23:00 2000 ]standardowych kart elektronicznych (standard smart cards), ale jeśli aplety Javy mają być zapisane bezpośrednio na karcie (tzw. cardlets), musi to być karta elektroniczna typu Java Card.

Interfejs Java Card API 2.1 umożliwia rozwiązanie problemów występujących przy pisaniu aplikacji korzystających z kart elektronicznych i zagadnienie to omówione zostanie szczegółowo w części niniejszego rozdziału pod tytułem „Rozwiązania natychmiastowe”.

Rozwiązania dostarczane przez firmę Microsoft

Firma Microsoft dostarcza interfejsy API, takie jak CryptoAPI, Scard COM i Win32 z rozszerzeniem zakresu funkcji o obsługę kart elektronicznych. Zagadnienie to omówiono w części niniejszego rozdziału pod tytułem „Rozwiązania natychmiastowe”.

Podejście firmy Microsoft do tego zagadnienia zawiera następujące elementy:

• s[Author ID1: at Wed Oct 4 21:23:00 2000 ]S[Author ID1: at Wed Oct 4 21:23:00 2000 ]tandardowy model interfejsu pomiędzy czytnikami kart elektronicznych i kartami elektronicznymi a komputerami,[Author ID1: at Wed Oct 4 21:24:00 2000 ].[Author ID1: at Wed Oct 4 21:24:00 2000 ]

• i[Author ID1: at Wed Oct 4 21:24:00 2000 ]I[Author ID1: at Wed Oct 4 21:24:00 2000 ]nterfejsy programowe API niezależne od urządzeń, uaktywniające aplikacje korzystające z kart elektronicznych,[Author ID1: at Wed Oct 4 21:24:00 2000 ].[Author ID1: at Wed Oct 4 21:24:00 2000 ]

• n[Author ID1: at Wed Oct 4 21:24:00 2000 ]N[Author ID1: at Wed Oct 4 21:24:00 2000 ]arzędzia do tworzenia oprogramowania,[Author ID1: at Wed Oct 4 21:24:00 2000 ].[Author ID1: at Wed Oct 4 21:24:00 2000 ]

• i[Author ID1: at Wed Oct 4 21:24:00 2000 ]I[Author ID1: at Wed Oct 4 21:24:00 2000 ]ntegracja ze wszystkimi systemami Windows.

Standardowy model interfejsu pomiędzy czytnikami kart elektronicznych i kartami a komputerem daje możność współpracy pomiędzy czytnikami i kartami od różnych producentów. Interfejsy programowe API niezależne od urządzeń izolują programistów od różnic występujących pomiędzy bieżącymi a przyszłymi implementacjami. Uniezależnienie się od urządzeń ogranicza również koszty tworzenia oprogramowania poprzez uniknięcie dezaktualizacji oprogramowania po wprowadzeniu zmian w sprzęcie.

Obsługiwane karty elektroniczne

Domyślnie instalowana jest wersja systemu Windows 2000 obsługująca kryptograficzne karty elektroniczne (cryptographic smart cards) GemSAFE firmy Gemplus i Cryptoflex firmy Schlumberger. Aby korzystać z tych kart,[Author ID1: at Wed Oct 4 21:27:00 2000 ] nie potrzebne [Author ID1: at Wed Oct 4 21:27:00 2000 ]są potrzebne [Author ID1: at Wed Oct 4 21:27:00 2000 ]żadne zmiany w konfiguracji klienta ani serwera. Kryptograficzne karty elektroniczne (cryptographic smart card) [Author ID1: at Wed Oct 4 21:28:00 2000 ]są dostępne bezpośrednio u producenta.

W tabeli 9.1.[Author ID1: at Wed Oct 4 21:28:00 2000 ] zamieszczono — istotne z punktu widzenia użytkownika — [Author ID1: at Wed Oct 4 21:28:00 2000 ]różnice pomiędzy kartami od różnych producentów, istotne z punktu widzenia użytkownika[Author ID1: at Wed Oct 4 21:28:00 2000 ].

Inne kryptograficzne karty elektroniczne (cryptographic smart cards)[Author ID1: at Wed Oct 4 21:28:00 2000 ], w których zastosowano algorytm RSA (Rivest-Shamir-Adleman) również współpracują z Infrastrukturą Klucza Publicznego (PKI) systemu Windows 2000, pod warunkiem, że dostawca kart opracował Usługodawcę Usług Kryptograficznych (Cryptographic Service Provider [Author ID1: at Wed Oct 4 21:29:00 2000 ]-[Author ID1: at Wed Oct 4 21:29:00 2000 ]— [Author ID1: at Wed Oct 4 21:29:00 2000 ]CSP), korzystając z interfejsu CryptoAPI i pakietu Smart Card Software Development[Author ID1: at Wed Oct 4 21:29:00 2000 ]er's[Author ID0: at Thu Nov 30 00:00:00 1899 ] Kit (SDK). Pakiet ten jest dostępny za pomocą MSDN (Microsoft Developers Network) .[Author ID1: at Wed Oct 4 20:43:00 2000 ].[Author ID1: at Wed Oct 4 20:43:00 2000 ] Pakiet Smart Card SDK omówiono w części niniejszego rozdziału pod tytułem „Rozwiązanie natychmiastowe”.

Obsługiwane czytniki kart elektronicznych

Zanim karty elektroniczne zostaną zastosowane, konieczne jest zainstalowanie ich [Author ID1: at Wed Oct 4 21:30:00 2000 ]czytnika kart elektronicznych[Author ID1: at Wed Oct 4 21:30:00 2000 ]. System Windows 2000 zawiera sterowniki czytników kart elektronicznych, które zamieszczono w tabeli 9.2.[Author ID1: at Wed Oct 4 21:30:00 2000 ], ale sterowniki te instalowane są tylko po wykryciu odpowiedniego czytnika kart elektronicznych, zgodnego ze standardem podłącz i pracuj ([Author ID1: at Wed Oct 4 21:35:00 2000 ]plug-and-play)[Author ID1: at Wed Oct 4 21:35:00 2000 ].

Tabela 9.1.[Author ID1: at Wed Oct 4 21:30:00 2000 ] Karty elektroniczne obsługiwane przez system Windows 2000

-->Karta elektroniczna[Author ID0: at Thu Nov 30 01:06:00 1899 ]	-->Domyślny kod PIN[Author ID0: at Thu Nov 30 01:06:00 1899 ]	-->Kształt złącza[Author ID0: at Thu Nov 30 01:06:00 1899 ]	-->Usługodawca usług kryptogra[Author ID1: at Wed Oct 4 21:33:00 2000 ]-->ficznych[Author ID1: at Wed Oct 4 21:33:00 2000 ] [Author ID1: at Wed Oct 4 21:33:00 2000 ]-->-[Author ID1: at Wed Oct 4 21:33:00 2000 ][Author ID1: at Wed Oct 4 21:33:00 2000 ]— [Author ID1: at Wed Oct 4 21:33:00 2000 ]-->CSP[Author ID0: at Thu Nov 30 01:06:00 1899 ]
Gemplus GemSAFE	1234	Owalne	Gemplus GemaSAFE card CSP v1.0
Schlumberger Cryptoflex	00000000	Prostokątne	Schlumberger CSP

Firma Microsoft nie obsługuje ani nie zaleca stosowania czytników kart elektronicznych (smart card readers) nie mających funkcji plug-and-play.[Author ID1: at Wed Oct 4 21:35:00 2000 ] (Podłącz i Pracuj).[Author ID1: at Wed Oct 4 21:35:00 2000 ]

W firmie Microsoft opracowano zasady udzielania zezwoleń na umieszczanie na czytnikach kart elektronicznych logo „Zaprojektowane dla Windows”, co ma umożliwić stosowanie czytników kart elektronicznych od jednego producenta i kart elektronicznych (smart cards[Author ID1: at Wed Oct 4 21:36:00 2000 ]) od innego producenta[Author ID1: at Wed Oct 4 21:36:00 2000 ]. Założenia tego programu są oparte na specyfikacji PC/SC (p[Author ID1: at Wed Oct 4 21:36:00 2000 ]P[Author ID1: at Wed Oct 4 21:36:00 2000 ]ersonal c[Author ID1: at Wed Oct 4 21:36:00 2000 ]C[Author ID1: at Wed Oct 4 21:36:00 2000 ]omputer/s[Author ID1: at Wed Oct 4 21:36:00 2000 ]S[Author ID1: at Wed Oct 4 21:36:00 2000 ]mart c[Author ID1: at Wed Oct 4 21:36:00 2000 ]C[Author ID1: at Wed Oct 4 21:36:00 2000 ]ard) i gwarantują współpracę (interoperability) czytników kart elektronicznych (smart card read[Author ID1: at Wed Oct 4 21:36:00 2000 ]ers) [Author ID1: at Wed Oct 4 21:36:00 2000 ]w systemie Windows. Tylko czytniki kart elektronicznych, które zostały sprawdzone przez laboratorium jakości sprzętu systemu Windows (Windows Hardware Quality Lab [Author ID1: at Wed Oct 4 21:36:00 2000 ]-[Author ID1: at Wed Oct 4 21:36:00 2000 ]— [Author ID1: at Wed Oct 4 21:36:00 2000 ]WHQL) firmy Microsoft i uzyskały logo „Zaprojektowane dla Windows”,[Author ID1: at Wed Oct 4 21:37:00 2000 ] mogą być instalowane w komputerach pracujących pod[Author ID1: at Wed Oct 4 21:37:00 2000 ] kontrolą systemu Windows 2000. Na rynku dostępne są czytniki kart elektronicznych, które nie współpracują z kartami z innego źródła, chociaż wiele z tych urządzeń oznaczonych jest jako „zgodne ze specyfikacją PC/SC”. Określenie to nie ma żadnego znaczenia, ponieważ nie opracowano żadnych testów zgodności z wyżej wymienioną specyfikacją.

Uwaga: Wykaz czytników kart elektronicznych zamieszczony w tabeli 9.2.[Author ID1: at Wed Oct 4 21:37:00 2000 ] powstał w czasie pisania książki. Aktualne informacje dotyczące zgodności tych urządzeń z systemem Windows znajdują się na liście zgodności sprzętu[Author ID1: at Wed Oct 4 21:38:00 2000 ] ([Author ID1: at Wed Oct 4 21:38:00 2000 ]Hardware Compatibility List — [Author ID1: at Wed Oct 4 21:38:00 2000 ]([Author ID1: at Wed Oct 4 21:38:00 2000 ]HCL) pod adresem www.microsoft.com/hcl.

Tabela 9.2.[Author ID1: at Wed Oct 4 21:38:00 2000 ] Czytniki kart elektronicznych obsługiwane przez system Windows

-->Producent[Author ID0: at Thu Nov 30 01:06:00 1899 ]	-->Typ czytnika[Author ID0: at Thu Nov 30 01:06:00 1899 ]	-->Interfejs[Author ID0: at Thu Nov 30 01:06:00 1899 ]	-->Sterownik urządzenia[Author ID0: at Thu Nov 30 01:06:00 1899 ]
Bull CP8	Smart TLP3	RS-232	bulltlp3.sys
Gemplus	GCR410P	RS-232	gcr410p.sys
Gemplus	GPR400	PCMCIA	gpr400.sys
Litronic	220P	RS-232	lit220p.sys
Rainbow Technologies	3531	RS-232	rnbo3531.sys
SCM Microsystems	SwapSmart	RS-232	scmstcs.sys
SCM Microsystems	SwapSmart	PCMCIA	pscr.sys

Rozwiązania natychmiastowe

Instalowanie czytników kart elektronicznych

Czytniki kart elektronicznych powinny mieć funkcję typu [Author ID1: at Wed Oct 4 21:39:00 2000 ]podłącz i pracuj ([Author ID1: at Wed Oct 4 21:40:00 2000 ]„[Author ID1: at Wed Oct 4 21:39:00 2000 ]plug-and-play”[Author ID1: at Wed Oct 4 21:39:00 2000 ] (Podłącz i Pracuj[Author ID1: at Wed Oct 4 21:40:00 2000 ]) i znajdować się na liście zgodności sprzętu [Author ID1: at Wed Oct 4 21:40:00 2000 ]Windows ([Author ID1: at Wed Oct 4 21:40:00 2000 ]Hardware Compatibility List — [Author ID1: at Wed Oct 4 21:40:00 2000 ]([Author ID1: at Wed Oct 4 21:40:00 2000 ]HCL). Listę czytników obsługiwanych przez system Windows, aktualną w czasie pisania książki, zamieszczono w tabeli 9.2. Instalowanie urządzeń „[Author ID1: at Wed Oct 4 21:41:00 2000 ]plug-and-play” (Podłącz i Pracuj) [Author ID1: at Wed Oct 4 21:41:00 2000 ], [Author ID1: at Wed Oct 4 21:41:00 2000 ]znajdujących się na liście [Author ID1: at Wed Oct 4 21:41:00 2000 ]HCL,[Author ID1: at Wed Oct 4 21:41:00 2000 ] jest łatwe. Zwykle [Author ID1: at Wed Oct 4 21:41:00 2000 ]Na ogół [Author ID1: at Wed Oct 4 21:41:00 2000 ]wystarczy podłączyć urządzenie do komputera i zainstalować odpowiedni sterownik urządzenia,[Author ID1: at Wed Oct 4 21:41:00 2000 ] postępując zgodnie z poniższym opisem.

Podłączanie czytnika kart elektronicznych

Czytniki kart elektronicznych (smart card readers) zwykle [Author ID1: at Wed Oct 4 21:41:00 2000 ]zazwyczaj [Author ID1: at Wed Oct 4 21:41:00 2000 ]są dostarczane z instrukcją instalacji i należy postępować zgodnie z nią. Jeśli instrukcji [Author ID1: at Wed Oct 4 21:42:00 2000 ]nie ma instrukcji, [Author ID1: at Wed Oct 4 21:42:00 2000 ]należy skorzystać z poniższej,[Author ID1: at Wed Oct 4 21:42:00 2000 ] ogólnej procedury instalowania czytnika kart elektronicznych (smart card reader)[Author ID1: at Wed Oct 4 21:42:00 2000 ]:

1. Zamknij system i wyłącz komputer.

2. Podłącz czytnik do portu szeregowego lub, jeśli jest to czytnik z interfejsem PC card, do gniazda PCMCIA Type II.

3. Jeśli czytnik z łączem szeregowym ma dodatkowe gniazdo i kabel PS/2 podłącz do niego klawiaturę lub myszkę, a czytnik podłącz do gniazda PS/2 klawiatury lub myszki w komputerze. Niektóre czytniki są zasilane za pomocą gniazda klawiatury lub myszki, ponieważ nie zawsze możliwe jest zasilanie z portu szeregowego.

4. Uruchom komputer i zaloguj się.

Instalowanie sterownika czytnika kart elektronicznych

Instalowanie urządzeń w kontrolerze domeny (Domain Controller [Author ID1: at Wed Oct 4 21:43:00 2000 ]-[Author ID1: at Wed Oct 4 21:43:00 2000 ]— [Author ID1: at Wed Oct 4 21:43:00 2000 ]DC) możliwe jest tylko z konta administratora. W stacji roboczej pracującej pod kontrolą systemu Windows 2000 Professional urządzenia mogą instalować administratorzy ([Author ID1: at Wed Oct 4 21:43:00 2000 ]członkowie grup A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Administrators)[Author ID1: at Wed Oct 4 21:43:00 2000 ] i Użytkownicy [Author ID1: at Wed Oct 4 21:43:00 2000 ]Zaawansowani[Author ID1: at Wed Oct 4 21:43:00 2000 ] ([Author ID1: at Wed Oct 4 21:43:00 2000 ]P[Author ID1: at Wed Oct 4 21:43:00 2000 ]Power U[Author ID1: at Wed Oct 4 21:43:00 2000 ]Users)[Author ID1: at Wed Oct 4 21:43:00 2000 ].

Jeśli dany czytnik jest urządzeniem „[Author ID1: at Wed Oct 4 21:43:00 2000 ]plug-and-play”[Author ID1: at Wed Oct 4 21:44:00 2000 ] („[Author ID3: at Tue Jul 17 09:09:00 2001 ]"[Author ID1: at Wed Oct 4 21:44:00 2000 ][Author ID3: at Tue Jul 17 09:09:00 2001 ]P[Author ID1: at Wed Oct 4 21:44:00 2000 ]p[Author ID1: at Wed Oct 4 21:44:00 2000 ]odłącz i p[Author ID1: at Wed Oct 4 21:44:00 2000 ]P[Author ID1: at Wed Oct 4 21:44:00 2000 ]racuj"[Author ID1: at Wed Oct 4 21:44:00 2000 ][Author ID3: at Tue Jul 17 09:09:00 2001 ]”[Author ID3: at Tue Jul 17 09:09:00 2001 ]) to zostanie wykryty automatycznie przez k[Author ID1: at Wed Oct 4 21:44:00 2000 ]K[Author ID1: at Wed Oct 4 21:44:00 2000 ]reatora sprzętu (hardware wizard). W przeciwnym razie należy uzyskać instrukcję od [Author ID1: at Wed Oct 4 21:44:00 2000 ]producenta. Wszystkie urządzenia znajdujące się na liście zgodności sprzętu ([Author ID1: at Wed Oct 4 21:44:00 2000 ]HCL)[Author ID1: at Wed Oct 4 21:44:00 2000 ] są urządzeniami typu „[Author ID1: at Wed Oct 4 21:45:00 2000 ]plug-and-play [Author ID1: at Wed Oct 4 21:45:00 2000 ]” (Podłącz i Pracuj) [Author ID1: at Wed Oct 4 21:45:00 2000 ]i firma Microsoft zaleca, by nie instalować sprzętu spoza listy.

Po ponownym uruchomieniu komputera,[Author ID1: at Wed Oct 4 21:45:00 2000 ] po podłączeniu czytnika z funkcją „[Author ID1: at Wed Oct 4 21:45:00 2000 ]plug-and-play” (Podłącz i Pracuj)[Author ID1: at Wed Oct 4 21:45:00 2000 ], k[Author ID1: at Wed Oct 4 21:45:00 2000 ]K[Author ID1: at Wed Oct 4 21:45:00 2000 ]reator sprzętu powinien go wykryć. Potem należy zainstalować sterownik postępując zgodnie z instrukcjami K[Author ID1: at Wed Oct 4 21:45:00 2000 ]k[Author ID1: at Wed Oct 4 21:45:00 2000 ]reatora. Konieczny będzie instalacyjny dysk CD-ROM systemu Windows 2000 lub dyskietka ze sterownikiem urządzenia, dostarczona przez producenta. Może być również możliwość pobrania sterownika z udziału sieciowego (network share). Zawartość wyświetlanych ekranów będzie różnić się w zależności od typu instalowanego czytnika, ale w pewnym momencie pojawi się polecenie uruchomienia usługi Karta Elektroniczna (SS[Author ID1: at Wed Oct 4 21:45:00 2000 ]mart CC[Author ID1: at Wed Oct 4 21:45:00 2000 ]ard) i skonfigurowania jej, aby uruchamiała się automatycznie.

Poniżej zamieszczono procedurę uruchamiania usługi Karta Elektroniczna [Author ID1: at Wed Oct 4 21:46:00 2000 ](Smart Card)[Author ID1: at Wed Oct 4 21:46:00 2000 ]:

1. Z menu Start wybierz pozycję Programy|Narzędzia administracyjne|Usługi (PP[Author ID1: at Wed Oct 4 21:49:00 2000 ]rograms\A[Author ID1: at Wed Oct 4 21:49:00 2000 ]Administrative T[Author ID1: at Wed Oct 4 21:49:00 2000 ]t[Author ID1: at Wed Oct 4 21:49:00 2000 ]ools\S[Author ID1: at Wed Oct 4 21:49:00 2000 ]Services).

2. Prawym klawiszem [Author ID1: at Wed Oct 4 21:49:00 2000 ]przyciskiem [Author ID1: at Wed Oct 4 21:49:00 2000 ]myszki kliknij usługę Karta Elektroniczna (Smart Card) [Author ID1: at Wed Oct 4 21:49:00 2000 ]i z menu wybierz pozycję Właściwości (PP[Author ID1: at Wed Oct 4 21:50:00 2000 ]roperties).

3. Z listy rozwijalnej Typ Uruchomienia (SS[Author ID1: at Wed Oct 4 21:50:00 2000 ]tartup Type) wybierz opcję Automatyczny (AA[Author ID1: at Wed Oct 4 21:50:00 2000 ]utomatic). W ten sposób zostanie ustawione automatyczne uruchamianie usługi Menedżer Zasobów Kart Inteligentnych (SS[Author ID1: at Wed Oct 4 21:50:00 2000 ]mart C[Author ID1: at Wed Oct 4 21:50:00 2000 ]Card RR[Author ID1: at Wed Oct 4 21:50:00 2000 ]esource MM[Author ID1: at Wed Oct 4 21:50:00 2000 ]anager).

4. Jeśli usługa już działa, przycisk Uruchom (S[Author ID1: at Wed Oct 4 21:50:00 2000 ]Start) będzie zaznaczony na szaro. Jeśli usługa jeszcze nie została uruchomiona,[Author ID1: at Wed Oct 4 21:50:00 2000 ] naciśnij przycisk [Author ID1: at Wed Oct 4 21:50:00 2000 ]Uruchom [Author ID1: at Wed Oct 4 21:50:00 2000 ](Start)[Author ID1: at Wed Oct 4 21:50:00 2000 ]. Usługa zostanie uruchomiona i powinien pojawić się ekran podobny do przedstawionego na rysunku 9.2.

5. Po wyświetleniu przez K[Author ID1: at Wed Oct 4 21:50:00 2000 ]k[Author ID1: at Wed Oct 4 21:50:00 2000 ]reatora[Author ID1: at Wed Oct 4 21:50:00 2000 ] (w[Author ID1: at Wed Oct 4 21:50:00 2000 ]W[Author ID1: at Wed Oct 4 21:50:00 2000 ]izard) odpowiedniego komunikatu,[Author ID1: at Wed Oct 4 21:50:00 2000 ] uruchom [Author ID1: at Wed Oct 4 21:50:00 2000 ]ponownie uruchom [Author ID1: at Wed Oct 4 21:50:00 2000 ]komputer.

Wskazówka: Jeśli K[Author ID1: at Wed Oct 4 21:51:00 2000 ]k[Author ID1: at Wed Oct 4 21:51:00 2000 ]reator (Wizard) [Author ID1: at Wed Oct 4 21:51:00 2000 ]nie zostanie uruchomiony automatycznie, oznacza to, że dany czytnik kart elektronicznych (smart card reader) nie jest urządzeniem typu „[Author ID1: at Wed Oct 4 21:51:00 2000 ]plug-and-play” (Podłącz i Pracuj)[Author ID1: at Wed Oct 4 21:51:00 2000 ]. Wtedy należy zwrócić się do producenta tego czytnika po odpowiedni sterownik i instrukcję instalowania.

Rysunek 9.2.[Author ID1: at Wed Oct 4 21:51:00 2000 ] Ustawienie automatycznego uruchamiania usługi Karta Elektroniczna (S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Smart CC[Author ID0: at Thu Nov 30 00:00:00 1899 ]ard).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Instalowanie stacji rejestrowania kart elektronicznych (smart card enrollment station)

Po zainstalowaniu czytnika kart elektronicznych, użytkownik karty elektronicznej musi zostać zarejestrowany (enroll) w celu uzyskania odpowiedniego certyfikatu. Proces rejestrowania (enrollment) w celu uzyskania certyfikatu karty elektronicznej musi być [Author ID1: at Wed Oct 4 21:52:00 2000 ]zachodzić [Author ID1: at Wed Oct 4 21:52:00 2000 ]pod kontrolą. Można to porównać do wydawania pracownikom identyfikatorów (employee badges), potwierdzających ich tożsamość i umożliwiających dostęp do pomieszczeń firmy. Wówczas[Author ID1: at Wed Oct 4 21:52:00 2000 ] i wtedy[Author ID1: at Wed Oct 4 21:52:00 2000 ] występują takie same ograniczenia ze względów bezpieczeństwa. Z tego powodu zwykli użytkownicy nie mogą [Author ID1: at Wed Oct 4 21:52:00 2000 ]sami nie [Author ID1: at Wed Oct 4 21:52:00 2000 ]rejestrować się sami [Author ID1: at Wed Oct 4 21:53:00 2000 ](enroll) [Author ID1: at Wed Oct 4 21:53:00 2000 ]w celu uzyskania certyfikatu karty elektronicznej. W ich imieniu [Author ID1: at Wed Oct 4 21:53:00 2000 ]R[Author ID1: at Wed Oct 4 21:53:00 2000 ]r[Author ID1: at Wed Oct 4 21:53:00 2000 ]obią to w ich imieniu [Author ID1: at Wed Oct 4 21:53:00 2000 ]administratorzy.

Zadanie to można wykonać na dowolnym komputerze pracującym pod kontrolą systemu Windows 2000 (Professional lub Server), który będzie używany jako s[Author ID1: at Wed Oct 4 21:54:00 2000 ]S[Author ID1: at Wed Oct 4 21:54:00 2000 ]tacja rejestrowania kart elektronicznych (S[Author ID1: at Wed Oct 4 21:54:00 2000 ]s[Author ID1: at Wed Oct 4 21:54:00 2000 ]mart c[Author ID1: at Wed Oct 4 21:54:00 2000 ]C[Author ID1: at Wed Oct 4 21:54:00 2000 ]ard e[Author ID1: at Wed Oct 4 21:54:00 2000 ]E[Author ID1: at Wed Oct 4 21:54:00 2000 ]nrollment s[Author ID1: at Wed Oct 4 21:54:00 2000 ]S[Author ID1: at Wed Oct 4 21:54:00 2000 ]tation). W danej lokacji (site) musi być zainstalowany s[Author ID1: at Wed Oct 4 21:54:00 2000 ]S[Author ID1: at Wed Oct 4 21:54:00 2000 ]erwer certyfikatów (c[Author ID1: at Wed Oct 4 21:54:00 2000 ]C[Author ID1: at Wed Oct 4 21:54:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 21:54:00 2000 ]S[Author ID1: at Wed Oct 4 21:54:00 2000 ]erver), musi zostać zainstalowana [Author ID1: at Wed Oct 4 21:54:00 2000 ]jednostka certyfikująca (CA) oraz przynajmniej jeden certyfikat administratora.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 21:54:00 2000 ]: [Author ID1: at Wed Oct 4 21:54:00 2000 ]zobacz na stronie:

Instalowanie jednostki certyfikującej

Instalowanie certyfikatów jednostki certyfikującej

Zalecaną przez firmę Microsoft metodą rejestrowania się (enrolling) w celu uzyskania certyfikatów kart elektronicznych i kluczy jest korzystanie ze s[Author ID1: at Wed Oct 4 21:54:00 2000 ]S[Author ID1: at Wed Oct 4 21:54:00 2000 ]tacji rejestrowania kart elektronicznych (Smart Card Enrollment Station)[Author ID1: at Wed Oct 4 21:54:00 2000 ], która jest częścią u[Author ID1: at Wed Oct 4 21:54:00 2000 ]U[Author ID1: at Wed Oct 4 21:54:00 2000 ]sług certyfikatów (C[Author ID1: at Wed Oct 4 21:54:00 2000 ]c[Author ID1: at Wed Oct 4 21:54:00 2000 ]ertificate s[Author ID1: at Wed Oct 4 21:54:00 2000 ]S[Author ID1: at Wed Oct 4 21:54:00 2000 ]ervices) systemu Windows 2000 Server i Windows 2000 Advanced Server.

Razem z instalowaniem jednostki certyfikującej przedsiębiorstwa (enterprise CA) instalowana jest S[Author ID1: at Wed Oct 4 21:54:00 2000 ]s[Author ID1: at Wed Oct 4 21:54:00 2000 ]tacja rejestrowania kart elektronicznych (Smart Card Enrollment Station)[Author ID1: at Wed Oct 4 21:55:00 2000 ]. Umożliwia to administratorowi wysłanie żądania i zainstalowanie certyfikatu L[Author ID1: at Wed Oct 4 21:55:00 2000 ]l[Author ID1: at Wed Oct 4 21:55:00 2000 ]ogowanie się za pomocą karty elektronicznej (s[Author ID1: at Wed Oct 4 21:55:00 2000 ]S[Author ID1: at Wed Oct 4 21:55:00 2000 ]mart c[Author ID1: at Wed Oct 4 21:55:00 2000 ]C[Author ID1: at Wed Oct 4 21:55:00 2000 ]ard l[Author ID1: at Wed Oct 4 21:55:00 2000 ]L[Author ID1: at Wed Oct 4 21:55:00 2000 ]ogon) — [Author ID1: at Wed Oct 4 21:55:00 2000 ]([Author ID1: at Wed Oct 4 21:56:00 2000 ]uwierzytelnianie)[Author ID1: at Wed Oct 4 21:56:00 2000 ] oraz U[Author ID1: at Wed Oct 4 21:56:00 2000 ]u[Author ID1: at Wed Oct 4 21:56:00 2000 ]żytkownik karty elektronicznej (s[Author ID1: at Wed Oct 4 21:56:00 2000 ]S[Author ID1: at Wed Oct 4 21:56:00 2000 ]mart c[Author ID1: at Wed Oct 4 21:56:00 2000 ]C[Author ID1: at Wed Oct 4 21:56:00 2000 ]ard u[Author ID1: at Wed Oct 4 21:56:00 2000 ]U[Author ID1: at Wed Oct 4 21:56:00 2000 ]ser) — [Author ID1: at Wed Oct 4 21:56:00 2000 ]([Author ID1: at Wed Oct 4 21:56:00 2000 ]uwierzytelnianie i poczta elektroniczna)[Author ID1: at Wed Oct 4 21:56:00 2000 ] na karcie elektronicznej w imieniu użytkownika.

Aby zainstalować Stację Rejestrowania Certyfikatów (Smart Card Enrollment Station)[Author ID1: at Wed Oct 4 21:56:00 2000 ] najpierw trzeba uzyskać certyfikat podpisywania (signing certificate), oparty na szablonie certyfikatu A[Author ID1: at Wed Oct 4 21:56:00 2000 ]a[Author ID1: at Wed Oct 4 21:56:00 2000 ]gent rejestrowania (e[Author ID1: at Wed Oct 4 21:56:00 2000 ]E[Author ID1: at Wed Oct 4 21:56:00 2000 ]nrollment a[Author ID1: at Wed Oct 4 21:56:00 2000 ]A[Author ID1: at Wed Oct 4 21:56:00 2000 ]gent). Certyfikat podpisywania (signing certificate) [Author ID1: at Wed Oct 4 21:56:00 2000 ]będzie używany przy podpisywaniu żądania certyfikatu wygenerowanego w imieniu użytkownika karty elektronicznej (smart card)[Author ID1: at Wed Oct 4 21:56:00 2000 ].

OSTRZEŻENIE! Domyślnie tylko administratorzy domeny ([Author ID1: at Wed Oct 4 22:08:00 2000 ]członkowie grupy Domain Administrators)[Author ID1: at Wed Oct 4 22:08:00 2000 ] mają[Author ID1: at Wed Oct 4 20:43:00 2000 ]a[Author ID1: at Wed Oct 4 20:43:00 2000 ] uprawnienie do żądania certyfikatu opartego na szablonie (template) a[Author ID1: at Wed Oct 4 22:09:00 2000 ]A[Author ID1: at Wed Oct 4 22:09:00 2000 ]gent rejestrowania (E[Author ID1: at Wed Oct 4 22:09:00 2000 ]e[Author ID1: at Wed Oct 4 22:09:00 2000 ]nrollment a[Author ID1: at Wed Oct 4 22:09:00 2000 ]A[Author ID1: at Wed Oct 4 22:09:00 2000 ]gent). Jeśli podjęta zostanie decyzja o delegowaniu rejestrowania kart elektronicznych (smart card enrollment), należy zachować szczególną ostrożność przy wyborze administratora kart elektronicznych. Osoba, która uzyska certyfikat A[Author ID1: at Wed Oct 4 22:09:00 2000 ]a[Author ID1: at Wed Oct 4 22:09:00 2000 ]genta[Author ID1: at Wed Oct 4 22:09:00 2000 ] rejestrowania (Enrollme[Author ID1: at Wed Oct 4 22:09:00 2000 ]nt Agent) [Author ID1: at Wed Oct 4 22:09:00 2000 ]może zarejestrować się (enroll for) w celu uzyskania certyfikatu i wytworzyć kartę elektroniczną (smart card) [Author ID1: at Wed Oct 4 22:09:00 2000 ]w imieniu dowolnej innej osoby z danego przedsiębiorstwa, łącznie z administratorami. Otrzymana w ten sposób karta elektroniczna może być użyta do zalogowania się do sieci i personifikowania (Impersonate) rzeczywistego użytkownika.

Uzyskiwanie certyfikatu agenta rejestrowania (E[Author ID1: at Wed Oct 4 22:10:00 2000 ]e[Author ID1: at Wed Oct 4 22:10:00 2000 ]nrollment A[Author ID1: at Wed Oct 4 22:10:00 2000 ]a[Author ID1: at Wed Oct 4 22:10:00 2000 ]gent)

Przed wysłaniem żądania certyfikatów użytkowników,[Author ID1: at Wed Oct 4 22:11:00 2000 ] L[Author ID1: at Wed Oct 4 22:10:00 2000 ]l[Author ID1: at Wed Oct 4 22:10:00 2000 ]ogowanie za pomocą kart elektronicznych (S[Author ID1: at Wed Oct 4 22:10:00 2000 ]s[Author ID1: at Wed Oct 4 22:10:00 2000 ]mart c[Author ID1: at Wed Oct 4 22:10:00 2000 ]C[Author ID1: at Wed Oct 4 22:10:00 2000 ]ard L[Author ID1: at Wed Oct 4 22:10:00 2000 ]l[Author ID1: at Wed Oct 4 22:10:00 2000 ]ogon) konieczne jest posiadanie certyfikatu agenta rejestrowania (Enrollment Agent)[Author ID1: at Wed Oct 4 22:11:00 2000 ], który umożliwia wysłanie żądania certyfikatu karty elektronicznej w imieniu innych użytkowników. Uzyskanie tego certyfikatu jest możliwe tylko jeśli użytkownik posiada uprawnienia zabezpieczeń (security permissions), aby uzyskać dostęp do Szablonu Certyfikatu Agenta Rejestrowania (EE[Author ID1: at Wed Oct 4 22:11:00 2000 ]nrollment AA[Author ID1: at Wed Oct 4 22:11:00 2000 ]gent Certificate Templates). Domyślnie tylko administrator domeny ma takie uprawnienia, ale może[Author ID1: at Wed Oct 4 22:11:00 2000 ]na[Author ID1: at Wed Oct 4 22:11:00 2000 ] je przekazać osobie, która została administratorem kart elektronicznych (smart card administrator) — [Author ID1: at Wed Oct 4 22:11:00 2000 ]([Author ID1: at Wed Oct 4 22:11:00 2000 ]przeczytaj ostrzeżenie zamieszczone powyżej)[Author ID1: at Wed Oct 4 22:11:00 2000 ]. [Author ID1: at Wed Oct 4 22:11:00 2000 ]

Uwaga: Nie można otrzymać certyfikatu agenta rejestrowania,[Author ID1: at Wed Oct 4 22:18:00 2000 ] (Enrollment Agent) [Author ID1: at Wed Oct 4 22:12:00 2000 ]dopóki nie zostanie podłączony czytnik kart elektronicznych i zainstalowany odpowiedni sterownik.

Poniżej zamieszczono procedurę uzyskiwania Certyfikatu Agenta Rejestrowania (E[Author ID1: at Wed Oct 4 22:18:00 2000 ]Enrollment A[Author ID1: at Wed Oct 4 22:18:00 2000 ]Agent Certificate):

1. Zaloguj się jako administrator, który będzie wydawał karty elektroniczne (smart cards).

2. Z menu Start wybierz pozycję Uruchom (RR[Author ID1: at Wed Oct 4 22:18:00 2000 ]un) i wpisz polecenie mmc.

3. Z menu Konsola (C[Author ID1: at Wed Oct 4 22:18:00 2000 ]Console) wybierz [Author ID1: at Wed Oct 4 22:18:00 2000 ]zaznacz [Author ID1: at Wed Oct 4 22:18:00 2000 ]pozycję [Author ID1: at Wed Oct 4 22:18:00 2000 ]Dodaj/Usuń przystawkę (AA[Author ID1: at Wed Oct 4 22:18:00 2000 ]dd/R[Author ID1: at Wed Oct 4 22:18:00 2000 ]Remove s[Author ID1: at Wed Oct 4 22:18:00 2000 ]S[Author ID1: at Wed Oct 4 22:18:00 2000 ]nap-in), a następnie kliknij Dodaj (A[Author ID1: at Wed Oct 4 22:18:00 2000 ]Add).

4. Kliknij dwukrotnie pozycję Certyfikaty (C[Author ID1: at Wed Oct 4 22:18:00 2000 ]Certificates).

5. Wybierz Moje Konto Użytkownika (MM[Author ID1: at Wed Oct 4 22:18:00 2000 ]y User Account), które[Author ID1: at Wed Oct 4 22:18:00 2000 ]([Author ID1: at Wed Oct 4 22:19:00 2000 ] [Author ID1: at Wed Oct 4 22:19:00 2000 ]prawdopodobnie będzie wybrane domyślnie)[Author ID1: at Wed Oct 4 22:19:00 2000 ],[Author ID1: at Wed Oct 4 22:19:00 2000 ] a następnie naciśnij przycisk Zakończ (F[Author ID1: at Wed Oct 4 22:19:00 2000 ]Finish).

6. Naciśnij przycisk [Author ID1: at Wed Oct 4 22:19:00 2000 ]Zamknij (C[Author ID1: at Wed Oct 4 22:19:00 2000 ]Close) a następnie naciśnij [Author ID1: at Wed Oct 4 22:19:00 2000 ]i [Author ID1: at Wed Oct 4 22:19:00 2000 ]OK.

7. Kliknij dwukrotnie pozycję Certyfikaty [Author ID1: at Wed Oct 4 22:19:00 2000 ]-[Author ID1: at Wed Oct 4 22:19:00 2000 ]— [Author ID1: at Wed Oct 4 22:19:00 2000 ]B[Author ID1: at Wed Oct 4 22:19:00 2000 ]Bieżący Użytkownik (CC[Author ID1: at Wed Oct 4 22:19:00 2000 ]ertificates [Author ID1: at Wed Oct 4 22:19:00 2000 ]-[Author ID1: at Wed Oct 4 22:19:00 2000 ]— [Author ID1: at Wed Oct 4 22:19:00 2000 ]CC[Author ID1: at Wed Oct 4 22:19:00 2000 ]urrent UU[Author ID1: at Wed Oct 4 22:19:00 2000 ]ser).

8. Z drzewa konsoli wybierz gałąź Osobiste (P[Author ID1: at Wed Oct 4 22:19:00 2000 ]Personal). Powinno pojawić się okno podobne do przedstawionego na rysunku 9.3.

Rysunek 9.3.[Author ID1: at Wed Oct 4 22:19:00 2000 ] Wybrany Magazyn Certyfikatów Osobiste (P[Author ID0: at Thu Nov 30 00:00:00 1899 ]Personal Certificate Store).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

9. W menu Akcje (AA[Author ID1: at Wed Oct 4 22:19:00 2000 ]ction) wybierz pozycję Wszystkie zadania (A[Author ID1: at Wed Oct 4 22:19:00 2000 ]All t[Author ID1: at Wed Oct 4 22:20:00 2000 ]T[Author ID1: at Wed Oct 4 22:20:00 2000 ]asks),[Author ID1: at Wed Oct 4 22:20:00 2000 ] a następnie kliknij [Author ID2: at Thu Oct 5 01:41:00 2000 ]zaznacz[Author ID1: at Thu Oct 5 01:41:00 2000 ] [Author ID2: at Thu Oct 5 01:41:00 2000 ]Żądaj Nowego Certyfikatu (RR[Author ID1: at Wed Oct 4 22:20:00 2000 ]equest NN[Author ID1: at Wed Oct 4 22:20:00 2000 ]ew CC[Author ID1: at Wed Oct 4 22:20:00 2000 ]ertificate), jak przedstawiono na rysunku 9.4.

10. Uruchomiony zostanie Kreator Żądania Certyfikatu (CC[Author ID1: at Wed Oct 4 22:20:00 2000 ]ertificate R[Author ID1: at Wed Oct 4 22:20:00 2000 ]Request W[Author ID1: at Wed Oct 4 22:20:00 2000 ]Wizard). Naciśnij przycisk Dalej (NN[Author ID1: at Wed Oct 4 22:20:00 2000 ]ext).

11. Wybierz szablon certyfikatu agenta rejestrowania (Enrollment Agent)[Author ID1: at Wed Oct 4 22:20:00 2000 ]. Zostaniesz poproszony o podanie nazwy przyjaznej (friendly name) i opisu certyfikatu, jak przedstawiono to na rysunku 9.5.

12. Naciśnij przycisk Dalej (Next) a następnie przycisk [Author ID1: at Wed Oct 4 22:20:00 2000 ]i [Author ID1: at Wed Oct 4 22:20:00 2000 ]Zakończ [Author ID1: at Wed Oct 4 22:20:00 2000 ](Finish)[Author ID1: at Wed Oct 4 22:20:00 2000 ].

13. Kiedy pojawi się odpowiedni komunikat Kreatora Żądania Certyfikatu [Author ID1: at Wed Oct 4 22:21:00 2000 ](Certificate Request Wizard) [Author ID1: at Wed Oct 4 22:20:00 2000 ], [Author ID1: at Wed Oct 4 22:21:00 2000 ]naciśnij przycisk Zainstaluj Certyfikat (II[Author ID1: at Wed Oct 4 22:21:00 2000 ]nstall CC[Author ID1: at Wed Oct 4 22:21:00 2000 ]ertificate). Aby zamknąć okno dialogowe,[Author ID1: at Wed Oct 4 22:21:00 2000 ] naciśnij [Author ID1: at Wed Oct 4 22:21:00 2000 ]przycisk [Author ID1: at Wed Oct 4 22:21:00 2000 ]potwierdź [Author ID1: at Wed Oct 4 22:21:00 2000 ]OK. Obecnie posiadasz certyfikat konieczny do wysłania żądania certyfikatu kart elektronicznych w imieniu użytkowników.

14. Zamknij konsolę Certyfikaty [Author ID1: at Wed Oct 4 22:21:00 2000 ](Certificates)[Author ID1: at Wed Oct 4 22:21:00 2000 ].

Rysunek 9.4.[Author ID1: at Wed Oct 4 22:21:00 2000 ] Żądanie nowego certyfikatu osobistego.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 9.5.[Author ID1: at Wed Oct 4 22:21:00 2000 ] Definiowanie certyfikatu agenta rejestrowania (E[Author ID0: at Thu Nov 30 00:00:00 1899 ]e[Author ID1: at Wed Oct 4 22:21:00 2000 ]nrollment a[Author ID1: at Wed Oct 4 22:21:00 2000 ]A[Author ID0: at Thu Nov 30 00:00:00 1899 ]gent).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Uwaga: Można również zainstalować certyfikat agenta rejestrowania (Enrollment Agent) [Author ID1: at Wed Oct 4 22:21:00 2000 ]na karcie elektronicznej (smart card). W tym przypadku, wysyłając żądanie certyfikatu, korzysta się z Usługodawcy Usług Kryptograficznych (CSP) producenta karty. Naciskając przycisk Opcje Zaawansowane (A[Author ID1: at Wed Oct 4 22:22:00 2000 ]Advanced OO[Author ID1: at Wed Oct 4 22:22:00 2000 ]ptions) K[Author ID1: at Wed Oct 4 22:22:00 2000 ]k[Author ID1: at Wed Oct 4 22:22:00 2000 ]reatora żądania certyfikatu,[Author ID1: at Wed Oct 4 22:22:00 2000 ] (Certificate Request Wizard) [Author ID1: at Wed Oct 4 22:22:00 2000 ]można wybrać Usługodawcę Usług Kryptograficznych (CSP) [Author ID1: at Wed Oct 4 22:22:00 2000 ]dla Certyfikatu Agenta Rejestrowania (Enrollment Agent)[Author ID1: at Wed Oct 4 22:22:00 2000 ].

Wydawanie kart elektronicznych

Aby wydać użytkownikowi kartę elektroniczną należy zarejestrować się (enroll for) w celu uzyskania certyfikatu karty elektronicznej (s[Author ID1: at Wed Oct 4 22:22:00 2000 ]S[Author ID1: at Wed Oct 4 22:22:00 2000 ]mart C[Author ID1: at Wed Oct 4 22:22:00 2000 ]c[Author ID1: at Wed Oct 4 22:22:00 2000 ]ard l[Author ID1: at Wed Oct 4 22:22:00 2000 ]L[Author ID1: at Wed Oct 4 22:22:00 2000 ]ogon lub S[Author ID1: at Wed Oct 4 22:22:00 2000 ]s[Author ID1: at Wed Oct 4 22:22:00 2000 ]mart C[Author ID1: at Wed Oct 4 22:22:00 2000 ]c[Author ID1: at Wed Oct 4 22:22:00 2000 ]ard u[Author ID1: at Wed Oct 4 22:22:00 2000 ]U[Author ID1: at Wed Oct 4 22:22:00 2000 ]ser) w imieniu tego użytkownika i zainstalowanie tego certyfikatu na jego karcie (smart card)[Author ID1: at Wed Oct 4 22:22:00 2000 ]. W tym miejscu i tylko w tym miejscu [Author ID1: at Wed Oct 4 22:23:00 2000 ]nim [Author ID1: at Wed Oct 4 22:23:00 2000 ]użytkownik może określić kod PIN.

Rejestrowanie się (enrolling for) w celu uzyskania certyfikatu karty elektronicznej w imieniu użytkownika

Aby zarejestrować się (enroll for) [Author ID1: at Wed Oct 4 22:23:00 2000 ]w celu uzyskania certyfikatu logowania za pomocą karty elektronicznej ([Author ID1: at Wed Oct 4 22:25:00 2000 ]S[Author ID1: at Wed Oct 4 22:25:00 2000 ]s[Author ID1: at Wed Oct 4 22:25:00 2000 ]mart C[Author ID1: at Wed Oct 4 22:25:00 2000 ]c[Author ID1: at Wed Oct 4 22:25:00 2000 ]ard l[Author ID1: at Wed Oct 4 22:25:00 2000 ]L[Author ID1: at Wed Oct 4 22:25:00 2000 ]ogon)[Author ID1: at Wed Oct 4 22:25:00 2000 ] lub użytkownika karty elektronicznej ([Author ID1: at Wed Oct 4 22:25:00 2000 ]S[Author ID1: at Wed Oct 4 22:25:00 2000 ]s[Author ID1: at Wed Oct 4 22:25:00 2000 ]mart C[Author ID1: at Wed Oct 4 22:25:00 2000 ]c[Author ID1: at Wed Oct 4 22:25:00 2000 ]ard U[Author ID1: at Wed Oct 4 22:25:00 2000 ]u[Author ID1: at Wed Oct 4 22:25:00 2000 ]ser)[Author ID1: at Wed Oct 4 22:25:00 2000 ]:

1. Zaloguj się jako agent rejestrowania (enrollment agent),[Author ID1: at Wed Oct 4 22:26:00 2000 ] — [Author ID1: at Wed Oct 4 22:26:00 2000 ]tzn. j[Author ID1: at Wed Oct 4 22:26:00 2000 ]ako [Author ID1: at Wed Oct 4 22:26:00 2000 ]administrator wydający karty elektroniczne (smart card)[Author ID1: at Wed Oct 4 22:26:00 2000 ].

2. Uruchom przeglądarkę i podaj adres //ServerName/CertSrv, gdzie ServerName jest nazwą serwera jednostki certyfikującej (CA server).

3. Pojawi się strona powitalna usług certyfikatów firmy Microsoft (Microsoft C[Author ID1: at Wed Oct 4 22:26:00 2000 ]c[Author ID1: at Wed Oct 4 22:26:00 2000 ]ertificate S[Author ID1: at Wed Oct 4 22:26:00 2000 ]s[Author ID1: at Wed Oct 4 22:26:00 2000 ]ervices), którą przedstawiono na rysunku 9.6. Zaznacz opcję Żądaj Certyfikatu (RR[Author ID1: at Wed Oct 4 22:26:00 2000 ]equest a Certificate),[Author ID1: at Wed Oct 4 22:26:00 2000 ] a następnie naciśnij przycisk Dalej (NN[Author ID1: at Wed Oct 4 22:26:00 2000 ]ext).

4. Pojawi się strona Wybierz Typ Żądania (C[Author ID1: at Wed Oct 4 22:26:00 2000 ]Choose R[Author ID1: at Wed Oct 4 22:26:00 2000 ]Request TT[Author ID1: at Wed Oct 4 22:26:00 2000 ]ype), którą[Author ID1: at Wed Oct 4 22:27:00 2000 ]a[Author ID1: at Wed Oct 4 22:27:00 2000 ] przedstawiono na rysunku 9.7. Zaznacz opcję Żądania Zaawansowane (A[Author ID1: at Wed Oct 4 22:27:00 2000 ]Advanced Request),[Author ID1: at Wed Oct 4 22:27:00 2000 ] a następnie naciśnij przycisk [Author ID1: at Wed Oct 4 22:27:00 2000 ]Dalej [Author ID1: at Wed Oct 4 22:27:00 2000 ](Next)[Author ID1: at Wed Oct 4 22:27:00 2000 ].

Rysunek 9.6.[Author ID1: at Wed Oct 4 22:27:00 2000 ] Żądanie certyfikatu od usług certyfikatów firmy Microsoft (Microsoft C[Author ID0: at Thu Nov 30 00:00:00 1899 ]c[Author ID1: at Wed Oct 4 22:27:00 2000 ]ertificate S[Author ID0: at Thu Nov 30 00:00:00 1899 ]s[Author ID1: at Wed Oct 4 22:27:00 2000 ]ervices).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

5. Pojawi się strona Zaawansowane Żądania Certyfikatów (AA[Author ID1: at Wed Oct 4 22:27:00 2000 ]dvanced CC[Author ID1: at Wed Oct 4 22:27:00 2000 ]ertificate RR[Author ID1: at Wed Oct 4 22:27:00 2000 ]equests), którą przedstawiono na rysunku 9.8. Zaznacz opcję Żądaj certyfikatu dla karty elektronicznej w imieniu innego użytkownika,[Author ID1: at Wed Oct 4 22:28:00 2000 ] korzystając ze stacji rejestrowania kart elektronicznych (R[Author ID1: at Wed Oct 4 22:28:00 2000 ]Request a certificate for a smart card on behalf of another user using the s[Author ID1: at Wed Oct 4 22:28:00 2000 ]S[Author ID1: at Wed Oct 4 22:28:00 2000 ]mart c[Author ID1: at Wed Oct 4 22:28:00 2000 ]C[Author ID1: at Wed Oct 4 22:28:00 2000 ]ard e[Author ID1: at Wed Oct 4 22:28:00 2000 ]E[Author ID1: at Wed Oct 4 22:28:00 2000 ]nrollment s[Author ID1: at Wed Oct 4 22:28:00 2000 ]S[Author ID1: at Wed Oct 4 22:28:00 2000 ]tation),[Author ID1: at Wed Oct 4 22:28:00 2000 ] a następnie [Author ID1: at Wed Oct 4 22:28:00 2000 ]po czym [Author ID1: at Wed Oct 4 22:28:00 2000 ]naciśnij przycisk [Author ID1: at Wed Oct 4 22:28:00 2000 ]Dalej [Author ID1: at Wed Oct 4 22:28:00 2000 ](Next)[Author ID1: at Wed Oct 4 22:28:00 2000 ].

6. Jeśli pojawi się ostrzeżenie o zabezpieczeniach (S[Author ID1: at Wed Oct 4 22:28:00 2000 ]s[Author ID1: at Wed Oct 4 22:28:00 2000 ]ecurity w[Author ID1: at Wed Oct 4 22:28:00 2000 ]W[Author ID1: at Wed Oct 4 22:28:00 2000 ]arning) z monitem o zatwierdzenie certyfikatu[Author ID1: at Wed Oct 4 22:28:00 2000 ] podpisywania (signing certificate) kart elektronicznych,[Author ID1: at Wed Oct 4 22:28:00 2000 ] naciśnij przycisk Tak [Author ID1: at Wed Oct 4 22:28:00 2000 ](Yes)[Author ID1: at Wed Oct 4 22:28:00 2000 ].

Rysunek 9.7.[Author ID1: at Wed Oct 4 22:28:00 2000 ] Wybór żądania zaawansowanego.[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 9.8.[Author ID1: at Wed Oct 4 22:28:00 2000 ] Strona Zaawansowane Żądania Certyfikatów (A[Author ID0: at Thu Nov 30 00:00:00 1899 ]Advanced C[Author ID0: at Thu Nov 30 00:00:00 1899 ]Certificate RR[Author ID0: at Thu Nov 30 00:00:00 1899 ]equests).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

Rysunek 9.9.[Author ID1: at Wed Oct 4 22:29:00 2000 ] Stacja Rejestrowania Kart Elektronicznych (S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Smart CC[Author ID0: at Thu Nov 30 00:00:00 1899 ]ard E[Author ID0: at Thu Nov 30 00:00:00 1899 ]Enrollment S[Author ID0: at Thu Nov 30 00:00:00 1899 ]Station).[Author ID0: at Thu Nov 30 00:00:00 1899 ]

7. Pojawi się strona Stacja Rejestrowania Kart Elektronicznych [Author ID1: at Wed Oct 4 22:29:00 2000 ](Smart Card Enrollment Station)[Author ID1: at Wed Oct 4 22:29:00 2000 ], którą przedstawiono na rysunku 9.9. Na stronie tej można wybrać:

• Z[Author ID1: at Wed Oct 4 22:30:00 2000 ]z[Author ID1: at Wed Oct 4 22:30:00 2000 ] listy rozwijanej Szablon Certyfikatu (C[Author ID1: at Wed Oct 4 22:30:00 2000 ]Certificate T[Author ID1: at Wed Oct 4 22:30:00 2000 ]Template) pozycję Smart [Author ID1: at Wed Oct 4 22:30:00 2000 ]card l[Author ID1: at Wed Oct 4 22:30:00 2000 ]L[Author ID1: at Wed Oct 4 22:30:00 2000 ]ogon lub Smart [Author ID1: at Wed Oct 4 22:30:00 2000 ]card U[Author ID1: at Wed Oct 4 22:30:00 2000 ]u[Author ID1: at Wed Oct 4 22:30:00 2000 ]ser. Ten drugi szablon stosuje się, jeśli karta elektroniczna (smart card) [Author ID1: at Wed Oct 4 22:30:00 2000 ]oprócz logowania do systemu Windows ma służyć również do zabezpieczania poczty elektronicznej,[Author ID1: at Wed Oct 4 22:30:00 2000 ].[Author ID1: at Wed Oct 4 22:30:00 2000 ]

• z[Author ID1: at Wed Oct 4 22:30:00 2000 ]Z[Author ID1: at Wed Oct 4 22:30:00 2000 ] listy rozwijanej Jednostka Certyfikująca [Author ID1: at Wed Oct 4 22:31:00 2000 ](Certification Authority)[Author ID1: at Wed Oct 4 22:30:00 2000 ] jednostkę certyfikującą (CA). Na liście znajdują się tylko te jednostki certyfikujące (CAs[Author ID1: at Wed Oct 4 22:31:00 2000 ]), dla których uzyskano certyfikaty,[Author ID1: at Wed Oct 4 22:31:00 2000 ].[Author ID1: at Wed Oct 4 22:31:00 2000 ]

• Z[Author ID1: at Wed Oct 4 22:31:00 2000 ]z[Author ID1: at Wed Oct 4 22:31:00 2000 ] listy rozwijalnej Usługodawca Usług Kryptograficznych (Cryptogr[Author ID1: at Wed Oct 4 22:31:00 2000 ]aphic [Author ID1: at Wed Oct 4 22:31:00 2000 ]Service [Author ID1: at Wed Oct 4 22:31:00 2000 ]Provider[Author ID1: at Wed Oct 4 22:31:00 2000 ]) usługodawcę usług kryptograficznych (CSP) producenta karty elektronicznej.

[Author ID1: at Wed Oct 4 22:31:00 2000 ]

8. W wierszu Status znajduje się monit o wybranie certyfikatu. Naciśnij przycisk Wybierz Certyfikat (S[Author ID1: at Wed Oct 4 22:31:00 2000 ]Select C[Author ID1: at Wed Oct 4 22:31:00 2000 ]Certificate) i wybierz pozycje[Author ID2: at Thu Oct 5 07:28:00 2000 ]ę[Author ID1: at Thu Oct 5 07:28:00 2000 ] Certyfikat Podpisu Administratora (AA[Author ID1: at Wed Oct 4 22:31:00 2000 ]dministrator S[Author ID1: at Wed Oct 4 22:31:00 2000 ]Signing CC[Author ID1: at Wed Oct 4 22:31:00 2000 ]ertificate). Pojawi się okno dialogowe Wybierz Certyfikat [Author ID1: at Wed Oct 4 22:31:00 2000 ](Select Certificate)[Author ID1: at Wed Oct 4 22:31:00 2000 ], w którym należy wybrać certyfikat Agent Rejestrowania (EE[Author ID1: at Wed Oct 4 22:32:00 2000 ]nrollment AA[Author ID1: at Wed Oct 4 22:32:00 2000 ]gent), który będzie służył[Author ID1: at Wed Oct 4 22:32:00 2000 ]ć[Author ID1: at Wed Oct 4 22:32:00 2000 ] do opatrywania żądania zarejestrowania (enrollment request) podpisem cyfrowym. Naciśnij przycisk OK.

9. Teraz pojawi się monit o wybranie użytkownika. Naciśnij przycisk Wybierz Użytkownika (SS[Author ID1: at Wed Oct 4 22:37:00 2000 ]elect UU[Author ID1: at Wed Oct 4 22:37:00 2000 ]ser). Tworzenie listy użytkowników może chwilę potrwać. Zwróć uwagę, że na liście znajdują się tylko nazwy użytkowników;[Author ID1: at Wed Oct 4 22:37:00 2000 ] —[Author ID1: at Wed Oct 4 22:37:00 2000 ] karty elektroniczne nie mogą być wydawane grupom. Wybierz użytkownika, któremu zostanie wydana karta elektroniczna (smart card)[Author ID1: at Wed Oct 4 22:37:00 2000 ], jak przedstawiono to na rysunku 9.10. Naciśnij przycisk OK.

10. Nastąpi powrót do strony Stacja Rejestrowania Kart Elektronicznych [Author ID1: at Wed Oct 4 22:37:00 2000 ](Smart Card Enrollment Station) [Author ID1: at Wed Oct 4 22:37:00 2000 ]. [Author ID1: at Wed Oct 4 22:37:00 2000 ]Przycisk Prześlij Żądanie Certyfikatu (S[Author ID1: at Wed Oct 4 22:38:00 2000 ]Submit C[Author ID1: at Wed Oct 4 22:38:00 2000 ]Certificate RR[Author ID1: at Wed Oct 4 22:38:00 2000 ]equest) jest teraz aktywny. Jeśli wszystkie ustawienia są prawidłowe, naciśnij ten przycisk[Author ID1: at Wed Oct 4 22:38:00 2000 ]go[Author ID1: at Wed Oct 4 22:38:00 2000 ]. [Author ID1: at Wed Oct 4 22:38:00 2000 ]

11. Jeśli karta elektroniczna nie znajduje się w czytniku, pojawi się monit o jej [Author ID1: at Wed Oct 4 22:38:00 2000 ]włożenie.[Author ID1: at Wed Oct 4 22:38:00 2000 ] jej do danego czytnika. [Author ID1: at Wed Oct 4 22:38:00 2000 ]Po włożeniu karty do czytnika kart elektronicznych i rozpoznaniu jej przez system, przycisk OK. jest [Author ID1: at Wed Oct 4 22:39:00 2000 ]będzie [Author ID1: at Wed Oct 4 22:39:00 2000 ]uaktywniony. Aby kontynuować proces rejestrowania (enrollment process) naciśnij przycisk [Author ID1: at Wed Oct 4 22:39:00 2000 ]OK.

12. Wpisz numer PIN karty,[Author ID1: at Wed Oct 4 22:39:00 2000 ] a następnie naciśnij przycisk [Author ID1: at Wed Oct 4 22:39:00 2000 ]potwierdź [Author ID1: at Wed Oct 4 22:39:00 2000 ]OK.

13. Jeśli już zainstalowano certyfikat dla danej karty,[Author ID1: at Wed Oct 4 22:39:00 2000 ] —[Author ID1: at Wed Oct 4 22:39:00 2000 ] tzn. wydano go poprzednio i użytkownik chce zmienić numer PIN,[Author ID1: at Wed Oct 4 22:40:00 2000 ] — [Author ID1: at Wed Oct 4 22:40:00 2000 ]pojawi się zapytanie, czy zmienić dane uwierzytelniające (credentials) na karcie. W tym przypadku naciśnij przycisk Tak (Y[Author ID1: at Wed Oct 4 22:40:00 2000 ]Yes).

14. Teraz będziesz miał [Author ID1: at Wed Oct 4 22:41:00 2000 ]mieć [Author ID1: at Wed Oct 4 22:41:00 2000 ]możliwość podglądu utworzonego właśnie certyfikatu lub wysłania nowego żądania certyfikatu karty elektronicznej.

Rysunek 9.10. Wybór użytkownika

Uwaga: Obecnie jedynym sposobem zmiany kodu PIN użytkownika jest wydanie nowego certyfikatu karty elektronicznej.

Logowanie się [Author ID1: at Wed Oct 4 22:42:00 2000 ]za pomocą kart elektronicznych

Podłączanie czytnika kart elektronicznych, instalowanie sterownika i uzyskiwanie certyfikatów dla użytkowników kart elektronicznych są całkiem [Author ID1: at Wed Oct 4 22:41:00 2000 ]zwyczajnymi operacjami. Z punktu widzenia zwykłych [Author ID1: at Wed Oct 4 22:42:00 2000 ]powszechnych [Author ID1: at Wed Oct 4 22:42:00 2000 ]użytkowników logowanie się [Author ID1: at Wed Oct 4 22:42:00 2000 ]za pomocą karty elektronicznej jest jeszcze bardziej rutynową procedurą. Po prostu wkłada się kartę, co jest równoważne naciśnięciu kombinacji klawiszy [Author ID2: at Thu Oct 5 01:41:00 2000 ]przycisków[Author ID1: at Thu Oct 5 01:41:00 2000 ] [Author ID2: at Thu Oct 5 01:41:00 2000 ]Ctrl+Alt+Delete,[Author ID1: at Wed Oct 4 22:42:00 2000 ] i wpisuje się numer PIN. Jednak administrator ustanawiający zasady kart elektronicznych (smart card policy) oraz wprowadzający karty elektroniczne [Author ID1: at Wed Oct 4 22:42:00 2000 ]je [Author ID1: at Wed Oct 4 22:42:00 2000 ]powinien wiedzieć i zrozumieć,[Author ID1: at Wed Oct 4 22:42:00 2000 ] co właściwie dzieje się w trakcie logowania za pomocą kart elektronicznych (smart card logon).

Karta elektroniczna może być użyta do uwierzytelniania w domenie systemu Windows 2000 na trzy sposoby:

• l[Author ID1: at Wed Oct 4 22:42:00 2000 ]L[Author ID1: at Wed Oct 4 22:43:00 2000 ]ogowanie interaktywne (interactive logon) — o[Author ID1: at Wed Oct 4 22:43:00 2000 ]O[Author ID1: at Wed Oct 4 22:43:00 2000 ]bejmuje usługi katalogowe Active Directory, protokół Kerberos 5,[Author ID0: at Thu Nov 30 00:00:00 1899 ] oraz certyfikaty z kluczem publicznym,[Author ID1: at Wed Oct 4 22:43:00 2000 ].[Author ID1: at Wed Oct 4 22:43:00 2000 ]

• u[Author ID1: at Wed Oct 4 22:43:00 2000 ]U[Author ID1: at Wed Oct 4 22:43:00 2000 ]wierzytelnianie klienta (client authentication) — u[Author ID1: at Wed Oct 4 22:43:00 2000 ]U[Author ID1: at Wed Oct 4 22:43:00 2000 ]żytkownik jest uwierzytelniany za pomocą certyfikatu z kluczem publicznym (public key certificate), odpowiadającego kontu zapisanemu w Active Directory,[Author ID1: at Wed Oct 4 22:43:00 2000 ].[Author ID1: at Wed Oct 4 22:43:00 2000 ]

• L[Author ID1: at Wed Oct 4 22:43:00 2000 ]l[Author ID1: at Wed Oct 4 22:43:00 2000 ]ogowanie zdalne (remote logon) — c[Author ID1: at Wed Oct 4 22:43:00 2000 ]C[Author ID1: at Wed Oct 4 22:43:00 2000 ]ertyfikat z kluczem publicznym (public key certificate) [Author ID1: at Wed Oct 4 22:43:00 2000 ]z protokołami stosowanymi do uwierzytelniania użytkownika ([Author ID1: at Wed Oct 4 22:45:00 2000 ]Extensible Authentication Protocol — [Author ID1: at Wed Oct 4 22:46:00 2000 ]([Author ID1: at Wed Oct 4 22:46:00 2000 ]EAP) oraz Transport Layer Security (TLS) jest używany do uwierzytelniania użytkownika zdalnego (remote user) konta w Active Directory. Protokół EAP opisano w dokumencie Request For Comment (RFC) 2294. Protokół TLS opisano w dokumencie RFC 2246, a wzajemne oddziaływanie protokołów TLS/[Author ID1: at Wed Oct 4 22:46:00 2000 ] — [Author ID1: at Wed Oct 4 22:46:00 2000 ]Kerberos opisano w dokumencie [Author ID1: at Wed Oct 4 22:47:00 2000 ]RFC 2712.

Wskazówka: Dokumenty RFC można znaleźć w Internecie pod adresem ftp://ftp.isi.edu/in-notes/rfcxxxx.txt, gdzie xxxx jest numerem dokumentu RFC. Na [Author ID1: at Wed Oct 4 22:48:00 2000 ]przykład[Author ID1: at Wed Oct 4 22:48:00 2000 ].[Author ID1: at Wed Oct 4 22:48:00 2000 ] dokument RFC 2294 można znaleźć pod adresem [Author ID1: at Wed Oct 4 22:48:00 2000 ]na stronie [Author ID1: at Wed Oct 4 22:48:00 2000 ]ftp://ftp.isi.edu/in-notes/rfc2294.txt.

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 22:48:00 2000 ]: [Author ID1: at Wed Oct 4 22:48:00 2000 ]zobacz na stronie:

Uwierzytelnianie logowania

Stosowanie zabezpieczeń z kluczem publicznym (public key security) systemu Windows 2000

Logowanie interakcyjne

Logowanie interakcyjne (interactive logon) za pomocą kart elektronicznych rozpoczyna się, kiedy [Author ID1: at Wed Oct 4 22:48:00 2000 ]gdy [Author ID1: at Wed Oct 4 22:48:00 2000 ]użytkownik włoży kartę elektroniczną (smart card) do czytnika (reader). Jest to znak dla systemu Windows 2000,[Author ID1: at Wed Oct 4 22:49:00 2000 ] aby wyświetlić monit o numer PIN, który jest używany do uwierzytelniania tylko w zakresie korzystania z karty elektronicznej,[Author ID1: at Wed Oct 4 22:49:00 2000 ] a nie w domenie. Certyfikat z kluczem publicznym (public key certificate) [Author ID1: at Wed Oct 4 22:49:00 2000 ]zapisany na karcie elektronicznej (smart card) [Author ID1: at Wed Oct 4 22:49:00 2000 ]uwierzytelnia w danej domenie za pomocą protokołu Kerberos 5.

Po wprowadzeniu numeru PIN przez użytkownika,[Author ID1: at Wed Oct 4 22:49:00 2000 ] system operacyjny rozpoczyna sekwencję działań,[Author ID1: at Wed Oct 4 22:49:00 2000 ] aby określić,[Author ID1: at Wed Oct 4 22:49:00 2000 ] czy użytkownik może być zidentyfikowany i uwierzytelniony na podstawie dostarczonych przez siebie informacji (numer PIN i karta elektroniczna):

1. Żądanie logowania przechodzi do Lokalnej Jednostki Zabezpieczającej (Local Security Authority [Author ID1: at Wed Oct 4 23:16:00 2000 ]-[Author ID1: at Wed Oct 4 23:16:00 2000 ]— [Author ID1: at Wed Oct 4 23:16:00 2000 ]LSA).

2. Lokalna Jednostka Zabezpieczająca (LSA) przekazuje żądanie logowania do pakietu uwierzytelniającego Kerberos, który pracuje na komputerze-kliencie.

3. Pakiet Kerberos wysyła żądanie usługi uwierzytelniania (Authentication Service [Author ID1: at Wed Oct 4 23:17:00 2000 ]-[Author ID1: at Wed Oct 4 23:17:00 2000 ]— [Author ID1: at Wed Oct 4 23:17:00 2000 ]AS) do usługi CC[Author ID0: at Thu Nov 30 00:00:00 1899 ]entrum Dystrybucji Kluczy (Key Distribution Center [Author ID1: at Wed Oct 4 23:18:00 2000 ]-[Author ID1: at Wed Oct 4 23:18:00 2000 ]— [Author ID1: at Wed Oct 4 23:18:00 2000 ]KDC), działającej na kontrolerze domeny (Domain Controller [Author ID1: at Wed Oct 4 23:18:00 2000 ]-[Author ID1: at Wed Oct 4 23:18:00 2000 ]— [Author ID1: at Wed Oct 4 23:18:00 2000 ]DC), aby żądać uwierzytelnienia i biletu gwarantującego bilet (Ticket Granting Ticket [Author ID1: at Wed Oct 4 23:18:00 2000 ]-[Author ID1: at Wed Oct 4 23:18:00 2000 ]— [Author ID1: at Wed Oct 4 23:18:00 2000 ]TGT). Jako część żądania usługi uwierzytelniania (Authentication [Author ID1: at Wed Oct 4 23:19:00 2000 ]Service [Author ID1: at Wed Oct 4 23:19:00 2000 ] [Author ID1: at Wed Oct 4 23:19:00 2000 ]request) pakiet Kerberos, uruchomiony na komputerze-kliencie, w polu danych uwierzytelniania wstępnego (preauthentication data) żądania usługi,[Author ID1: at Wed Oct 4 23:19:00 2000 ] zawiera certyfikat użytkownika X.509v3,[Author ID1: at Wed Oct 4 23:19:00 2000 ] odczytany z karty elektronicznej (smart card)[Author ID1: at Wed Oct 4 23:19:00 2000 ].

Uwaga: Dokument grupy roboczej IETF X.509 certyfikat [Author ID1: at Wed Oct 4 23:19:00 2000 ]Public [Author ID0: at Thu Nov 30 00:00:00 1899 ]Key [Author ID0: at Thu Nov 30 00:00:00 1899 ]Infrastructure Cer[Author ID0: at Thu Nov 30 00:00:00 1899 ]tificate [Author ID0: at Thu Nov 30 00:00:00 1899 ] [Author ID1: at Wed Oct 4 23:19:00 2000 ]i dokument listy odwołań certyfikatów ([Author ID1: at Wed Oct 4 23:20:00 2000 ]Certificate Revocation List ([Author ID1: at Wed Oct 4 23:20:00 2000 ]— [Author ID1: at Wed Oct 4 23:20:00 2000 ]CRL) Profile specification RFC 2459 można znaleźć pod adresem www.ietf.org/rfc/rfc1459.txt.

4. Wartość uwierzytelniająca (authenticator), zawarta w [Author ID1: at Wed Oct 4 23:21:00 2000 ]polach danych uwierzytelniania wstępnego (preauthentication data),[Author ID0: at Thu Nov 30 00:00:00 1899 ] jest opatrzona podpisem cyfrowym za pomocą klucza prywatnego użytkownika,[Author ID1: at Wed Oct 4 23:21:00 2000 ] więc Centrum Dystrybucji Kluczy (Key Distribution Center-[Author ID0: at Thu Nov 30 00:00:00 1899 ]KDC) może zweryfikować żądanie usługi uwierzytelniania (Authnetication Service request) [Author ID0: at Thu Nov 30 00:00:00 1899 ]pochodzące od właściciela towarzyszącego certyfikatu.

5. Centrum Dystrybucji Kluczy (Key Distribution Center-KDC) [Author ID0: at Thu Nov 30 00:00:00 1899 ]weryfikuje ścieżkę certyfikacji (certification path) certyfikatu użytkownika, aby upewnić się, czy może zostać obdarzony zaufaniem, korzystając z interfejsu CryptoAPI do tworzenia ścieżki certyfikacji (certification path) [Author ID0: at Thu Nov 30 00:00:00 1899 ]od certyfikatu użytkownika do certyfikatu głównej jednostki certyfikującej (root CA), znajdującej się w systemowym magazynie głównym (system root store). Jeśli Centrum Dystrybucji Kluczy (KDC) nie zdoła utworzyć poprawnego łańcucha certyfikacji (certificate chain), to [Author ID1: at Wed Oct 4 23:23:00 2000 ]zwraca komunikat o błędzie i nie odpowiada[Author ID1: at Wed Oct 4 23:23:00 2000 ]e[Author ID1: at Wed Oct 4 23:23:00 2000 ] na żądanie.

6. Centrum Dystrybucji Kluczy (KDC) [Author ID1: at Wed Oct 4 23:23:00 2000 ]weryfikuje, czy jednostka certyfikująca wystawiająca (issuing CA) jest upoważniona do wystawiania certyfikatów, których informacje o nazwie mogą być stosowane jako podstawa uwierzytelniania w domenie.

Uwaga: Aby jednostka certyfikująca wystawiająca (issuing CA) była zaufana w ce[Author ID1: at Wed Oct 4 23:23:00 2000 ]lu[Author ID1: at Wed Oct 4 23:23:00 2000 ]do[Author ID1: at Wed Oct 4 23:23:00 2000 ] uwierzytelniania, musi to [Author ID1: at Wed Oct 4 23:23:00 2000 ]być jednostką[Author ID1: at Wed Oct 4 23:23:00 2000 ]a[Author ID1: at Wed Oct 4 23:23:00 2000 ] certyfikującą[Author ID1: at Wed Oct 4 23:24:00 2000 ]a[Author ID1: at Wed Oct 4 23:24:00 2000 ] przedsiębiorstwa (enterprise CA),[Author ID1: at Wed Oct 4 23:24:00 2000 ] opublikowaną[Author ID1: at Wed Oct 4 23:24:00 2000 ]a[Author ID1: at Wed Oct 4 23:24:00 2000 ] w Active Directory. Jest to konieczne, aby zapobiec wystawianiu certyfikatów w przestrzeni nazw (namespace) innej domeny przez jednostkę certyfikującą "[Author ID1: at Wed Oct 4 23:24:00 2000 ][Author ID3: at Tue Jul 17 09:09:00 2001 ]„[Author ID3: at Tue Jul 17 09:09:00 2001 ]oszusta"[Author ID1: at Wed Oct 4 23:24:00 2000 ][Author ID3: at Tue Jul 17 09:09:00 2001 ]”[Author ID3: at Tue Jul 17 09:09:00 2001 ] (rogue CA), która jest zaufana w jednej z hierarchii jednostek certyfikujących (CA hierarchy). Chociaż taki atak jest niezmiernie trudny do przeprowadzenia i zależy od uzyskania prawa wystawiania przez jednostkę certyfikującą "[Author ID1: at Wed Oct 4 23:24:00 2000 ][Author ID3: at Tue Jul 17 09:10:00 2001 ]„[Author ID3: at Tue Jul 17 09:10:00 2001 ]oszusta"[Author ID1: at Wed Oct 4 23:24:00 2000 ] (ro[Author ID1: at Wed Oct 4 23:24:00 2000 ]gue CA) [Author ID1: at Wed Oct 4 23:24:00 2000 ]od prawowitej nadrzędnej jednostki certyfikującej (parent CA). Opublikowanie jednostki certyfikującej przedsiębiorstwa (enterprise CA) [Author ID1: at Wed Oct 4 23:24:00 2000 ]w Active Directory usuwa niebezpieczeństwo takiego ataku.

7. Centrum Dystrybucji Kluczy (KDC) korzysta z interfejsu CryptoAPI do weryfikowania podpisu cyfrowego, którym opatrzona jest wartość uwierzytelniająca (authenticator) [Author ID1: at Wed Oct 4 23:25:00 2000 ]umieszczona w polach danych uwierzytelniania wstępnego (preauthentication data). Do weryfikowania podpisu służy klucz publiczny (public key) z certyfikatu użytkownika, za pomocą którego można udowodnić, że żądanie zostało wysłane przez [Author ID1: at Wed Oct 4 20:43:00 2000 ] [Author ID1: at Wed Oct 4 20:44:00 2000 ]właściciela tego klucza publicznego (public key)[Author ID1: at Wed Oct 4 23:25:00 2000 ]. Ponieważ certyfikat został odczytany z karty elektronicznej i wartość uwierzytelniająca (authenticator) [Author ID1: at Wed Oct 4 23:25:00 2000 ]została opatrzona podpisem z zastosowaniem klucza prywatnego, zapisanego na tej karcie, oznacza to, że podpis cyfrowy musi być prawomocny, ponieważ użytkownik musiał zostać uwierzytelniony w zakresie korzystania z karty elektronicznej,[Author ID1: at Wed Oct 4 23:25:00 2000 ] aby uzyskać klucz prywatny,[Author ID1: at Wed Oct 4 23:26:00 2000 ] za pomocą którego podpisano daną wartość uwierzytelniającą (authenticator)[Author ID1: at Wed Oct 4 23:26:00 2000 ].

8. Centrum Dystrybucji Kluczy (KDC) [Author ID1: at Wed Oct 4 23:26:00 2000 ]stwierdza ważność znacznika czasu (timestamp) wartości uwierzytelniającej (authenticator)[Author ID1: at Wed Oct 4 23:26:00 2000 ], aby upewnić się, że żądanie nie jest atakiem metodą powtórzenia (replay attack). ([Author ID0: at Thu Nov 30 00:00:00 1899 ]Ataki metodą powtórzenia omówiono w rozdziale 4.)[Author ID0: at Thu Nov 30 00:00:00 1899 ]

9. Centrum Dystrybucji Kluczy (KDC) [Author ID1: at Wed Oct 4 23:27:00 2000 ]wysyła zapytania do usług katalogowych domeny o informacje o koncie (account information). Odczytuje informacje o koncie użytkownika z Active Directory na podstawie nazwy głównej użytkownika (User Principal Name-[Author ID1: at Wed Oct 4 23:27:00 2000 ]UPN) podanej w polu S[Author ID1: at Wed Oct 4 23:27:00 2000 ]s[Author ID1: at Wed Oct 4 23:27:00 2000 ]ubject A[Author ID1: at Wed Oct 4 23:27:00 2000 ]a[Author ID1: at Wed Oct 4 23:27:00 2000 ]lternative n[Author ID1: at Wed Oct 4 23:27:00 2000 ]N[Author ID1: at Wed Oct 4 23:27:00 2000 ]ame (A[Author ID1: at Wed Oct 4 23:27:00 2000 ]a[Author ID1: at Wed Oct 4 23:27:00 2000 ]lternatywna nazwa tematu) w certyfikacie użytkownika z kluczem publicznym.

10. Informacje o koncie, które centrum dystrybucji kluczy [Author ID1: at Wed Oct 4 23:27:00 2000 ](KDC) uzyskuje od usług katalogowych są wykorzystywane do tworzenia biletu gwarantującego bilet (Ticket-Granting Ticket-[Author ID1: at Wed Oct 4 23:27:00 2000 ]TGT). Są to: identyfikator zabezpieczeń (Security ID [Author ID1: at Wed Oct 4 23:27:00 2000 ]-[Author ID1: at Wed Oct 4 23:27:00 2000 ]— [Author ID1: at Wed Oct 4 23:27:00 2000 ]SID) użytkownika, identyfikatory zabezpieczeń (SIDs[Author ID1: at Wed Oct 4 23:28:00 2000 ]) każdej z grup domeny, do której należy dany użytkownik oraz identyfikatory zabezpieczeń (SID) [Author ID1: at Wed Oct 4 23:28:00 2000 ]każdej z grup uniwersalnych, których dany użytkownik jest członkiem (w systemach wielodomenowych). Lista identyfikatorów zabezpieczeń (SID) [Author ID1: at Wed Oct 4 23:28:00 2000 ]znajduje się w polach danych autoryzacyjnych (authorization data) biletu gwarantującego bilet (TGT)[Author ID1: at Wed Oct 4 23:28:00 2000 ].

11. Centrum Dystrybucji Kluczy (Key Distribution Center) [Author ID1: at Wed Oct 4 23:28:00 2000 ]szyfruje bilet gwarantujący bilet (TGT) za pomocą klucza losowego (random key) wygenerowanego specjalnie w tym celu i[Author ID1: at Wed Oct 4 23:29:00 2000 ].[Author ID1: at Wed Oct 4 23:29:00 2000 ] Klucz losowy [Author ID1: at Wed Oct 4 23:29:00 2000 ](random key) [Author ID1: at Wed Oct 4 23:28:00 2000 ]jest [Author ID1: at Wed Oct 4 23:29:00 2000 ]szyfrowanego[Author ID1: at Wed Oct 4 23:29:00 2000 ]y[Author ID1: at Wed Oct 4 23:29:00 2000 ] za pomocą klucza publicznego (public key),[Author ID1: at Wed Oct 4 23:29:00 2000 ] znajdującego się w certyfikacie użytkownika. Zaszyfrowany klucz losowy jest umieszczony w polu danych uwierzytelniania wstępnego (preauthentication data) [Author ID1: at Wed Oct 4 23:29:00 2000 ]odpowiedzi Centrum Dystrybucji Kluczy (KDC)[Author ID1: at Wed Oct 4 23:29:00 2000 ].

12. Centrum dystr[Author ID1: at Wed Oct 4 23:29:00 2000 ]ybucji kluczy [Author ID1: at Wed Oct 4 23:29:00 2000 ](KDC), stosując swój klucz prywatny (private key), opatruje odpowiedź podpisem,[Author ID1: at Wed Oct 4 23:29:00 2000 ] aby klient mógł zweryfikować, czy odpowiedź [Author ID1: at Wed Oct 4 23:29:00 2000 ]pochodzi ona [Author ID1: at Wed Oct 4 23:29:00 2000 ]od zaufanego Centrum Dystrybucji Kluczy (trusted KDC).

13. Klient weryfikuje podpis Centrum Dystrybucji Kluczy,[Author ID1: at Wed Oct 4 23:30:00 2000 ] (KDC) [Author ID1: at Wed Oct 4 23:30:00 2000 ]tworząc najpierw ścieżkę certyfikacji (certification path) [Author ID1: at Wed Oct 4 23:30:00 2000 ]od certyfikatu Centrum Dystrybucji Kluczy (KDC) [Author ID1: at Wed Oct 4 23:30:00 2000 ]do zaufanej głównej jednostki certyfikującej (trusted root CA), a następnie,[Author ID1: at Wed Oct 4 23:30:00 2000 ] korzystając z klucza publicznego Centrum Dystrybucji Kluczy,[Author ID1: at Wed Oct 4 23:30:00 2000 ] (K[Author ID1: at Wed Oct 4 23:30:00 2000 ]DC) [Author ID1: at Wed Oct 4 23:30:00 2000 ]weryfikuje podpis odpowiedzi.

14. Centrum Dystrybucji Kluczy (KDC) [Author ID1: at Wed Oct 4 23:30:00 2000 ]dołącza podpis do danych autoryzacyjnych (authorization data) [Author ID1: at Wed Oct 4 23:30:00 2000 ]biletu gwarantującego bilet (TGT)[Author ID1: at Wed Oct 4 23:30:00 2000 ], korzystając z klucza serwera, który jest następnie opatrzony podpisem za pomocą klucza tajnego (secret key) centrum dystrybucji kluczy [Author ID1: at Wed Oct 4 23:31:00 2000 ](KDC), aby "usługa-"[Author ID1: at Wed Oct 4 23:31:00 2000 ][Author ID3: at Tue Jul 17 09:10:00 2001 ]oszust"[Author ID1: at Wed Oct 4 23:31:00 2000 ][Author ID3: at Tue Jul 17 09:10:00 2001 ]”[Author ID3: at Tue Jul 17 09:10:00 2001 ] nie mogła zmienić danych autoryzacyjnych (authorization data) po wydaniu biletu gwarantującego bilet (TGT)[Author ID1: at Wed Oct 4 23:31:00 2000 ].

15. Klient (client) [Author ID1: at Wed Oct 4 23:31:00 2000 ]po uzyskaniu odpowiedzi z Centrum Dystrybucji Kluczy (KDC) [Author ID1: at Wed Oct 4 23:31:00 2000 ]odczytuje zaszyfrowany klucz losowy (random key)[Author ID1: at Wed Oct 4 23:31:00 2000 ], odszyfrowuje go i stosuje do odszyfrowania biletu gwarantującego bilet (TGT)[Author ID1: at Wed Oct 4 23:31:00 2000 ].

16. Po tym,[Author ID1: at Wed Oct 4 23:31:00 2000 ] jak klient stanie się posiadaczem biletu gwarantującego bilet (TGT)[Author ID1: at Wed Oct 4 23:31:00 2000 ], do wysłania żądania biletu od usługi wydawania biletów (Ticket Granting Service — TGS[Author ID1: at Wed Oct 4 23:31:00 2000 ]) dla innych zasobów domeny stosowany jest standardowy protokół Kerberos 5.

Uwaga: Uzupełniające dane uwierzytelniające (credentials) są generowane jako część procesu logowania z użyciem protokołu Kerberos (Kerberos logon),[Author ID1: at Wed Oct 4 23:32:00 2000 ] więc nadal można uzyskać dostęp do serwerów pracujących pod kontrolą starszych wersji systemu Windows, np.[Author ID1: at Wed Oct 4 23:32:00 2000 ] (na przykład[Author ID1: at Wed Oct 4 23:32:00 2000 ] Windows NT 4)[Author ID1: at Wed Oct 4 23:32:00 2000 ]. Jest tak nawet,[Author ID1: at Wed Oct 4 23:32:00 2000 ] jeśli użytkownik nigdy nie używał hasła na danym komputerze. Kiedy konto jest tworzone, funkcja jednokierunkowa (one-way function) jest generowana i dodawana do atrybutów danego konta, aby korzystać z niej jako uzupełniającej danej uwierzytelniającej (credential) do uwierzytelniania przy połączeniach z serwerem pracującym pod kontrolą wcześniejszej wersji systemu Windows (down-level authentication).

Rozwiązania pokrewne [Author ID1: at Wed Oct 4 23:32:00 2000 ]: [Author ID1: at Wed Oct 4 23:32:00 2000 ]zobacz na stronie:

Zastosowanie C[Author ID1: at Wed Oct 4 23:32:00 2000 ]Centrum Dystrybucji Kluczy (Key [Author ID1: at Wed Oct 4 20:43:00 2000 ] [Author ID1: at Wed Oct 4 20:44:00 2000 ]Distribution Center — KDC[Author ID1: at Wed Oct 4 23:33:00 2000 ])

Podstawowe wiadomości o podprotokołach protokołu Kerberos

Analiza biletów protokołu Kerberos

Uwaga: Użytkownik, który jest odłączony od sieci musi nadal być w stanie zalogować się na swoim komputerze. Logowanie musi być również możliwe,[Author ID1: at Wed Oct 4 23:33:00 2000 ] jeśli [Author ID1: at Wed Oct 4 23:33:00 2000 ]gdy [Author ID1: at Wed Oct 4 23:33:00 2000 ]kontroler domeny jest nieosiągalny z jakiegokolwiek powodu. W trakcie procesu logowania się[Author ID1: at Wed Oct 4 23:33:00 2000 ] za pomocą kart elektronicznych (smart card logon), aby można było zalogować się w trybie offline,[Author ID1: at Wed Oct 4 23:33:00 2000 ] konieczny jest klucz prywatny użytkownika, który służy do odszyfrowania uzupełniających danych uwierzytelniających (credentials), zaszyfrowanych za pomocą klucza publicznego użytkownika. Jeśli użytkownik posiada wiele kart elektronicznych (smart cards) [Author ID1: at Wed Oct 4 23:34:00 2000 ]system musi zagwarantować, że użytkownik ten może zalogować się w trybie offline, niezależnie od tego, której karty użyje, stosując w celu zachowania bezpieczeństwa jednocześnie szyfrowanie i przetwarzanie danych uwierzytelniających za pomocą funkcji mieszającej (hashed credentials).

Logowanie się za pomocą uwierzytelniania klienta

Ponieważ obsługa kart elektronicznych (smart cards) łączy w sobie interfejs CryptoAPI oraz protokoły Secure Sockets Layer (SSL) i Transport Layer Security (TLS), nie musi mieć podanych żadnych danych o kartach elektronicznych, aby mogły one pracować poprawnie. W czasie uwierzytelniania klienta (client authentication),[Author ID1: at Wed Oct 4 23:34:00 2000 ] na etapie wstępnego negocjowania sesji protokołu SSL (initial SSL session negotiation),[Author ID1: at Wed Oct 4 23:34:00 2000 ] karta elektroniczna (smart card) [Author ID1: at Wed Oct 4 23:34:00 2000 ]opatruje podpisem część protokołu. Klucz prywatny odpowiadający danemu certyfikatowi z kluczem publicznym (public key certificate) jest zapisany na karcie elektronicznej (smart card)[Author ID1: at Wed Oct 4 23:35:00 2000 ], co daje w wyniku silne uwierzytelnienie (string authentication), ponieważ zastosowanie klucza prywatnego wymaga, by posiadacz karty został uwierzytelniony zarówno w zakresie korzystania z karty elektronicznej,[Author ID1: at Wed Oct 4 23:35:00 2000 ] jak i w domenie. Oprócz tego działania z kluczem publicznym,[Author ID1: at Wed Oct 4 23:35:00 2000 ] w trakcie wstępnego negocjowania sesji uwierzytelnienia wykonywane są na karcie, więc klucz prywatny nie jest nigdy dostępny w sieci ani dla komputera głównego (host computer). Obydwa protokoły, SSL 3 i TLS 1, obsługują uwierzytelnianie wzajemne (mutual authentication) — klient może dokonać uwierzytelnienia serwera, a dany serwer może dokonać uwierzytelnienia tego klienta.

W systemie Windows 2000 wprowadzono usługę zabezpieczeń (security service), która korzysta z informacji znajdujących się w certyfikacie klienta do przyporządkowania do kont zapisanych w Active Directory, aby określić prawa dostępu dla klienta uwierzytelnionego. Działania te można wykonać na podstawie nazwy głównej użytkownika (User Principal Name [Author ID1: at Wed Oct 4 23:36:00 2000 ]-[Author ID1: at Wed Oct 4 23:36:00 2000 ]— [Author ID1: at Wed Oct 4 23:36:00 2000 ]UPN) umieszczonej w certyfikacie lub przez szukanie w katalogu konta o określonych właściwościach, wydawcy (issuer) lub wydawcy (issuer) i tematu (subject) zamieszczonego w certyfikacie klienta.

Proces logowania klienta przebiega w następujący sposób:

1. Ustanawiana jest sesja protokołu SSL lub TLS.

2. Usługodawca kanału bezpiecznego (secure channel provider) podejmuje próbę znalezienia konta użytkownika w katalogu domeny na podstawie nawy głównej użytkownika (User Principal Name-[Author ID1: at Wed Oct 4 23:37:00 2000 ]UPN) zapisanej w certyfikacie, a znajdującej się [Author ID1: at Wed Oct 4 23:37:00 2000 ]. Nazwa główna użytkownika (UPN) znajduje się [Author ID1: at Wed Oct 4 23:37:00 2000 ]w polu Alternatywna Nazwa Tematu (S[Author ID1: at Wed Oct 4 23:37:00 2000 ]Subject A[Author ID1: at Wed Oct 4 23:37:00 2000 ]Alternative NN[Author ID1: at Wed Oct 4 23:37:00 2000 ]ame) certyfikatu klienta i określającej[Author ID1: at Wed Oct 4 23:38:00 2000 ] dokładną nazwę użytkownika i domenę, w której znajduje się dane konto. Jeśli takie konto zostanie znalezione i jeśli jednostka certyfikująca wystawiająca (issuing CA) ma autoryzację do wydawania certyfikatów godnych zaufania dla domeny, to [Author ID1: at Wed Oct 4 23:38:00 2000 ]proces logowania będzie kontynuowany.

3. Jeśli nie znaleziono nazwy zgodnej z podaną nazwą główną użytkownika (UPN)[Author ID1: at Wed Oct 4 23:38:00 2000 ] [Author ID1: at Wed Oct 4 23:38:00 2000 ]lub jednostka certyfikująca wystawiająca ((issuing CA) [Author ID1: at Wed Oct 4 23:38:00 2000 ]nie ma właściwej autoryzacji, usługodawca wysyła zapytania do usług katalogowych Active Directory w celu znalezienia konta, którego atrybut Alternatywna Tożsamość Zabezpieczeń ( [Author ID1: at Wed Oct 4 20:44:00 2000 ]([Author ID1: at Wed Oct 4 20:44:00 2000 ]Alternate Security Identities — [Author ID1: at Wed Oct 4 23:39:00 2000 ]([Author ID1: at Wed Oct 4 23:39:00 2000 ]ASI)[Author ID1: at Wed Oct 4 23:39:00 2000 ]) zawiera bezpośrednie przypisanie certyfikatu klienta. Takie p[Author ID1: at Wed Oct 4 23:39:00 2000 ]P[Author ID1: at Wed Oct 4 23:39:00 2000 ]rzypisanie certyfikatu klienta [Author ID1: at Wed Oct 4 23:39:00 2000 ]może nastąpić na podstawie nazwy wydawcy (issuer) [Author ID1: at Wed Oct 4 23:39:00 2000 ]lub nazw wydawcy (issuer) [Author ID1: at Wed Oct 4 23:39:00 2000 ]i tematu [Author ID1: at Wed Oct 4 23:39:00 2000 ] [Author ID1: at Wed Oct 4 23:39:00 2000 ](subject) [Author ID1: at Wed Oct 4 23:39:00 2000 ]zamieszczonych w certyfikacie klienta. Jeśli przypisanie zostanie znalezione, proces logowania będzie kontynuowany.

Uwaga: Konto może mieć jeden lub kilka certyfikatów z nim związanych, umożliwiając w ten sposób wielu użytkownikom zewnętrznym korzystanie z jednego konta. Certyfikat nie może być przypisany do wielu kont.

4. Po potwierdzeniu tożsamości klienta,[Author ID1: at Wed Oct 4 23:40:00 2000 ] serwer ustanawia kontekst zabezpieczeń (security context), określający[Author ID1: at Wed Oct 4 23:40:00 2000 ] do których zasobów domeny dany klient ma dostęp.

Logowanie zdalne

Usługa dostępu zdalnego (Remote Access Service [Author ID1: at Wed Oct 4 23:40:00 2000 ]-[Author ID1: at Wed Oct 4 23:40:00 2000 ]— [Author ID1: at Wed Oct 4 23:40:00 2000 ]RAS) systemu Windows 2000 obsługuje uwierzytelnianie użytkowników zdalnych za pomocą protokołu stosowanego do uwierzytelniania użytkownika ([Author ID1: at Wed Oct 4 23:42:00 2000 ]Extensible Authentication Protocol ([Author ID1: at Wed Oct 4 23:43:00 2000 ]— [Author ID1: at Wed Oct 4 23:43:00 2000 ]EAP). Umożliwia to dodawanie modułów uwierzytelniających od innych dostawców i stosowanie wielu metod uwierzytelniania, również kart elektronicznych (smart card). System Windows 2000 zawiera moduł wbudowany do obsługi kart elektronicznych, umożliwiający silne uwierzytelnianie (strong authentication) użytkowników zdalnych.

Logowanie zdalne wymaga dwukrotnego uwierzytelniania:[Author ID1: at Wed Oct 4 23:45:00 2000 ];[Author ID1: at Wed Oct 4 23:45:00 2000 ] jeden raz w celu skorzystania z [Author ID1: at Wed Oct 4 20:43:00 2000 ] [Author ID1: at Wed Oct 4 20:44:00 2000 ]serwera usługi dostępu zdalnego (RAS server),[Author ID1: at Wed Oct 4 23:45:00 2000 ] a drugi raz w sieci. W wyniku pierwszego uwierzytelniania serwer usługi dostępu zdalnego (RAS server) [Author ID1: at Wed Oct 4 23:45:00 2000 ] [Author ID1: at Wed Oct 4 23:45:00 2000 ]zostaje uwierzytelniony przez klienta i ustanawiane jest połączenie pomiędzy klientem a serwerem. Po ustanowieniu tego połączenia do klienta stosuje[Author ID1: at Wed Oct 4 23:45:00 2000 ]ą[Author ID1: at Wed Oct 4 23:45:00 2000 ] się zasady właściwe dla usługi dostępu zdalnego (RAS) oraz atrybuty konta (account attributes), które[Author ID1: at Wed Oct 4 23:45:00 2000 ]. Atrybuty konta[Author ID1: at Wed Oct 4 23:45:00 2000 ] stosowane są dla konkretnych użytkowników (per-user basis) i obejmują takie właściwości,[Author ID1: at Wed Oct 4 23:46:00 2000 ] jak: prawa dostępu (access rights) oraz opcje wywołania zwrotnego (callback options).

Drugi proces uwierzytelniania (do domeny) korzysta, zamiast z [Author ID1: at Wed Oct 4 23:46:00 2000 ]protokołu Kerberos czy SSL, z protokołu EAP o[Author ID1: at Wed Oct 4 23:46:00 2000 ]ver [Author ID1: at Wed Oct 4 23:46:00 2000 ]poprzez [Author ID1: at Wed Oct 4 23:46:00 2000 ]TLS,[Author ID1: at Wed Oct 4 23:46:00 2000 ] jako protokołu uwierzytelniania. Uwierzytelnianie do domeny za pomocą protokołu EAP/TLS jest bardzo podobne do uwierzytelniania klienta za pomocą protokołu SSL, oprócz tego, że certyfikat z kluczem publicznym (public key certificate) musi zawierać nazwę główną użytkownika (User Principal Name-[Author ID1: at Wed Oct 4 23:47:00 2000 ]UPN), która jest zgodna z kontem zapisanym w Active Directory w domenie.

Wskazówka: Istnieje rozróżnienie pomiędzy logowaniem się [Author ID1: at Wed Oct 4 23:47:00 2000 ]do domeny interakcyjnie,[Author ID1: at Wed Oct 4 23:47:00 2000 ] za pomocą połączenia telefonicznego wybranego z okna dialogowego logowania oraz lokalnym [Author ID1: at Wed Oct 4 23:47:00 2000 ]zalogowaniem się [Author ID1: at Wed Oct 4 23:47:00 2000 ]na komputerze-hoście lokalnie[Author ID1: at Wed Oct 4 23:47:00 2000 ],[Author ID1: at Wed Oct 4 23:47:00 2000 ] a następnie połączeniem się z serwerem usługi dostępu zdalnego (RAS server) za pomocą programu Telefon (D[Author ID1: at Wed Oct 4 23:48:00 2000 ]Dialer). W pierwszym przypadku zasady domeny (domain policy) będą stosowane do użytkownika i klienta, podczas gdy w drugim przypadku nie. Jeśli użytkownik loguje się zdalnie po raz pierwszy, komputer nie będzie miał zasad domeny (domain policy)[Author ID1: at Wed Oct 4 23:48:00 2000 ], o ile nie został skonfigurowany wstępnie jako członek domeny docelowej. Bez zasad domeny (domain policy)[Author ID1: at Wed Oct 4 23:48:00 2000 ]nich[Author ID1: at Wed Oct 4 23:48:00 2000 ],[Author ID1: at Wed Oct 4 23:48:00 2000 ] klient nie będzie w stanie uwierzytelnić serwera usługi dostępu zdalnego (RAS server), co spowoduje, że wstępni[Author ID1: at Wed Oct 4 23:48:00 2000 ]e uwierzytelnienie zakończy się niepowodzeniem. Sposobem rozwiązania tego problemu jest początkowe [Author ID1: at Wed Oct 4 23:49:00 2000 ]skonfigurowanie wstępne [Author ID1: at Wed Oct 4 23:49:00 2000 ]komputera-hosta lub zdalne logowanie interakcyjne (remote interactive logon).

Wdrażanie kart elektronicznych (smart cards)[Author ID1: at Wed Oct 4 23:49:00 2000 ]

Można nie mieć problemów z podłączaniem czytników kart elektronicznych, instalowaniem sterowników i uzyskiwaniem certyfikatów, m[Author ID1: at Wed Oct 4 23:49:00 2000 ]. M[Author ID1: at Wed Oct 4 23:50:00 2000 ]ożna znać podstawy teoretyczne i protokoły stosowane przy logowaniu się [Author ID1: at Wed Oct 4 23:49:00 2000 ]za pomocą kart elektronicznych (smart card logon), ale — [Author ID1: at Wed Oct 4 23:50:00 2000 ]. J[Author ID1: at Wed Oct 4 23:50:00 2000 ]j[Author ID1: at Wed Oct 4 23:50:00 2000 ]ak zwykle —[Author ID1: at Wed Oct 4 23:50:00 2000 ] problemy związane są nie z techniką, a [Author ID1: at Wed Oct 4 23:55:00 2000 ]lecz [Author ID1: at Wed Oct 4 23:55:00 2000 ]z ludźmi.

W systemie Windows 2000 występuje łącz[Author ID1: at Wed Oct 4 23:55:00 2000 ]nie [Author ID1: at Wed Oct 4 23:55:00 2000 ]możliwość łącznego [Author ID1: at Wed Oct 4 23:55:00 2000 ]zastosowania kart elektronicznych i technik zabezpieczeń z kluczem publicznym (public key technologies), więc korzystanie z nich jest opłacalne i nie ma konieczności stosowania zewnętrznego zarządzania certyfikatami lub kupowania kosztownego oprogramowania firmowego.

Rozważając wprowadzenie kart elektronicznych, należy odpowiedzieć sobie na kilka pytań:

• k[Author ID1: at Wed Oct 4 23:56:00 2000 ]K[Author ID1: at Wed Oct 4 23:56:00 2000 ]omu powinno wydawać się karty elektroniczne,[Author ID1: at Wed Oct 4 23:56:00 2000 ]?[Author ID1: at Wed Oct 4 23:56:00 2000 ]

• C[Author ID1: at Wed Oct 4 23:56:00 2000 ]c[Author ID1: at Wed Oct 4 23:56:00 2000 ]zyimi kartami i certyfikatami trzeba zarządzać,[Author ID1: at Wed Oct 4 23:56:00 2000 ]?[Author ID1: at Wed Oct 4 23:56:00 2000 ]

• J[Author ID1: at Wed Oct 4 23:56:00 2000 ]j[Author ID1: at Wed Oct 4 23:56:00 2000 ]ak należy wydawać karty elektroniczne,[Author ID1: at Wed Oct 4 23:56:00 2000 ]?[Author ID1: at Wed Oct 4 23:56:00 2000 ]

• J[Author ID1: at Wed Oct 4 23:56:00 2000 ]j[Author ID1: at Wed Oct 4 23:56:00 2000 ]aki sprzęt zgodny z systemem Windows 2000 i związany z kartami elektronicznymi (smart card)[Author ID1: at Wed Oct 4 23:57:00 2000 ] jest dostępny?

Wybór użytkowników kart elektronicznych (smart cards)

Zwykłym użytkownikom należy wydać karty elektroniczne (smart card) [Author ID1: at Wed Oct 4 23:57:00 2000 ], [Author ID1: at Wed Oct 4 23:57:00 2000 ]a nie hasła. Użytkownicy ci nie wykonują żadnych zadań zaawansowanych, takich jak dołączanie komputerów do domeny czy awansowanie serwera na kontroler domeny (domain controller), a stanowią znaczącą część załogi przedsiębiorstwa. Mogą to być pracownicy wykwalifikowani, dostawcy, kontrahenci i pozostali, którzy nie administrują komputerem ani siecią. Jest to grupa użytkowników, których hasła okazały się trudne do ochrony — zastosowanie kart elektronicznych (smart card) [Author ID1: at Wed Oct 4 23:58:00 2000 ]opłaca się, ponieważ nie będzie już konieczne zarządzanie hasłami użytkowników.

Członkowie grup administratorzy lub użytkownicy zaawansowani ([Author ID1: at Wed Oct 4 23:58:00 2000 ]Power Users lub A[Author ID1: at Wed Oct 4 23:59:00 2000 ]a[Author ID1: at Wed Oct 4 23:59:00 2000 ]dministrators or power users) [Author ID1: at Wed Oct 4 23:59:00 2000 ]nie powinni posługiwać się kartami elektronicznymi, ponieważ podejmują oni działania pociągające za sobą wtórne uwierzytelnianie, które wymaga podania nazwy użytkownika, nazwy domeny i hasła. W szczególności uwierzytelnianie za pomocą kart elektronicznych (smart card-based authentication) nie może być stosowane w następujących przypadkach[Author ID1: at Thu Oct 5 00:00:00 2000 ]sytuacjach, gdy[Author ID1: at Thu Oct 5 00:00:00 2000 ]:

• K[Author ID1: at Thu Oct 5 00:00:00 2000 ]k[Author ID1: at Thu Oct 5 00:00:00 2000 ]onieczne jest dołączenie komputera do domeny przez danego użytkownika,[Author ID1: at Thu Oct 5 00:00:00 2000 ].[Author ID1: at Thu Oct 5 00:00:00 2000 ]

• U[Author ID1: at Thu Oct 5 00:00:00 2000 ]u[Author ID1: at Thu Oct 5 00:00:00 2000 ]żytkownik wykonuje zadania administracyjne, takie jak awansowanie (promoting) serwera na kontroler domeny (domain controller),[Author ID1: at Thu Oct 5 00:00:00 2000 ].[Author ID1: at Thu Oct 5 00:00:00 2000 ]

• U[Author ID1: at Thu Oct 5 00:00:00 2000 ]u[Author ID1: at Thu Oct 5 00:00:00 2000 ]żytkownik konfiguruje połączenia sieciowe,[Author ID1: at Thu Oct 5 00:00:00 2000 ] aby można było korzystać z dostępu zdalnego.

W następnych wersjach system Windows 2000 będzie dawał możliwość korzystania w wyżej wymienionych przypadkach z uwierzytelniania za pomocą certyfikatów z kluczem publicznym (public key certificate).

Wskazówka: Chociaż członkowie grup [Author ID1: at Thu Oct 5 00:01:00 2000 ]Administratorzy[Author ID1: at Thu Oct 5 00:01:00 2000 ] lub [Author ID1: at Thu Oct 5 00:01:00 2000 ]Użytkownicy [Author ID1: at Thu Oct 5 00:01:00 2000 ]Zaawansowani[Author ID1: at Thu Oct 5 00:01:00 2000 ] ([Author ID1: at Thu Oct 5 00:01:00 2000 ]Administrators or [Author ID1: at Thu Oct 5 00:01:00 2000 ]Power [Author ID1: at Thu Oct 5 00:01:00 2000 ]Users) [Author ID1: at Thu Oct 5 00:01:00 2000 ]członkowie grup Administrators lub Power Users [Author ID1: at Thu Oct 5 00:01:00 2000 ]będą mieli konta zabezpieczone hasłem, które służą do wykonywania zadań administracyjnych, powinni również mieć konta jak zwykli [Author ID1: at Thu Oct 5 00:01:00 2000 ]zwy[Author ID1: at Thu Oct 5 00:01:00 2000 ]czajni [Author ID1: at Thu Oct 5 00:01:00 2000 ]użytkownicy, z dostępem uzyskiwanym być może za pomocą kart elektronicznych. Wykonując zadanie, [Author ID1: at Thu Oct 5 00:01:00 2000 ]np[Author ID1: at Thu Oct 5 00:02:00 2000 ].[Author ID1: at Thu Oct 5 00:01:00 2000 ] (na przykład [Author ID1: at Thu Oct 5 00:02:00 2000 ]drukując sprawozdanie)[Author ID1: at Thu Oct 5 00:02:00 2000 ], które nie wymaga uprawnień administracyjnych, nie należy logować się jako użytkownik uprzywilejowany. Jeśli użytkownik jest zalogowany na konto administracyjne, wtedy zwiększa się ryzyko ataków, które nie są możliwe, gdy dany użytkownik wyloguje się z tego konta. Trzeba ograniczyć do niezbędnego minimum czas korzystania z konta administratora.

Ustawianie zasad używania kart elektronicznych (smart cards[Author ID1: at Thu Oct 5 00:02:00 2000 ] policies)

Poniżej opisano ustawianie zasad (policies[Author ID1: at Thu Oct 5 00:02:00 2000 ]y[Author ID1: at Thu Oct 5 00:02:00 2000 ] settings[Author ID1: at Thu Oct 5 00:02:00 2000 ]) dotyczących używania kart elektronicznych (smart cards) w obrębie domeny systemu Windows 2000. [Author ID1: at Thu Oct 5 00:02:00 2000 ]

Logowanie interakcyjne wymaga karty elektronicznej (S[Author ID1: at Thu Oct 5 00:03:00 2000 ]s[Author ID1: at Thu Oct 5 00:03:00 2000 ]mart C[Author ID1: at Thu Oct 5 00:03:00 2000 ]c[Author ID1: at Thu Oct 5 00:03:00 2000 ]ard r[Author ID1: at Thu Oct 5 00:03:00 2000 ]R[Author ID1: at Thu Oct 5 00:03:00 2000 ]equired for Interactive l[Author ID1: at Thu Oct 5 00:03:00 2000 ]L[Author ID1: at Thu Oct 5 00:03:00 2000 ]ogon p[Author ID1: at Thu Oct 5 00:03:00 2000 ]P[Author ID1: at Thu Oct 5 00:03:00 2000 ]olicy)

W systemie Windows 2000 istnieją zasady kont (account policies[Author ID1: at Thu Oct 5 00:03:00 2000 ]y[Author ID1: at Thu Oct 5 00:03:00 2000 ]) dla konkretnych użytkowników, które stanowią[Author ID1: at Thu Oct 5 00:03:00 2000 ]narzucają konieczność[Author ID1: at Thu Oct 5 00:03:00 2000 ] karty elektronicznej[Author ID1: at Thu Oct 5 00:04:00 2000 ], że[Author ID1: at Thu Oct 5 00:04:00 2000 ] do logowania interakcyjnego konieczna jest kart[Author ID1: at Thu Oct 5 00:04:00 2000 ]a elektroniczna[Author ID1: at Thu Oct 5 00:04:00 2000 ]. Jeśli ta zasada jest ustanowiona dla danego konta, to użytkownik nie może zalogować się,[Author ID1: at Thu Oct 5 00:04:00 2000 ] korzystając z hasła ani interakcyjnie,[Author ID1: at Thu Oct 5 00:04:00 2000 ] ani za pomocą wiersza poleceń. Zasada (policy) ta nie dotyczy logowania w przypadku dostępu zdalnego, ponieważ w tym przypadku[Author ID1: at Thu Oct 5 00:04:00 2000 ]wówczas[Author ID1: at Thu Oct 5 00:04:00 2000 ] stosowane są inne zasady (policy) [Author ID1: at Thu Oct 5 00:04:00 2000 ]skonfigurowane na serwerze usługi dostępu zdalnego (remote access server). Powyższa zasada powinna być ustawiona dla zwykłych użytkowników, którzy do logowania się [Author ID1: at Thu Oct 5 00:05:00 2000 ]do domeny systemu Windows 2000 używają kart elektronicznych.

Zasada ta nie będzie ustanawiana dla[Author ID1: at Thu Oct 5 00:05:00 2000 ]o[Author ID1: at Thu Oct 5 00:05:00 2000 ] członków grup administratorzy lub użytkownicy zaawansowani[Author ID1: at Thu Oct 5 00:05:00 2000 ]Administrators i Power Users[Author ID1: at Thu Oct 5 00:05:00 2000 ], którzy w celu wykonania zadań administracyjnych muszą zostać uwierzytelnieni na podstawie hasła podanego przy logowaniu.

Rozwiązania pokrewne [Author ID1: at Thu Oct 5 00:05:00 2000 ]: [Author ID1: at Thu Oct 5 00:05:00 2000 ] [Author ID1: at Thu Oct 5 00:06:00 2000 ]zobacz na stronie:

Zarządzanie zasadami grupowymi

Podczas usuwania karty elektronicznej (o[Author ID1: at Thu Oct 5 00:06:00 2000 ]O[Author ID1: at Thu Oct 5 00:06:00 2000 ]n S[Author ID1: at Thu Oct 5 00:06:00 2000 ]s[Author ID1: at Thu Oct 5 00:06:00 2000 ]mart c[Author ID1: at Thu Oct 5 00:06:00 2000 ]C[Author ID1: at Thu Oct 5 00:06:00 2000 ]ard R[Author ID1: at Thu Oct 5 00:06:00 2000 ]r[Author ID1: at Thu Oct 5 00:06:00 2000 ]emoval (Podczas usuwania karty elektronicznej[Author ID1: at Thu Oct 5 00:06:00 2000 ])

Kiedy użytkownik odchodzi od komputera, na którym jest zalogowany, powinien albo wylogować się albo zablokować (lock) komputer. Jeśli użytkownik tego nie zrobi,[Author ID1: at Thu Oct 5 00:06:00 2000 ] a nie będzie wygaszacza ekranu, skonfigurowanego w ten sposób, by blokował dany komputer, to wtedy [Author ID1: at Thu Oct 5 00:07:00 2000 ]wówczas [Author ID1: at Thu Oct 5 00:07:00 2000 ]sieć jest [Author ID1: at Thu Oct 5 00:07:00 2000 ]zostanie [Author ID1: at Thu Oct 5 00:07:00 2000 ]narażona jest [Author ID1: at Thu Oct 5 00:07:00 2000 ]na atak kogoś, kto ma wszystkie prawa, ale nie tożsamość, zalogowanego aktualnie użytkownika. Częściej zdarza się, że w instytucjach, w których jest więcej użytkowników niż komputerów, inny użytkownik bez wrogich zamiarów może siąść przy komputerze i wnieść poprawki do pliku poprzedniego użytkownika, będąc przekonanym, że korzysta ze swojego pliku.

Zasada (policy) Podczas usuwania karty elektronicznej (On smart card removal) [Author ID1: at Thu Oct 5 00:08:00 2000 ]jest zasadą ustanawianą dla konkretnego komputera lokalnego, podczas gdy zasada (policy) [Author ID0: at Thu Nov 30 00:00:00 1899 ]Do zalogowania się w trybie dialogowym wymagana jest karta elktroniczna[Author ID2: at Thu Oct 5 06:26:00 2000 ]elektroniczna[Author ID1: at Thu Oct 5 06:26:00 2000 ] (SS[Author ID1: at Thu Oct 5 00:09:00 2000 ]mart card r[Author ID1: at Thu Oct 5 00:09:00 2000 ]R[Author ID1: at Thu Oct 5 00:09:00 2000 ]equired for interactive logon) jest ustanawiana dla konkretnego konta. Zasadę tę[Author ID1: at Thu Oct 5 00:09:00 2000 ]ą[Author ID1: at Thu Oct 5 00:09:00 2000 ] należy stosować w przypadku komputerów ogólnodostępnych (open floor or kiosk environment) lub w szkołach, gdzie na jeden komputer przypada więcej niż jeden uczeń. W sytuacji, w której dla danego użytkownika przeznaczono jeden lub kilka komputerów wyłącznie do jego dyspozycji, zasada (policy) ta nie musi być ustanawiana.

Rozwiązywanie problemów związanych z kartami elektronicznymi (smart cards[Author ID1: at Thu Oct 5 00:09:00 2000 ])

Ilu jest użytkowników kart elektronicznych,[Author ID1: at Thu Oct 5 00:09:00 2000 ] (smart card) [Author ID1: at Thu Oct 5 00:09:00 2000 ]tyle prawdopodobnie pojawi się problemów związanych z tymi kartami. Wspomniane tu zostaną tylko te, które występują najczęściej. Niewielkim pocieszeniem dla administratora może być fakt, że obecnie pojawia się mniej problemów niż 10,[Author ID1: at Thu Oct 5 00:10:00 2000 ] a nawet 5 lat temu. Ludzie przyzwyczaili się do korzystania z kart kredytowych czy bankomatowych i numerów PIN, więc problemów z tym [Author ID1: at Thu Oct 5 00:10:00 2000 ]związanych z tym pr[Author ID1: at Thu Oct 5 00:10:00 2000 ]oblemów [Author ID1: at Thu Oct 5 00:10:00 2000 ]powinno już [Author ID1: at Thu Oct 5 00:10:00 2000 ]być już [Author ID1: at Thu Oct 5 00:10:00 2000 ]mniej. Ale ludzie są tylko ludźmi...

Użytkownik pozostawił kartę w domu

Co stanie się, kiedy użytkownik zapomni zabrać swoją kartę z domu? Jest kilka sposobów,[Author ID1: at Thu Oct 5 00:10:00 2000 ] aby poradzić sobie w takiej sytuacji. Najczęściej stosowane są dwa:

• W[Author ID1: at Thu Oct 5 00:11:00 2000 ]w[Author ID1: at Thu Oct 5 00:11:00 2000 ]ydanie tymczasowej karty elektronicznej (temporary smart card) z certyfikatem, który ma krótki okres ważności (zwykle jest to jeden dzień),[Author ID1: at Thu Oct 5 00:11:00 2000 ].[Author ID1: at Thu Oct 5 00:11:00 2000 ]

• s[Author ID1: at Thu Oct 5 00:11:00 2000 ]S[Author ID1: at Thu Oct 5 00:11:00 2000 ]konfigurowanie kont użytkowników, aby można było uzyskać dostęp do nich za pomocą haseł i udostępnienie hasła użytkownikowi, który zapomniał swojej karty. Później należy zmienić hasło. W przypadku zastosowania tej metody nie należy ustanawiać zasady (policy) Do zalogowania się w trybie dialogowym wymagana jest karta elektroniczna (Smart card R[Author ID1: at Thu Oct 5 00:11:00 2000 ]r[Author ID1: at Thu Oct 5 00:11:00 2000 ]equired for interactive logon).

Użytkownik zapomniał numeru PIN

W tym przypadku konieczny jest nowy certyfikat karty elektronicznej (smart card certificate) [Author ID1: at Thu Oct 5 00:11:00 2000 ]i nowy numer PIN. Należy również upewnić się, czy stary certyfikat karty elektronicznej znajduje się na Liście Odwołań Certyfikatów (Certificate Revocation List-[Author ID1: at Thu Oct 5 00:11:00 2000 ]CRL). W przyszłości w coraz większej liczbie kart elektronicznych zamiast numeru PIN będą stosowane dane biometryczne, na [Author ID1: at Thu Oct 5 00:12:00 2000 ]przykład[Author ID1: at Thu Oct 5 00:12:00 2000 ].[Author ID1: at Thu Oct 5 00:12:00 2000 ] linie papilarne, geometria dłoni,[Author ID1: at Thu Oct 5 00:12:00 2000 ] itp.

Użytkownik udostępnił numer PIN osobie postronnej

Osoba mająca wrogie zamiary, w przypadku uzyskania numeru PIN stanowi mniejsze zagrożenie, niż gdyby weszła w posiadanie hasła, ponieważ oprócz numeru PIN konieczne jest posiadanie karty elektronicznej (smart card)[Author ID1: at Thu Oct 5 00:13:00 2000 ]. Prawdziwe zagrożenie stanowi osoba mająca wrogie zamiary, która,[Author ID1: at Thu Oct 5 00:13:00 2000 ] być może przemocą,[Author ID1: at Thu Oct 5 00:13:00 2000 ] uzyskała i jedno,[Author ID1: at Thu Oct 5 00:13:00 2000 ] i drugie. Na razie jedyne, co można zrobić, aby uniknąć takiej sytuacji, to nadawanie użytkownikom tylko takich praw i uprawnień, jakie są im niezbędnie konieczne. W przyszłości rozwiązaniem będzie korzystanie z danych biometrycznych.

Użytkownik wyciągnął kartę z czytnika przed zakończeniem operacji

Na szczęście nowoczesne karty elektroniczne (smart cards) [Author ID1: at Thu Oct 5 00:14:00 2000 ]mają specjalne zabezpieczenia (przeciw ciągnięciu — [Author ID1: at Thu Oct 5 00:15:00 2000 ]antipulling, nierozrywaln[Author ID1: at Thu Oct 5 00:15:00 2000 ]e [Author ID1: at Thu Oct 5 00:15:00 2000 ]— [Author ID1: at Thu Oct 5 00:16:00 2000 ]antitearing), chroniące pamięć karty elektronicznej, jeśli karta zostanie wyciągnięta z czytnika przed zakończeniem wszystkich operacji.

Problemy związane z numerem PIN

Hasła mają swoją słabą stronę, ponieważ użytkownicy wybierają takie, które mają być łatwe do zapamiętania. Numer PIN, który jest łatwy do zapamiętania, nie powoduje poważnych problemów z kilku powodów:

• k[Author ID1: at Thu Oct 5 00:16:00 2000 ]K[Author ID1: at Thu Oct 5 00:16:00 2000 ]arta elektroniczna jest blokowana po kilku kolejnych próbach wprowadzenia błędnego numeru PIN,[Author ID1: at Thu Oct 5 00:17:00 2000 ].[Author ID1: at Thu Oct 5 00:17:00 2000 ]

• N[Author ID1: at Thu Oct 5 00:17:00 2000 ]n[Author ID1: at Thu Oct 5 00:17:00 2000 ]umer nigdy nie jest przesyłany poprzez sieć w żadnej postaci,[Author ID1: at Thu Oct 5 00:17:00 2000 ].[Author ID1: at Thu Oct 5 00:17:00 2000 ]

• A[Author ID1: at Thu Oct 5 00:17:00 2000 ]a[Author ID1: at Thu Oct 5 00:17:00 2000 ]tak metodą powtórzenia (replay attack) jest niezwykle trudny do przeprowadzenia, ponieważ wymaga wejścia w [Author ID1: at Thu Oct 5 00:17:00 2000 ]posiadania[Author ID1: at Thu Oct 5 00:17:00 2000 ]e[Author ID1: at Thu Oct 5 00:17:00 2000 ] karty,[Author ID1: at Thu Oct 5 00:17:00 2000 ].[Author ID1: at Thu Oct 5 00:17:00 2000 ]

• w[Author ID1: at Thu Oct 5 00:17:00 2000 ]W[Author ID1: at Thu Oct 5 00:17:00 2000 ] przypadku kart elektronicznych nie jest możliwe przeprowadzenie ataku słownikowego (dictionary attack).

Częste zmiany numeru PIN nie są konieczne, ponieważ karty zostały odpowiednio zaprojektowane i rodzaje ataków ich nie dotyczą. W praktyce użytkownik nie może zmieniać swojego numeru PIN z taką łatwością i częstotliwościa[Author ID2: at Thu Oct 5 06:27:00 2000 ]częstotliwością[Author ID1: at Thu Oct 5 06:27:00 2000 ], jak to jest w przypadku hasła. Numery PIN mogą być zmieniane wyłącznie jeśli wykonywana jest operacja z zastosowaniem klucza prywatnego (private key operation),[Author ID1: at Thu Oct 5 00:17:00 2000 ] a administrator rejestruje się w celu uzyskania certyfikatu karty elektronicznej w imieniu użytkownika. Ograniczenie to występuje z powodu braku standardów zarządzania numerami PIN w systemach operacyjnych korzystających z kart elektronicznych i obecnie nie ma innego wyjścia.

Jak już wspominano wcześniej w niniejszym rozdziale, numery PIN zanikną w przyszłości. Rozwój biometrii dostarczy technik opartych na cechach fizycznych użytkownika,[Author ID1: at Thu Oct 5 00:18:00 2000 ] takich jak linie papilarne, geometria dłoni, badanie tęczówki czy rozpoznawanie głosu (voice print). Odpowiednia technologia jest już dostępna, ograniczeniem są obecnie koszty.

Wydawanie kart elektronicznych

Ponieważ karta elektroniczna jest identyfikatorem zaufanym, podobnie jak identyfikator pracownika (employee badge), w wielu firmach wydaje się tylko ten drugi [Author ID1: at Thu Oct 5 00:18:00 2000 ]identyfikator pracownika (employee badge)[Author ID1: at Thu Oct 5 00:18:00 2000 ], spełniający również rolę karty elektronicznej (smart card). Uzyskanie identyfikatora (badge) [Author ID1: at Thu Oct 5 00:19:00 2000 ]wymaga odwiedzenia działu ochrony (security office), gdzie dany pracownik potwierdza swoją tożsamość. Identyfikator będzie zawierać certyfikat karty elektronicznej (smart card certificate) wydany danemu pracownikowi przez firmę.

W takim przypadku dział ochrony (security office)[Author ID1: at Thu Oct 5 00:19:00 2000 ], a dokładniej mówiąc użytkownik, mający prawa administratora w ramach tego działu, spełnia funkcje jednostki rejestrującej użytkowników (registration authority), rejestrując się w imieniu pracownika (enroll-on-behalf operation), a następnie instalując certyfikat na identyfikatorze pracownika, wykonanym w technologii kart elektronicznych (smart card). Operacja taka stanowi część interfejsu rejestrowania w sieci Web (Web enrollment interface) usługi j[Author ID1: at Thu Oct 5 00:19:00 2000 ]J[Author ID1: at Thu Oct 5 00:19:00 2000 ]ednostka certyfikująca (CA),[Author ID1: at Thu Oct 5 00:19:00 2000 ] wchodzącej w skład systemów Windows 2000 Server i Windows 2000 Advanced Server.

Decyzję zintegrowania zabezpieczeń za pomocą kart elektronicznych z identyfikatorami pracowników (employee[Author ID1: at Thu Oct 5 00:20:00 2000 ] badge) [Author ID1: at Thu Oct 5 00:20:00 2000 ] [Author ID1: at Thu Oct 5 00:20:00 2000 ]należy podjąć,[Author ID1: at Thu Oct 5 00:20:00 2000 ] biorąc pod uwagę wymagania przedsiębiorstwa, znajdując równowagę pomiędzy potrzebą większego bezpieczeństwa a użytecznością zastosowanego rozwiązania.

Zabezpieczanie stacji rejestrowania kart elektronicznych (smart card enrollment station)

W każdej organizacji musi istnieć stacja rejestrowania kart elektronicznych (smart card enrollment station), która wykonuje operacje rejestrowania się w imieniu użytkowników (enroll-on-behalf) i wydaje certyfikaty kart elektronicznych. Użytkownicy nie mogą rejestrować się (enroll) [Author ID1: at Thu Oct 5 00:20:00 2000 ]w celu uzyskania certyfikatów kart elektronicznych (smart card certificates) wydanych[Author ID1: at Thu Oct 5 00:20:00 2000 ]e[Author ID1: at Thu Oct 5 00:20:00 2000 ] przez usługę j[Author ID1: at Thu Oct 5 00:20:00 2000 ]J[Author ID1: at Thu Oct 5 00:20:00 2000 ]ednostka certyfikująca (CA) systemu Windows 2000. Jeśli nie zmodyfikowano uprawnień dostępu w ten sposób, by inni użytkownicy godni zaufania mieli możliwość rejestrowania się,[Author ID1: at Thu Oct 5 00:21:00 2000 ] (enroll) [Author ID1: at Thu Oct 5 00:21:00 2000 ]to dostęp do certyfikatów kart elektronicznych (smart card certificates)[Author ID1: at Thu Oct 5 00:21:00 2000 ] mają tylko administratorzy domeny. Jeśli tak nie jest, a użytkownik odejdzie od komputera bez wylogowania się lub zablokowania go, to ktoś mógłby skorzystać z danej sesji logowania i zarejestrować się (enroll for) [Author ID1: at Thu Oct 5 00:21:00 2000 ]w celu uzyskania certyfikatu karty elektronicznej,[Author ID1: at Thu Oct 5 00:21:00 2000 ] występując jako zalogowany użytkownik.

Aby obsługiwać stację rejestrowania kart elektronicznych (smart card[Author ID1: at Thu Oct 5 00:21:00 2000 ] enrollment station) [Author ID1: at Thu Oct 5 00:21:00 2000 ]systemu Windows 2000, trzeba uzyskać autoryzację jako A[Author ID1: at Thu Oct 5 00:21:00 2000 ]a[Author ID1: at Thu Oct 5 00:21:00 2000 ]gent rejestrowania (enrollment agent). W tym celu jednostka certyfikująca (CA) [Author ID1: at Thu Oct 5 00:21:00 2000 ]może wydać certyfikat agenta rejestrowania (Enrollment agent) [Author ID1: at Thu Oct 5 00:21:00 2000 ]wprost dla rejestrowania się w imieniu użytkownika w celu uzyskania certyfikatów (enroll-on-behalf operation). Jest to certyfikat dający największe uprawnienia, ponieważ użytkownik z certyfikatem agenta rejestrowania (enrollment agent) [Author ID1: at Thu Oct 5 00:22:00 2000 ]może zarejestrować się dla uzyskania[Author ID1: at Thu Oct 5 00:22:00 2000 ]enroll for[Author ID1: at Thu Oct 5 00:23:00 2000 ] certyfikató[Author ID1: at Thu Oct 5 00:23:00 2000 ]w[Author ID1: at Thu Oct 5 00:23:00 2000 ]y[Author ID1: at Thu Oct 5 00:23:00 2000 ] kart elektronicznych dowolnego użytkownika domeny, łącznie z administratorem.

Jak w przypadku wszystkich zagadnień związanych z bezpieczeństwem,[Author ID1: at Thu Oct 5 00:23:00 2000 ] należy znaleźć równowagę pomiędzy poziomem zabezpieczeń a użytecznością. W przypadku wydawania kart elektronicznych pracownikom wielkiej firmy może zajść konieczność zarejestrowania się w imieniu kilku tysięcy użytkowników w krótkim okresie [Author ID1: at Thu Oct 5 00:23:00 2000 ]czasu[Author ID1: at Thu Oct 5 00:23:00 2000 ]ie[Author ID1: at Thu Oct 5 00:23:00 2000 ]. W takim przypadku [Author ID1: at Thu Oct 5 00:23:00 2000 ]tej sytuacji [Author ID1: at Thu Oct 5 00:23:00 2000 ]najważniejsze jest delegowanie. Jednak po wydaniu kart elektronicznych wielkiej liczbie użytkowników rejestrowanie się (enrolling) w imieniu użytkownika będzie wykonywane sporadycznie. Dlatego można podjąć pewne działania zabezpieczające stację rejestrowania kart elektronicznych (smart card enrollment station):

• N[Author ID1: at Thu Oct 5 00:24:00 2000 ]n[Author ID1: at Thu Oct 5 00:24:00 2000 ]adać prawo rejestrowania się w czyimś imieniu (enroll-on-behalf right) jak najmniejszej liczbie użytkowników zaufanych (trusted users),[Author ID1: at Thu Oct 5 00:24:00 2000 ].[Author ID1: at Thu Oct 5 00:24:00 2000 ]

• U[Author ID1: at Thu Oct 5 00:24:00 2000 ]u[Author ID1: at Thu Oct 5 00:24:00 2000 ]nieważnić to prawo skoro [Author ID1: at Thu Oct 5 00:24:00 2000 ], gdy [Author ID1: at Thu Oct 5 00:24:00 2000 ]tylko zakończy się masowe rejestrowanie,[Author ID1: at Thu Oct 5 00:24:00 2000 ].[Author ID1: at Thu Oct 5 00:24:00 2000 ]

• W[Author ID1: at Thu Oct 5 00:25:00 2000 ]w[Author ID1: at Thu Oct 5 00:25:00 2000 ]yłączyć w jednostce certyfikującej (CA) wydawanie certyfikatów agenta rejestrowania (e[Author ID1: at Thu Oct 5 00:25:00 2000 ]E[Author ID1: at Thu Oct 5 00:25:00 2000 ]nrollment agent), o ile ten typ certyfikatu nie jest konieczny,[Author ID1: at Thu Oct 5 00:25:00 2000 ].[Author ID1: at Thu Oct 5 00:25:00 2000 ]

• U[Author ID1: at Thu Oct 5 00:25:00 2000 ]u[Author ID1: at Thu Oct 5 00:25:00 2000 ]aktywnij[Author ID1: at Thu Oct 5 00:25:00 2000 ]ć[Author ID1: at Thu Oct 5 00:25:00 2000 ] inspekcję (auditing) i upewnij[Author ID1: at Thu Oct 5 00:25:00 2000 ]ć[Author ID1: at Thu Oct 5 00:25:00 2000 ] się,[Author ID1: at Thu Oct 5 00:25:00 2000 ] czy za każdym razem, kiedy korzysta się z prawa rejestrowania się [Author ID1: at Thu Oct 5 00:25:00 2000 ]w imieniu innego użytkownika (enroll on behalf) [Author ID1: at Thu Oct 5 00:25:00 2000 ]wysyłane są odpowiednie komunikaty,[Author ID1: at Thu Oct 5 00:25:00 2000 ]. [Author ID1: at Thu Oct 5 00:25:00 2000 ]

• u[Author ID1: at Thu Oct 5 00:25:00 2000 ]U[Author ID1: at Thu Oct 5 00:25:00 2000 ]twó[Author ID1: at Thu Oct 5 00:25:00 2000 ]o[Author ID1: at Thu Oct 5 00:25:00 2000 ]rzyć[Author ID1: at Thu Oct 5 00:25:00 2000 ] jednostkę certyfikującą (CA) [Author ID1: at Thu Oct 5 00:25:00 2000 ]wyłącznie do wydawania certyfikatów agenta rejestrowania (enrollment agent) i upewnić[Author ID1: at Thu Oct 5 00:25:00 2000 ]j[Author ID1: at Thu Oct 5 00:25:00 2000 ] się, czy ta jednostka certyfikująca (CA) [Author ID1: at Thu Oct 5 00:26:00 2000 ]normalnie znajduje się w stanie offline. Ten środek ostrożności jest stosowany w wielkich instytucjach lub w takich, w których niezbędny jest wysoki stopień zabezpieczeń.

Umieszczanie aplikacji na kartach elektronicznych (smart cards)

Na kartach elektronicznych oprócz certyfikatów można umieszczać aplikacje,[Author ID1: at Thu Oct 5 00:27:00 2000 ] przystosowane odpowiednio dla użytkownika danej karty. Istnieją jednak pewne ograniczenia. Zwykle na karcie elektronicznej można zapisać od 2 kB do 8 kB danych, chociaż niektóre mogą pomieścić 16 kB. Należy zachować ostrożność, gdyż[Author ID1: at Thu Oct 5 00:29:00 2000 ] —[Author ID1: at Thu Oct 5 00:29:00 2000 ] niektórzy dostawcy podają pojemność nie w kilobajtach,[Author ID1: at Thu Oct 5 00:29:00 2000 ] a w kilobitach. Na karcie będzie zapisany tylko pojedynczy certyfikat (obecnie nie ma możliwości zapisania wielu certyfikatów),[Author ID1: at Thu Oct 5 00:29:00 2000 ] a producenci często ograniczają rozmiar pamięci dostępnej dla jednej aplikacji, aby na danej karcie można było umieścić kilka aplikacji lub usług.

Architektura kart elektronicznych dla systemu[Author ID1: at Thu Oct 5 00:30:00 2000 ]Smart Card for[Author ID1: at Thu Oct 5 00:30:00 2000 ] Windows została zaprojektowana w ten sposób, by w komputerach osobistych można było korzystać z kart elektronicznych (smart card) [Author ID1: at Thu Oct 5 00:30:00 2000 ]z 8 kB pamięci ROM. Jako narzędzia do tworzenia aplikacji stosowane są Visual Basic oraz Visual C++. Architektura ta została opracowana przez grupę roboczą PC/SC, tak więc każdy czytnik zgodny z tym standardem może odczytywać karty elektroniczne (smart cards) [Author ID1: at Thu Oct 5 00:31:00 2000 ]przeznaczone dla systemu Windows. Jednak architektura kart elektronicznych dla systemu Windows [Author ID1: at Thu Oct 5 00:31:00 2000 ]Smart Card for Windows [Author ID1: at Thu Oct 5 00:31:00 2000 ]nie jest jedyną platformą rozwijania systemów, w których korzysta się z kart elektronicznych. Także[Author ID1: at Thu Oct 5 00:32:00 2000 ] (smart cards) ani[Author ID1: at Thu Oct 5 00:32:00 2000 ] grupa zadaniowa PC/SC nie jest jedyną grupą opracowującą standardy w tej dziedzinie. Standardy Java Cards i OCF opisane są w dalszej części niniejszego rozdziału.

Wskazówka: Tworzenie aplikacji korzystających z kart elektronicznych (smart cards) i związane z tym problemy opisano dokładnie w następnych trzech podrozdziałach. Wzrost liczby zastosowań kart elektronicznych jest wykładniczy [Author ID1: at Thu Oct 5 00:32:00 2000 ]wykładnią [Author ID1: at Thu Oct 5 00:32:00 2000 ]i przewiduje się, że w roku 2004 liczba kart elektronicznych (smart cards) [Author ID1: at Thu Oct 5 00:32:00 2000 ]znajdujących się w obiegu osiągnie trzy miliardy. Daje to duże możliwości zatrudnienia programującym w języku Visual Basic, Visual C++ lub Java [Author ID1: at Thu Oct 5 00:37:00 2000 ], lub tych[Author ID1: at Thu Oct 5 00:37:00 2000 ]albo tym[Author ID1: at Thu Oct 5 00:37:00 2000 ], którzy chcą się tym zająć[Author ID1: at Thu Oct 5 00:37:00 2000 ]zacząć programowanie[Author ID1: at Thu Oct 5 00:37:00 2000 ].

Zastosowanie pakietu Smart Card Software Development Kit

Pakiet Smart Card Software Development Kit jest częścią pakietu Platform [Author ID1: at Thu Oct 5 00:40:00 2000 ]platformy [Author ID1: at Thu Oct 5 00:40:00 2000 ]SDK firmy Microsoft. Pakiet Platform SDK [Author ID1: at Thu Oct 5 00:40:00 2000 ]ten [Author ID1: at Thu Oct 5 00:40:00 2000 ]zawiera programy narzędziowe i interfejsy API niezbędne do tworzenia aplikacji systemu Windows, korzystające[Author ID1: at Thu Oct 5 00:41:00 2000 ]ych[Author ID1: at Thu Oct 5 00:41:00 2000 ] z kart elektronicznych.

Pakiet Platform [Author ID1: at Thu Oct 5 00:41:00 2000 ]platformy [Author ID1: at Thu Oct 5 00:41:00 2000 ]SDK można zainstalować w następujący sposób:

1. Przejdź na stronę http://msdn.microsoft.com/developer/sdk/paltfor,asp.

2. Przeczytaj zamieszczony tam [Author ID1: at Thu Oct 5 00:41:00 2000 ]spis treści znajdujący się na tej stronie[Author ID1: at Thu Oct 5 00:41:00 2000 ]. Szczegółowe informacje o poszczególnych składnikach można uzyskać,[Author ID1: at Thu Oct 5 00:41:00 2000 ] klikając odpowiednie łącze (link).

3. Kliknij opcję[Author ID1: at Thu Oct 5 07:25:00 2000 ]e[Author ID2: at Thu Oct 5 07:25:00 2000 ] Instalowanie Pakietu Platform [Author ID1: at Thu Oct 5 00:42:00 2000 ]Platformy [Author ID1: at Thu Oct 5 00:42:00 2000 ]SDK (PP[Author ID1: at Thu Oct 5 00:42:00 2000 ]latform SDK S[Author ID1: at Thu Oct 5 00:42:00 2000 ]Setup).

4. Wybierz opcję [Author ID1: at Thu Oct 5 00:42:00 2000 ]pozycję [Author ID1: at Thu Oct 5 00:42:00 2000 ]Instalacja Niestandardowa (C[Author ID1: at Thu Oct 5 00:42:00 2000 ]Custom II[Author ID1: at Thu Oct 5 00:42:00 2000 ]nstall). Umożliwi to zainstalowanie środowiska do tworzenia aplikacji, programów przykładowych, dokumentacji i dodatkowych narzędzi programistycznych.

Wskazówka: Więcej informacji o kartach elektronicznych, a szczególnie strona FAQ (Frequently Asked Questions) oraz informacje dla programistów można uzyskać pod adresem www.microsoft.com/security/tech/smartcards/ i korzystając z zamieszczonych tam łączy (links[Author ID1: at Thu Oct 5 00:43:00 2000 ]).

Pakiet Smart Card SDK zawiera następujące interfejsy COM (Component Object Model interfaces):

• IbyteBuffer — [Author ID1: at Thu Oct 5 00:43:00 2000 ]D[Author ID1: at Thu Oct 5 00:43:00 2000 ]d[Author ID1: at Thu Oct 5 00:43:00 2000 ]o obsługi obiektu typu strumień (stream object),[Author ID1: at Thu Oct 5 00:43:00 2000 ].[Author ID1: at Thu Oct 5 00:43:00 2000 ]

• ISCard — O[Author ID1: at Thu Oct 5 00:43:00 2000 ]o[Author ID1: at Thu Oct 5 00:43:00 2000 ]twiera i zarządza połączeniem z kartą elektroniczną (smart card),[Author ID1: at Thu Oct 5 00:43:00 2000 ].[Author ID1: at Thu Oct 5 00:43:00 2000 ]

• ISCardCmd — W[Author ID1: at Thu Oct 5 00:43:00 2000 ]w[Author ID1: at Thu Oct 5 00:43:00 2000 ]ykonuje operacje na bazie danych Menedżera Zasobów Karty Elektronicznej (S[Author ID1: at Thu Oct 5 00:43:00 2000 ]Smart C[Author ID1: at Thu Oct 5 00:43:00 2000 ]Card RR[Author ID1: at Thu Oct 5 00:43:00 2000 ]esource M[Author ID1: at Thu Oct 5 00:43:00 2000 ]Manager),[Author ID1: at Thu Oct 5 00:43:00 2000 ].[Author ID1: at Thu Oct 5 00:43:00 2000 ]

• ISCardFileAccess — w[Author ID1: at Thu Oct 5 00:43:00 2000 ]W[Author ID1: at Thu Oct 5 00:43:00 2000 ]ykonuje najczęściej spotykane usługi związane z plikami, takie jak znajdowanie (locating), wybieranie (selecting), odczytywanie z pliku, zapisywanie do pliku, tworzenie i usuwanie plików,[Author ID1: at Thu Oct 5 00:43:00 2000 ].[Author ID1: at Thu Oct 5 00:43:00 2000 ]

• ISCardISO7816 — t[Author ID1: at Thu Oct 5 00:44:00 2000 ]T[Author ID1: at Thu Oct 5 00:44:00 2000 ]worzy polecenie protokołu APDU (Application Protocol Data Unit),[Author ID1: at Thu Oct 5 00:44:00 2000 ].[Author ID1: at Thu Oct 5 00:44:00 2000 ]

• ISCardLocate — l[Author ID1: at Thu Oct 5 00:44:00 2000 ]L[Author ID1: at Thu Oct 5 00:44:00 2000 ]okalizuje kartę elektroniczną,[Author ID1: at Thu Oct 5 00:44:00 2000 ].[Author ID1: at Thu Oct 5 00:44:00 2000 ]

• ISCardManage — z[Author ID1: at Thu Oct 5 00:44:00 2000 ]Z[Author ID1: at Thu Oct 5 00:44:00 2000 ]arządza systemem kart elektronicznych,[Author ID1: at Thu Oct 5 00:44:00 2000 ].[Author ID1: at Thu Oct 5 00:44:00 2000 ]

• ISCardTypeConv — Z[Author ID1: at Thu Oct 5 00:44:00 2000 ]z[Author ID1: at Thu Oct 5 00:44:00 2000 ]amienia typy danych i zarządza obiektami IStream,[Author ID1: at Thu Oct 5 00:44:00 2000 ].[Author ID1: at Thu Oct 5 00:44:00 2000 ]

• ISCardVerify — P[Author ID1: at Thu Oct 5 00:44:00 2000 ]p[Author ID1: at Thu Oct 5 00:44:00 2000 ]otwierdza lub zmienia zasady (policies[Author ID1: at Thu Oct 5 00:44:00 2000 ]y[Author ID1: at Thu Oct 5 00:44:00 2000 ]) Card Holder Verification (CHV).

IbyteBuffer

Interfejs IbyteBuffer służy do odczytu, zapisywania i zarządzania obiektami typu S[Author ID1: at Thu Oct 5 00:45:00 2000 ]s[Author ID1: at Thu Oct 5 00:45:00 2000 ]trumień (stream objects). Obiekt ten jest zasadniczo interfejsem obiektowym (wrapper) obiektu Istream. Nie ma żadnych obowiązujących procedur dotyczących stosowania tego [Author ID1: at Thu Oct 5 00:45:00 2000 ]interfejsu IbyteBuffer[Author ID1: at Thu Oct 5 00:45:00 2000 ]. Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint1_86uq.htm

ISCard

Interfejs ISCard jest używany do otwierania i zarządzania połączeniem z kartą elektroniczną (smart card). Każde połączenie z kartą wymaga odpowiedniego wystąpienia (instance) interfejsu ISCard. Przy każdym tworzeniu wystąpienia (instance) interfejsu ISCard,[Author ID1: at Thu Oct 5 00:45:00 2000 ] musi być dostępny Menedżer zasobów karty elektronicznej (Smart Card Resource Manager) — [Author ID1: at Thu Oct 5 00:46:00 2000 ], [Author ID1: at Thu Oct 5 00:46:00 2000 ]jeśli nie będzie dostępny, wystąpi błąd.

Interfejs ISCard jest stosowany do połączenia z kartą elektroniczną, przesłania transakcji (submit a transaction) i zwalniania kart elektronicznych w sposób następujący:

1. Utwórz interfejs ISCard.

2. Dołącz go do karty elektronicznej,[Author ID1: at Thu Oct 5 00:46:00 2000 ] określając czytnik karty elektronicznej lub za pomocą wcześniej ustanowionego poprawnego dojścia (handle).

3. Utwórz polecenia transakcji za pomocą interfejsów ISCardCmd i ISCardISO7816.

4. Użyj interfejsu ISCard [Author ID1: at Thu Oct 5 00:46:00 2000 ], [Author ID1: at Thu Oct 5 00:46:00 2000 ]aby przesłać polecenia transakcji (submit the transaction commands) do przetwarzania za pomocą karty elektronicznej (smart card)[Author ID1: at Thu Oct 5 00:46:00 2000 ].

5. Za pomocą interfejsu ISCard zwolnij kartę elektroniczną.

6. Zwolnij interfejs ISCard.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint1_59ic.htm.

ISCardAuth

Interfejs ISCardAuth może być użyty w celu[Author ID1: at Thu Oct 5 00:46:00 2000 ] aby[Author ID1: at Thu Oct 5 00:47:00 2000 ] uzyskać[Author ID1: at Thu Oct 5 00:47:00 2000 ]nia[Author ID1: at Thu Oct 5 00:47:00 2000 ] dostępu[Author ID1: at Thu Oct 5 00:47:00 2000 ] do usług uwierzytelniających obsługiwanych przez karty elektroniczne (smart card)[Author ID1: at Thu Oct 5 00:47:00 2000 ], takich jak uwierzytelnianie aplikacji, uwierzytelnianie kart elektronicznych czy uwierzytelnianie użytkownika.

Zwykle [Author ID1: at Thu Oct 5 00:47:00 2000 ]Na ogół [Author ID1: at Thu Oct 5 00:47:00 2000 ]interfejs ISCardAuth używany jest w następujący sposób:

1. Utwórz interfejs ISCardAuth za pomocą odpowiedniej metody (method) interfejsu ISCardManage.

2. Wywołaj odpowiednią metodę ISCardAuth (APP_Auth,GetChallenge, ICC_Auth lub User_Auth).

3. Zwolnij interfejs ISCardAuth.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint1_1giw.htm.

ISCardCmd

Interfejs ISCardCmd służy do tworzenia i zarządzania protokołem APDU (Application Protocol Data Unit) karty elektronicznej. Interfejs korzysta z dwóch buforów:

• B[Author ID1: at Thu Oct 5 00:47:00 2000 ]b[Author ID1: at Thu Oct 5 00:47:00 2000 ]ufor APDU — Z[Author ID1: at Thu Oct 5 00:48:00 2000 ]z[Author ID1: at Thu Oct 5 00:48:00 2000 ]awiera kolejne polecenia, które będą wysyłane do danej karty,[Author ID1: at Thu Oct 5 00:48:00 2000 ].[Author ID1: at Thu Oct 5 00:48:00 2000 ]

• B[Author ID1: at Thu Oct 5 00:48:00 2000 ]b[Author ID1: at Thu Oct 5 00:48:00 2000 ]ufor APDUReplay — z[Author ID1: at Thu Oct 5 00:48:00 2000 ]Z[Author ID1: at Thu Oct 5 00:48:00 2000 ]awiera dane przesłane z karty po wykonaniu poleceń protokołu APDU. Dane te określane są jako powrotne APDU (return APDU).

Interfejs ISCardCmd jest używany do tworzenia protokołu APDU w następujący sposób:

1. Utwórz interfejs ISCard i połącz z kartą elektroniczną (smart card)[Author ID1: at Thu Oct 5 00:48:00 2000 ].

2. Utwórz interfejs ISCardCmd.

3. Utwórz polecenia protokołu APDU karty elektronicznej (smart card APDU command) za pomocą ISCardISO7816 lub jednej z odpowiednich metod ISCardCmd.

4. Wykonaj polecenie na karcie elektronicznej,[Author ID1: at Thu Oct 5 00:48:00 2000 ] wywołując odpowiednią[Author ID1: at Thu Oct 5 00:48:00 2000 ]a[Author ID1: at Thu Oct 5 00:48:00 2000 ] metodę interfejsu ISCard.

5. Oceń zwróconą odpowiedź.

6. W razie potrzeby powtórz procedurę.

7. Zwolnij interfejs ISCardCmd i inne wywołane w trakcie procedury.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint1_351w.htm.

ISCardDatabase

Interfejs ISCardDatabase wykonuje operacje na bazie danych Menedżera Zasobów Karty Elektronicznej (S[Author ID1: at Thu Oct 5 00:48:00 2000 ]Smart CC[Author ID1: at Thu Oct 5 00:49:00 2000 ]ard RR[Author ID1: at Thu Oct 5 00:49:00 2000 ]esource M[Author ID1: at Thu Oct 5 00:49:00 2000 ]Manager). Operacje te obejmują tworzenie list znanych kart elektronicznych (smart cards), czytników i grup czytników oraz pobieranie (retrieving) interfejsów obsługiwanych przez kartę elektroniczną i jej usługodawcę podstawowego (primary service provider).

Uwaga: Identyfikatorem Usługodawcy Podstawowego (Primary Service Provider) jest unikatowy identyfikator globalny COM (COM GUID), który identyfikuje i stosuje obiekty COM (COM objects) dla konkretnej karty.

W zamieszczonej poniżej procedurze interfejs ISCardDatabase jest używany do tworzenia listy wszystkich znanych kart elektronicznych:

1. Utwórz interfejs ISCardDatabase.

2. Wywołaj funkcje ListCards do odczytania wszystkich znanych kart elektronicznych (smart cards) [Author ID1: at Thu Oct 5 00:49:00 2000 ]na podstawie ich ciągów znaków ATR (ATR strings) lub obsługiwanych interfejsów.

Uwaga: Ciąg znaków ATR (ATR string) jest to sekwencja bajtów odczytana z karty elektronicznej, gdy[Author ID1: at Thu Oct 5 00:49:00 2000 ] (smart card[Author ID1: at Thu Oct 5 00:49:00 2000 ]) kiedy karta[Author ID1: at Thu Oct 5 00:49:00 2000 ] jest ona [Author ID1: at Thu Oct 5 00:49:00 2000 ]uaktywniana. Bajty te są stosowane do identyfikowania karty.

3. Zwolnij interfejs ISCardDatabase.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint1_5hk5.htm.

ISCardFileAccess

Interfejs ISCardFileAccess jest stosowany do implementowania interfejsu wyższego poziomu do systemu plików opartego na kartach elektronicznych (card-based file system) za pomocą systemu plików tych kart, utworzonych na podstawie struktury i [Author ID1: at Thu Oct 5 00:50:00 2000 ]określonych normą ISO/IEC 7816-4. Interfejs ten ma funkcje umożliwiające lokalizowanie podanych plików i wykonywanie podstawowych operacji,[Author ID1: at Thu Oct 5 00:50:00 2000 ] takich jak wybieranie, odczytywanie, zapisywanie,[Author ID1: at Thu Oct 5 00:50:00 2000 ] tworzenie i usuwanie. Interfejs ISCardFileAccess hermetyzuje (encapsulates) i ukrywa większość szczegółów niższego poziomu (low-level) związanych z wykonywaniem wyżej wymienionych operacji na poziomie karty.

Poniżej opisano procedurę zastosowania interfejsu ISCardFileAccess do wyboru, otwarcia i zapisania do pliku:

1. Za pomocą wywołania ISCardManage::CreateFileAccess utwórz interfejs ISCardFileAccess.

2. Wywołaj Otwórz (OO[Author ID1: at Thu Oct 5 00:51:00 2000 ]pen),[Author ID1: at Thu Oct 5 00:51:00 2000 ] aby wybrać i otworzyć plik.

3. Wywołaj Pisz (W[Author ID1: at Thu Oct 5 00:51:00 2000 ]Write).

4. Wywołaj Zamknij (C[Author ID1: at Thu Oct 5 00:51:00 2000 ]Close).

5. Zwolnij interfejs ISCardFileAccess.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint2_348j.htm.

ISCardISO7816

Interfejs ISCardISO7816 jest implementacją funkcji określonych przez normę ISO 7816. Za wyjątkiem metody ISCardISO7816::SetDefaultClassID, interfejs ten tworzy polecenia APDU (APDU command), ukryte (encapsulated) w obiekcie ISCardCmd.

Uwaga: Specyfikacja ISO 7816-4 określa standardowe polecenia dostępne na kartach elektronicznych (smart cards)[Author ID1: at Thu Oct 5 00:51:00 2000 ]. Specyfikacja ta definiuje również sposób tworzenia polecenia APDU (APDU command) karty elektronicznej i wysyłania go do karty, aby tam zostało wykonane. Interfejs ISCardISO7816 automatyzuje wymieniony powyżej proces tworzenia.

W poniższym przykładzie interfejs ISCardISO7816 zastosowano do tworzenia polecenia APDU (APDU command), aby przesłać transakcję (submit a transaction) do określonej karty:

1. Utwórz interfejs ISCardISO7816 i interfejs ISCardCmd. I[Author ID1: at Thu Oct 5 00:52:00 2000 ], który [Author ID1: at Thu Oct 5 00:52:00 2000 ]nterfejs [Author ID1: at Thu Oct 5 00:52:00 2000 ]ISCardCmd[Author ID1: at Thu Oct 5 00:52:00 2000 ] [Author ID1: at Thu Oct 5 00:52:00 2000 ]jest stosowany do hermetyzacji (encapsulate) [Author ID1: at Thu Oct 5 00:52:00 2000 ]APDU.

2. Wywołaj odpowiednią metodę interfejsu ISCardISO7816, przekazując wymagane parametry i wskaźnik (pointer) do interf[Author ID1: at Thu Oct 5 00:52:00 2000 ]ejsu [Author ID1: at Thu Oct 5 00:52:00 2000 ]ISCardCmd. Polecenie APDU (APDU command) [Author ID1: at Thu Oct 5 00:52:00 2000 ]zgodne ze specyfikacją ISO 7816-4 zostanie utworzone i ukryte (encapsulated) w interfejsie ISCardCmd.

3. Zwolnij interfejsy ISCardISO7816 i ISCardCmd.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint2_1trq.htm.

ISCardLocate

Interfejs ISCardLocate służy do lokalizowania karty elektronicznej (smart card) [Author ID1: at Thu Oct 5 00:52:00 2000 ]na podstawie jej nazwy. W razie potrzeby może wyświetlić interfejs użytkownika karty elektronicznej (smart card user interface).

Uwaga: Interfejs użytkownika karty elektronicznej (smart card user interface) [Author ID1: at Thu Oct 5 00:53:00 2000 ]jest to okno dialogowe, które pozwala użytkownikowi połączyć się z kartą elektroniczną (smart card) [Author ID1: at Thu Oct 5 00:53:00 2000 ]i zastosować ją w [Author ID1: at Thu Oct 5 00:54:00 2000 ]danej aplikacji. Użytkownik może skorzystać z tego okna dialogowego do podania konkretnej karty lub szukania karty elektronicznej, która ma zostać otwarta.

W poniższym przykładzie interfejs ISCardLocate zastosowano do utworzenia pakietu danych APDU, który lokalizuje określoną kartę na podstawie jej nazwy:

1. Utwórz interfejs ISCardLocate.

2. Wywołaj metodę ConfigureCardNameSearch [Author ID1: at Thu Oct 5 00:54:00 2000 ], [Author ID1: at Thu Oct 5 00:54:00 2000 ]aby znaleźć nazwę karty elektronicznej (smart card name).

3. Wywołaj metodę FindCard [Author ID1: at Thu Oct 5 00:54:00 2000 ], [Author ID1: at Thu Oct 5 00:54:00 2000 ]aby znaleźć daną kartę elektroniczną [Author ID1: at Thu Oct 5 00:54:00 2000 ](smart card).

4. Zinterpretuj wyniki.

5. Zwolnij interfejs ISCardLocate.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint1_6rc5.htm.

ISCardManage

Interfejs ISCardManage służy do dołączania (attach) określonej karty elektronicznej (smart card) [Author ID1: at Thu Oct 5 00:54:00 2000 ]lub czytnika, do tworzenia innych opcjonalnych interfejsów, wykonujących funkcje specjalne związane z kartami elektronicznymi, do blokowania konkretnej karty elektronicznej [Author ID1: at Thu Oct 5 00:55:00 2000 ], [Author ID1: at Thu Oct 5 00:55:00 2000 ]do wyłącznego użytku oraz do określania statusu karty elektronicznej lub czytnika. Usługi te podtrzymują ściśle określony kontekst (context), w którym aplikacja może komunikować się z kartą elektroniczną lub czytnikiem. Stosowanie interfejsu ISCardManage w aplikacjach jest obowiązkowe.

W poniższym przykładzie interfejs ISCardManage zastosowano,[Author ID1: at Thu Oct 5 00:55:00 2000 ] aby połączyć się z kartą elektroniczną (smart c[Author ID1: at Thu Oct 5 00:55:00 2000 ]ard)[Author ID1: at Thu Oct 5 00:55:00 2000 ]:

1. Utwórz interfejs ISCardManage skojarzony z daną kartą.

2. Połącz się z kartą elektroniczną (smart card) [Author ID1: at Thu Oct 5 00:55:00 2000 ]poprzez dołączenie określonego czytnika kart (AttachByIFD) lub za pomocą uzyskanego wcześniej dojścia (handle) [Author ID1: at Thu Oct 5 00:55:00 2000 ](AttachByHandle).

3. Utwórz inne interfejsy w celu[Author ID1: at Thu Oct 5 00:55:00 2000 ]aby [Author ID1: at Thu Oct 5 00:55:00 2000 ] [Author ID1: at Thu Oct 5 00:55:00 2000 ]wykonać[Author ID1: at Thu Oct 5 00:55:00 2000 ]nia[Author ID1: at Thu Oct 5 00:55:00 2000 ] operacji[Author ID1: at Thu Oct 5 00:55:00 2000 ]e[Author ID1: at Thu Oct 5 00:55:00 2000 ] związanych[Author ID1: at Thu Oct 5 00:55:00 2000 ]e[Author ID1: at Thu Oct 5 00:55:00 2000 ] z kartami elektronicznymi (smart card) [Author ID1: at Thu Oct 5 00:56:00 2000 ]za pomocą metod CreateAuth, CreateFileAccess, CreateVerify lub CreateInterfejs.

4. Zwolnij kartę (D[Author ID1: at Thu Oct 5 00:56:00 2000 ]d[Author ID1: at Thu Oct 5 00:56:00 2000 ]etach).

5. Zwolnij interfejs ISCardManage i inne wywoływane w niniejszej procedurze.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint2_88th.htm.

ISCardTypeConv

Interfejs ISCardTypeConv obsługuje inne interfejsy COM dla kart elektronicznych,[Author ID1: at Thu Oct 5 00:56:00 2000 ] wykonując operacje,[Author ID1: at Thu Oct 5 00:56:00 2000 ] takie jak konwersja i tworzenie tablic (array conversion and creation) oraz zarządzanie wskaźnikami. Nie ma ścisłych zasad stosowania interfejsu ISCardTypeConv. Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint2_2pdi.htm.

ISCardVerify

Interfejs ISCardVerify służy do zainstalowania programów CHV (Card Holder Verification code) i do weryfikowania użytkownika. Klasa (class) [Author ID0: at Thu Nov 30 00:00:00 1899 ]ISCardVerify została zdefiniowana dla aplikacji, które implementują specyficzne zasady (policies[Author ID1: at Thu Oct 5 00:57:00 2000 ]y[Author ID1: at Thu Oct 5 00:57:00 2000 ]) Card Holder Verification ([Author ID1: at Thu Oct 5 00:57:00 2000 ]CHV)[Author ID1: at Thu Oct 5 00:57:00 2000 ] i które zawierają szczegóły wewnętrznej implementacji karty elektronicznej (smart card).

W poniższym przykładzie interfejs ISCardVerify zastosowano do zmiany programu CHV (CHV code) karty elektronicznej (smart card)[Author ID1: at Thu Oct 5 00:57:00 2000 ]:

1. Utwórz interfejs ISCardVerify za pomocą odpowiedniej metody interfejsu ISCardManage.

2. Wywołaj metodę ChangeCode. Wprowadź nowy program i określ czy jest lokalny,[Author ID1: at Thu Oct 5 00:57:00 2000 ] czy globalny oraz czy jest włączony (enabled),[Author ID1: at Thu Oct 5 00:58:00 2000 ] czy też wyłączony (disabled).

3. Zwolnij interfejs ISCardVerify.

Sposoby wykorzystania, włącznie ze składnią programu, można znaleźć na stronie http://msdn.microsoft.com/library/psdk/scard/scint2_5x4p.htm.

Wskazówka: Pobierając pakiet Platform [Author ID1: at Thu Oct 5 00:58:00 2000 ]platformy [Author ID1: at Thu Oct 5 00:58:00 2000 ]SDK firmy Microsoft, otrzymuje się również próbkę kodu w różnych językach programowania. Jest to przydatne do nauki tworzenia aplikacji związanych z kartami elektronicznymi (smart card)[Author ID1: at Thu Oct 5 00:58:00 2000 ]. Szczególnie warto spędzić czas nad zamieszczonym w pakiecie programem usuwania błędów.

Zastosowanie interfejsów API firmy Microsoft

Firma Microsoft dostarcza trzy mechanizmy, które programiści mogą stosować,[Author ID1: at Thu Oct 5 00:59:00 2000 ] aby uzyskać dostęp do usług obsługiwanych przez karty elektroniczne (smart card)[Author ID1: at Thu Oct 5 00:59:00 2000 ]:

• CryptoAPI,[Author ID1: at Thu Oct 5 00:59:00 2000 ]

• SCard COM,[Author ID1: at Thu Oct 5 00:59:00 2000 ]

• Microsoft Win32 API.[Author ID1: at Thu Oct 5 00:59:00 2000 ]

Wybór mechanizmu zależy od rodzaju aplikacji i możliwości konkretnej karty elektronicznej.

CryptoAPI

Interfejs Cryptographic API umożliwia programistom korzystanie z algorytmów kryptograficznych w swoich aplikacjach. Funkcje interfejsu CryptoAPI mogą być stosowane bez wnikania w szczegóły implementacyjne, w ten sam sposób,[Author ID1: at Thu Oct 5 00:59:00 2000 ] w jaki korzysta się z bibliotek graficznych, nie wiedząc nic o konkretnej konfiguracji karty graficznej.

Interfejs CryptoAPI zawiera zestaw funkcji do szyfrowania danych lub opatrywania ich podpisem cyfrowym, które zapewniają także ochronę klucza prywatnego użytkownika. Niezależne moduły Usługodawców Usług Kryptograficznych (Cryptographic Services Provider — CSP[Author ID1: at Thu Oct 5 00:59:00 2000 ]) wykonują wszystkie funkcje kryptograficzne. Jeden z usługodawców usług kryptograficznych[Author ID0: at Thu Nov 30 00:00:00 1899 ] ([Author ID0: at Thu Nov 30 00:00:00 1899 ]CSP)[Author ID1: at Thu Oct 5 01:00:00 2000 ], Microsoft RSA Base Provider, jest związany z systemem Windows. Każdy usługodawca usług kryptograficznych (CSP) [Author ID1: at Thu Oct 5 01:00:00 2000 ]zawiera inną implementację interfejsu CryptoAPI. Niektóre z nich zawierają składniki sprzętowe,[Author ID1: at Thu Oct 5 01:00:00 2000 ] takie jak karty elektroniczne (smart card[Author ID1: at Thu Oct 5 01:00:00 2000 ]s)[Author ID1: at Thu Oct 5 01:00:00 2000 ].

W przypadku interfejsu CryptoAPI konieczne jest stosowanie oddzielnego pakietu do tworzenia oprogramowania (development kit) o nazwie CSP Development Kit (CSPDK), dostarczanego przez firmę Microsoft. Z powodu ograniczeń eksportowych rządu USA,[Author ID1: at Thu Oct 5 01:00:00 2000 ] pakiet ten dostępny jest tylko na terenie USA i Kanady.

Poniżej podano procedurę uzyskania pakietu CSPDK:

1. Połącz się ze stroną www.microsoft.com/security/tech/cryptoapi/cspdkintrocontent.asp.

Wskazówka: Adres, pod którym można uzyskać CSPDK może ulec zmianie. Jeśli po wpisaniu bezpośrednio adresu URL nie uzyska się połączenia z właściwą stroną, należy przejść do strony www.microsoft.com/security i rozwiń menu Technologie (Technologies[Author ID1: at Thu Oct 5 01:01:00 2000 ]Technologies[Author ID1: at Thu Oct 5 01:01:00 2000 ]) i wybierz pozycję CryptoAPI.

2. Naciśnij przycisk Zarejestruj Teraz (R[Author ID1: at Thu Oct 5 01:01:00 2000 ]Register Now),[Author ID1: at Thu Oct 5 01:01:00 2000 ] znajdujący się w dolnej części okna.

3. Wypełnij formularze i zapoznaj się z warunkami umowy licencyjnej.

4. Pobierz pakiet CSPDK.

5. Pobierz dokument Microsoft Application Programmers' Guide. Adres, spod którego można go [Author ID1: at Thu Oct 5 01:02:00 2000 ]pobrać ten dokument[Author ID1: at Thu Oct 5 01:02:00 2000 ], podano w punkcie 1. Subskrybenci MSDN otrzymują ten dokument [Author ID1: at Thu Oct 5 01:03:00 2000 ]go kwartalnie [Author ID1: at Thu Oct 5 01:03:00 2000 ]jako część pakietu Platform [Author ID1: at Thu Oct 5 01:03:00 2000 ]platformy [Author ID1: at Thu Oct 5 01:03:00 2000 ]SDK kwarta[Author ID1: at Thu Oct 5 01:03:00 2000 ]lnie[Author ID1: at Thu Oct 5 01:03:00 2000 ].

Stosowanie interfejsu CryptoAPI pozwala programistom na korzystanie z funkcji kryptograficznych wbudowanych w system Windows bez znajomości kryptografii ani konkretnych algorytmów kryptograficznych. Np.[Author ID1: at Thu Oct 5 01:03:00 2000 ]a przykład[Author ID1: at Thu Oct 5 01:03:00 2000 ] właściwie napisany program usługodawcy usług kryptograficznych kart elektronicznych (smart card CSP),[Author ID1: at Thu Oct 5 01:04:00 2000 ] korzystałby z istniejącego Usługodawcy Usług Kryptograficznych (CSP), takiego jak Microsoft Base Provider, do wykonywania wszystkich operacji związanych z kluczem publicznym i symetrycznym,[Author ID1: at Thu Oct 5 01:04:00 2000 ] oraz korzystałby z karty elektronicznej (smart card) [Author ID1: at Thu Oct 5 01:04:00 2000 ]do wykonywania operacji z kluczem prywatnym.

SCard COM

SCard COM jest implementacją interfejsu niekryptograficznego,[Author ID1: at Thu Oct 5 01:05:00 2000 ] dostarczanego przez firmę Microsoft w celu korzystania z ogólnych usług związanych z kartami elektronicznymi z aplikacji napisanych w różnych językach programowania,[Author ID1: at Thu Oct 5 01:05:00 2000 ] takich jak C, Microsoft Visual C++, Java czy Microsoft Visual Basic. Zawiera zestaw podstawowych obiektów interfejsu COM, które można zastosować do tworzenia interfejsów, używanych w aplikacjach przeznaczonych dla systemu Windows. Programista może stosować standardowe programy narzędziowe do tworzenia aplikacji i usługodawców,[Author ID1: at Thu Oct 5 01:05:00 2000 ] korzystających z kart elektronicznych.

Aby korzystać z usług konkretnej karty elektronicznej za pomocą obiektów interfejsu COM,[Author ID1: at Thu Oct 5 01:05:00 2000 ] programista nie musi mieć szczegółowych informacji o funkcjonowaniu tej karty. Taki rodzaj abstrahowania przyspiesza pisanie aplikacji dla systemu Windows, umożliwiając również obniżenie kosztów tworzenia oprogramowania i uniknięcie szybkiej dezaktualizacji aplikacji,[Author ID1: at Thu Oct 5 01:06:00 2000 ] spowodowanej zmianami dokonanymi w kartach.

Win32

Interfejsy API Win32 są interfejsami API na poziomie podstawowym (base-[Author ID1: at Thu Oct 5 01:07:00 2000 ] [Author ID1: at Thu Oct 5 01:07:00 2000 ]level API), umożliwiającymi korzystanie z kart elektronicznych (smart cards)[Author ID1: at Thu Oct 5 01:07:00 2000 ]. Aby korzystać z nich efektywnie konieczna jest głęboka wiedza na temat systemu Windows 2000 i kart elektronicznych (smart cards)[Author ID1: at Thu Oct 5 01:07:00 2000 ]. Interfejsy te umożliwiają tworzenie uniwersalnych aplikacji sterujących czytnikami, kartami elektronicznymi i innymi elementami systemów, w których karty zostały [Author ID1: at Thu Oct 5 01:07:00 2000 ]zastosowano[Author ID1: at Thu Oct 5 01:07:00 2000 ]e.[Author ID1: at Thu Oct 5 01:07:00 2000 ] karty elektroniczne. [Author ID1: at Thu Oct 5 01:07:00 2000 ]Dla programistów, którzy chcą mieć całkowitą kontrolę nad korzystaniem przez aplikację z kart elektronicznych, przeznaczone są rozszerzenia funkcjonalne podstawowego interfejsu API Win32.

Zastosowanie interfejsu Java Card API 2.1

Istnieje rodzaj kart elektronicznych, na których można uruchamiać programy w języku Java. Programy te noszą nawę apletów i mogą być ładowane dynamicznie na kartę elektroniczną po jej wydaniu. Interfejs Java Card API 2.1 definiuje podzbiór instrukcji języka Java, dostosowany do korzystania w urządzeniach z ograniczonym rozmiarem pamięci, takich jak karty elektroniczne (smart cards).[Author ID1: at Thu Oct 5 01:08:00 2000 ].[Author ID1: at Thu Oct 5 01:08:00 2000 ]

Interfejsy[Author ID1: at Thu Oct 5 01:08:00 2000 ] Java Card API 2.1 został zaprojektowany we współpracy z czołowymi producentami kart elektronicznych i jak twierdzi firma Sun Microsystems, zostały[Author ID1: at Thu Oct 5 01:09:00 2000 ] przyjęty przez 95% producentów.

Komputer wirtualny (virtual machine) Java Card — warstwa oprogramowania, która znajduje się nad właściwym systemem operacyjnym i wykonuje B-kod (bytecode) języka Java — ukrywa przed programistą złożoność i szczegóły konstrukcyjne karty elektronicznej oraz[Author ID1: at Thu Oct 5 01:09:00 2000 ]i[Author ID1: at Thu Oct 5 01:09:00 2000 ] dostarcza znormalizowany zestaw interfejsów API do tworzenia aplikacji dla kart Java (Java Card).

Programiści tworzący oprogramowanie dla kart elektronicznych w technologii Java Card mogą wybierać spośród wielu zintegrowanych pakietów do tworzenia programów w języku Java, opracowanych przez czołowe firmy,[Author ID1: at Thu Oct 5 01:09:00 2000 ] takie jak Borland, IBM, Microsoft, Sun czy Symantec. Każdy programista, tworzący programy w języku Java, który uzyska stosowną specyfikację,[Author ID1: at Thu Oct 5 01:10:00 2000 ] może zostać programistą piszącym aplikacje dla kart Java (Java Cards[Author ID1: at Thu Oct 5 01:10:00 2000 ]). Jak już wspomniano wcześniej możliwości zatrudnienia są wprost nieograniczone.

Specyfikację Java Card 2.1 Platform i programy przykładowe można uzyskać w następujący sposób:

1. Połącz się ze stroną o adresie http://java.sun.com/products/javacard.

2. Kliknij łącze (link) Java Card 2.1 Specification.

3. Pobierz następujące specyfikacje:

• Java Card 2.1 Runtime Environment (JCRE) S[Author ID0: at Thu Nov 30 00:00:00 1899 ]s[Author ID1: at Thu Oct 5 01:32:00 2000 ]pecification,[Author ID1: at Thu Oct 5 01:11:00 2000 ]

• Java Card 2.1 Virtual Machine (JCVM) S[Author ID0: at Thu Nov 30 00:00:00 1899 ]s[Author ID1: at Thu Oct 5 01:32:00 2000 ]pecification)[Author ID2: at Thu Oct 5 01:32:00 2000 ],[Author ID1: at Thu Oct 5 01:11:00 2000 ]

• JCVM S[Author ID0: at Thu Nov 30 00:00:00 1899 ]s[Author ID1: at Thu Oct 5 01:32:00 2000 ]pecification Release Notes,[Author ID1: at Thu Oct 5 01:11:00 2000 ]

• Java Card 2.1 API S[Author ID0: at Thu Nov 30 00:00:00 1899 ]s[Author ID1: at Thu Oct 5 01:32:00 2000 ]pecification.

Wskazówka: Kompletna specyfikacja Java Card 2.1 Platform jest również dostępna pod adresem http://java.sun.com/products/javacard/htmldoc/index.html.

4. Klikając [Author ID1: at Thu Oct 5 01:11:00 2000 ]Wybierając [Author ID1: at Thu Oct 5 01:11:00 2000 ]odpowiednie łącze,[Author ID1: at Thu Oct 5 01:11:00 2000 ] przejdź do strony sieci Kontakty Pomiędzy Programistami Javy (Web Java D[Author ID1: at Thu Oct 5 01:11:00 2000 ]Developer C[Author ID1: at Thu Oct 5 01:11:00 2000 ]Connection).

5. Jeśli jeszcze nie jesteś zarejestrowanym użytkownikiem, wypełnij formularz rejestracyjny na stronie Java Developer Connection i zarejestruj się ([Author ID1: at Thu Oct 5 01:11:00 2000 ]. R[Author ID1: at Thu Oct 5 01:11:00 2000 ]r[Author ID1: at Thu Oct 5 01:11:00 2000 ]ejestracja jest darmowa)[Author ID1: at Thu Oct 5 01:11:00 2000 ].

6. Pobierz z tej witryny internetowej programy przykładowe, zasoby dla programistów i programy do tworzenia aplikacji. Można również pobrać kody źródłowe,[Author ID1: at Thu Oct 5 01:12:00 2000 ] przyłączając się do Java 2 Source Community.

Klikając odpowiednie łącza na stronie Java Developer Connection lub pod adresem http://developer.java.sun.com/developer/onlineTraining/J2EE/Intro/ [Author ID1: at Thu Oct 5 01:12:00 2000 ], [Author ID1: at Thu Oct 5 01:12:00 2000 ]można znaleźć bardzo dobre „[Author ID3: at Tue Jul 17 09:10:00 2001 ]"[Author ID1: at Thu Oct 5 01:12:00 2000 ][Author ID3: at Tue Jul 17 09:10:00 2001 ]samouczki"[Author ID1: at Thu Oct 5 01:12:00 2000 ][Author ID3: at Tue Jul 17 09:10:00 2001 ]”[Author ID3: at Tue Jul 17 09:10:00 2001 ],[Author ID1: at Thu Oct 5 01:12:00 2000 ] dotyczące implementowania aplikacji napisanych w języku Java. Programy dotyczące aplikacji związanych z kartami elektronicznymi (smart card) [Author ID1: at Thu Oct 5 01:13:00 2000 ]można znaleźć na stronie sieci Web s[Author ID1: at Thu Oct 5 01:13:00 2000 ]S[Author ID1: at Thu Oct 5 01:13:00 2000 ]mart C[Author ID1: at Thu Oct 5 01:13:00 2000 ]c[Author ID1: at Thu Oct 5 01:13:00 2000 ]ard d[Author ID1: at Thu Oct 5 01:13:00 2000 ]D[Author ID1: at Thu Oct 5 01:13:00 2000 ]evelopers A[Author ID1: at Thu Oct 5 01:13:00 2000 ]a[Author ID1: at Thu Oct 5 01:13:00 2000 ]ssociation pod adresem www.smartcard.org. Bogate zasoby są dostępne na stronie sieci Web JavaWorld pod adresem www.javaworld.com. Zainteresowane osoby mogą wziąć udział w comiesięcznych konkursach dla programujących w języku Java.

Zastosowanie osnowy aplikacji OpenCard (OpenCard F[Author ID1: at Thu Oct 5 01:13:00 2000 ]F[Author ID1: at Thu Oct 5 01:13:00 2000 ]ramework — OCF[Author ID1: at Thu Oct 5 01:15:00 2000 ])

W przypadku technologii rozwijającej się, jaką jest technologia kart elektronicznych (smart cards), zarówno programiści jak i dostawcy sprzętu napotykają problemy związane z brakiem powszechnie przyjętych standardów.

Od programistów wymaga się pisania różnych wersji aplikacji dla różnych dostawców sprzętu,[Author ID1: at Thu Oct 5 01:16:00 2000 ] a często nawet dla różnych wersji tego samego sprzętu. Programowanie w językach niskiego poziomu (low-[Author ID1: at Thu Oct 5 01:16:00 2000 ] [Author ID1: at Thu Oct 5 01:16:00 2000 ]level programming), z braku interfejsów API wyższego poziomu, powoduje,[Author ID1: at Thu Oct 5 01:17:00 2000 ] że tworzenie programów jest nużące i oznacza, że programiści [Author ID1: at Thu Oct 5 01:17:00 2000 ]piszący[Author ID1: at Thu Oct 5 01:17:00 2000 ] je [Author ID1: at Thu Oct 5 01:17:00 2000 ]muszą wiedzieć,[Author ID1: at Thu Oct 5 01:17:00 2000 ] jak działa sprzęt. Programy są nieprzenośne, mają krótki dopuszczalny okres magazynowania (shelf life), utrudnione jest także usuwanie błędów.

Dostawcy kart i terminali napotykają problemy z niezgodnością. Czy dostarczany przez nich czytnik będzie współpracował ze wszystkimi rodzajami kart? Czy karty, które produkują, będą współpracować ze wszystkimi czytnikami? Czy zapisane na kartach [Author ID1: at Thu Oct 5 01:17:00 2000 ]aplikacje i informacje o zabezpieczeniach, zapisane na kartach [Author ID1: at Thu Oct 5 01:17:00 2000 ]będą zgodne ze wszystkimi systemami operacyjnymi?

OpenCard Framework (OCF) może pomóc w rozwiązaniu tych problemów. Wdrażający (implementers) aplikacje i usługi, za pomocą interfejsów OCF mogą stosować swoje rozwiązania z różnymi ustawieniami,[Author ID1: at Thu Oct 5 01:18:00 2000 ] bez konieczności ponownego pisania programu. Dostawcy (providers), stosujący te interfejsy, mogą dostarczać [Author ID1: at Thu Oct 5 01:19:00 2000 ]zaopatrzyć w [Author ID1: at Thu Oct 5 01:19:00 2000 ]takie elementy, które będą wykorzystywane bezpośrednio przez programistów. OpenCard Framework przynosi korzyści nie tylko programistom,[Author ID1: at Thu Oct 5 01:19:00 2000 ] ale również dla [Author ID1: at Thu Oct 5 01:19:00 2000 ]dostawcom kart i terminali.

Poniżej zamieszczono listę korzyści, jakie mają programiści ze stosowania OCF:

• n[Author ID1: at Thu Oct 5 01:20:00 2000 ]N[Author ID1: at Thu Oct 5 01:20:00 2000 ]iezależność od dostawcy — P[Author ID1: at Thu Oct 5 01:20:00 2000 ]p[Author ID1: at Thu Oct 5 01:20:00 2000 ]rogramiści mogą wybierać karty i terminale od różnych dostawców,[Author ID1: at Thu Oct 5 01:20:00 2000 ].[Author ID1: at Thu Oct 5 01:20:00 2000 ]

• o[Author ID1: at Thu Oct 5 01:20:00 2000 ]O[Author ID1: at Thu Oct 5 01:20:00 2000 ]chrona zasobów (asset protection) — A[Author ID1: at Thu Oct 5 01:20:00 2000 ]a[Author ID1: at Thu Oct 5 01:20:00 2000 ]rchitektura umożliwia programistom udział w rozwijaniu kart elektronicznych,[Author ID1: at Thu Oct 5 01:20:00 2000 ].[Author ID1: at Thu Oct 5 01:20:00 2000 ]

• S[Author ID1: at Thu Oct 5 01:21:00 2000 ]s[Author ID1: at Thu Oct 5 01:21:00 2000 ]krócenie czasu tworzenia oprogramowania (improved time-to-market) — p[Author ID1: at Thu Oct 5 01:21:00 2000 ]P[Author ID1: at Thu Oct 5 01:21:00 2000 ]rogramiści, korzystając z interfejsów API wyższego rzędu (high-level API), skracają czas poświęcony na tworzenie oprogramowania,[Author ID1: at Thu Oct 5 01:21:00 2000 ].[Author ID1: at Thu Oct 5 01:21:00 2000 ]

• n[Author ID1: at Thu Oct 5 01:21:00 2000 ]N[Author ID1: at Thu Oct 5 01:21:00 2000 ]iższe koszty tworzenia oprogramowania — P[Author ID1: at Thu Oct 5 01:21:00 2000 ]p[Author ID1: at Thu Oct 5 01:21:00 2000 ]rogramiści ograniczają koszty przenoszenia aplikacji na różne platformy. Do wykonywania konkretnych zadań nie są również konieczne wysokie kwalifikacje.

Kolejna lista zawiera korzyści, jakie OCF daje dostawcom kart i terminali:

• Z[Author ID1: at Thu Oct 5 01:21:00 2000 ]z[Author ID1: at Thu Oct 5 01:21:00 2000 ]większenie liczby klientów — D[Author ID1: at Thu Oct 5 01:22:00 2000 ]d[Author ID1: at Thu Oct 5 01:22:00 2000 ]ostarczając produkty zgodne ze standardami stosowanymi w przemyśle,[Author ID1: at Thu Oct 5 01:22:00 2000 ] można uzyskać dostęp do nowych segmentów rynku,[Author ID1: at Thu Oct 5 01:22:00 2000 ].[Author ID1: at Thu Oct 5 01:22:00 2000 ]

• N[Author ID1: at Thu Oct 5 01:22:00 2000 ]n[Author ID1: at Thu Oct 5 01:22:00 2000 ]iezależność od dostawcy — D[Author ID1: at Thu Oct 5 01:22:00 2000 ]d[Author ID1: at Thu Oct 5 01:22:00 2000 ]ostawcy mogą konkurować zakresem funkcji i nie grozi dominacja jednego producenta,[Author ID1: at Thu Oct 5 01:22:00 2000 ].[Author ID1: at Thu Oct 5 01:22:00 2000 ]

• M[Author ID1: at Thu Oct 5 01:22:00 2000 ]m[Author ID1: at Thu Oct 5 01:22:00 2000 ]niejszy nakład pracy na opracowywanie urządzeń — d[Author ID1: at Thu Oct 5 01:22:00 2000 ]D[Author ID1: at Thu Oct 5 01:22:00 2000 ]ostawcy dysponujący zestawem funkcji,[Author ID1: at Thu Oct 5 01:22:00 2000 ] dostarczonym przez OCF, mogą ograniczyć nakład pracy,[Author ID1: at Thu Oct 5 01:22:00 2000 ] poświęcony na rozwój urządzeń.

Aby umożliwić użytkownikom i programistom zapoznanie się ze standardem OCF, ko[Author ID1: at Thu Oct 5 01:23:00 2000 ]nsorcjum [Author ID1: at Thu Oct 5 01:23:00 2000 ]OpenCard Consortium [Author ID2: at Thu Oct 5 01:24:00 2000 ]udostępniło program demonstracyjny OCF Stockbroker. Jest to pełna wersja demonstracyjna, nie symulacyjna, i [Author ID2: at Thu Oct 5 01:24:00 2000 ]do jego [Author ID2: at Thu Oct 5 01:24:00 2000 ]której [Author ID1: at Thu Oct 5 01:24:00 2000 ]uruchomienia konieczny[Author ID1: at Thu Oct 5 01:24:00 2000 ]e[Author ID2: at Thu Oct 5 01:24:00 2000 ] jest posiadanie [Author ID2: at Thu Oct 5 01:24:00 2000 ]czytnika[Author ID2: at Thu Oct 5 01:24:00 2000 ] kart elektronicznych. Celem tego ćwiczenia jest zademonstrowanie łatwości tworzenia aplikacji za pomocą interfejsów API OCF oraz możliwości tworzenia aplikacji niezależnych od rodzaju czytnika zainstalowanego w danym komputerze.

Aby pobrać i uruchomić program demonstracyjny należy postępować zgodnie z poniższym opisem:

1. Przejdź do strony o adresie www.opencard.org/index-downloads.shtml.

2. Wybierz pozycję OpenCard Framework V1.1.1. Można wybrać plik w wersji skomprymowanej (zipped file) lub plik [Author ID2: at Thu Oct 5 01:25:00 2000 ]samorozpakowujący[Author ID2: at Thu Oct 5 06:29:00 2000 ]samo rozpakowujący[Author ID1: at Thu Oct 5 06:29:00 2000 ] się plik klasy (class file).

Uwaga: Z powodu ograniczeń eksportowych nałożonych przez rząd USA, programy oraz interfejsy kryptograficzne OCF nie mogą być pobierane spoza obszaru Ameryki Północnej. Wymieniony wyżej program demonstracyjny pozbawiony jest swojej części kryptograficznej, ale reszta jest taka sama, jak w pełnej wersji.

3. Wypełnij formularz i przyjmij warunki umowy licencyjnej. Wykonuje się to tylko przy pierwszym pobieraniu.

4. Jeśli przebywasz na terenie Stanów Zjednoczonych lub Kanady, pobierz część struktury OCF podlegającą ograniczeniom eksportowym. Można wybrać plik w wersji skomprymowanej (zipped file) lub plik [Author ID2: at Thu Oct 5 01:26:00 2000 ]samo [Author ID1: at Thu Oct 5 06:29:00 2000 ]rozpakowujący się plik klasy (class file).

5. Pobierz General Information Web Document i Programmers Guide. Dokumenty te nie są niezbędne do uruchomienia programu demonstracyjnego,[Author ID1: at Thu Oct 5 01:27:00 2000 ] ale zawierają użyteczne informacje dodatkowe.

6. Rozpakuj pobrane pliki lub uruchom samorozpakowujące[Author ID2: at Thu Oct 5 06:30:00 2000 ]samo rozpakowujące[Author ID1: at Thu Oct 5 06:30:00 2000 ] się pliki klas (class files) zgodnie z instrukcją podaną na stronie, z której pobierane były te [Author ID2: at Thu Oct 5 01:27:00 2000 ]pliki [Author ID1: at Thu Oct 5 01:27:00 2000 ]te[Author ID2: at Thu Oct 5 01:27:00 2000 ] [Author ID1: at Thu Oct 5 01:27:00 2000 ]były pobierane[Author ID2: at Thu Oct 5 01:27:00 2000 ].

Uruchom program Stockbroker i postępuj zgodnie z wyświetlanymi instrukcjami.

Wskazówka: Lista określeń związanych z kartami elektronicznymi znajduje się pod adresem www.gemplus.com/basics/terms.htm. Inne przydatne adresy URL to www.slb.com/smartcards/, www.protekila.com.tr/, www.smartcard.com oraz http://cardtronix.com.[Author ID1: at Thu Oct 5 01:31:00 2000 ].[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID0: at Thu Nov 30 00:00:00 1899 ]

[Author ID2: at Thu Oct 5 01:31:00 2000 ]

33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)

41 T:\Paweł\5 po wstawieniu rysunków\r-09.05.doc

[Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID1: at Wed Oct 4 21:00:00 2000 ][Author ID1: at Wed Oct 4 21:00:00 2000 ]co?[Author ID1: at Wed Oct 4 21:00:00 2000 ]

[Author ID1: at Wed Oct 4 21:09:00 2000 ][Author ID1: at Wed Oct 4 21:09:00 2000 ][Author ID1: at Wed Oct 4 21:09:00 2000 ][Author ID1: at Wed Oct 4 21:09:00 2000 ][Author ID1: at Wed Oct 4 21:09:00 2000 ]nie wiem[Author ID1: at Wed Oct 4 21:09:00 2000 ],[Author ID1: at Wed Oct 4 21:10:00 2000 ] [Author ID1: at Wed Oct 4 21:09:00 2000 ]czego skrótem jest "F"[Author ID1: at Wed Oct 4 21:10:00 2000 ]

---