HOWTO TrueCrypt mit Chipkarte
Transcrição
HOWTO TrueCrypt mit Chipkarte
HOWTO TrueCrypt mit Chipkarte Erstellt von Silvia Straihammer, BSc [email protected] Dokument Version – Erstellungsdatum v1.0 – 07/2011 © CRYPTAS it-Security GmbH Franzosengraben 8 : A-1030 Wien Tel +43 (1) 798 96 96-0 : Fax +43 (1) 798 96 96-99 E-Mail [email protected] : Web www.cryptas.com Knowlegde Guide Wien, Dezember 2010 Einleitung TrueCrypt ist eine Verschlüsselungssoftware, die es ermöglicht Daten in verschlüsselten Containern aufzubewahren oder auch ganze Festplatten zu verschlüsseln. Dabei können verschiedenste Algorithmen eingesetzt werden. Die Entschlüsselung erfolgt entweder nach der Eingabe eines Passwort oder einem Keyfile oder beides. Die Sicherheit der Daten liegt somit in der Komplexität und Geheimhaltung des Passworts bzw. des Keyfiles. Um ein Höchstmaß an Sicherheit zu garantieren könnte das Keyfile auf einem sicheren Datenträger abgelegt werden, der seine Informationen nur nach Eingabe eines PINs freigibt. Mit Hilfe einer SmartCard kann auch bei der Datenverschlüsselung mit TrueCrypt eine Zwei-Faktor Authentifizierung verwirklicht werden. Voraussetzungen Folgende Komponenten sind notwendig: TrueCrypt Software (Download) Kartenlesegerät Chipkarte PKCS#11 Library PKCS#11 gehört der Familie der Public-Key Cryptography Standards an. Er definiert Vorgänge zur Modifikation, Erstellung und Löschung von Objekten auf kryptografischen Token (Chipkarten). Diese Karten werden vom Cryptoshop-Team empfohlen: Gemalto .NET Karte: Der größte Vorteil der .NET Karten ist ihre einfache Verwendung unter Windows wird kein zusätzlicher Treiber benötigt um die Karte zu verwenden. Das rührt daher, dass der Windows Base CSP /Minidriver diese Karte nativ unterstütz. Manche Programme verwenden diesen Base CSP nicht und benötigen stattdessen die PKCS#11 Library. Diese steht unter diesem Link zum Download bereit. (Karte kaufen) ASECard Crypto Card: Die ASECard Crypto sind 72K EEPROM Karten mit dem ASEPCOS Kartenbetriebssystem aus dem Hause Athena SCS. Die Personalisierung der Karte kann mit dem ASECard Crypto Toolkit durchgeführt werden. (Karte kaufen) www.cryptoshop.com Durchführung TrueCrypt braucht den Pfad zur PKCS#11 Library. Im Menü unter Settings – Security Tokens … kann der Pfad zu der Library angegeben werden. 2 Bei .NET Karten ist die Datei unter folgendem Pfad zu finden: C:\Program Files\Gemalto\DotNet PKCS11\gtop11dotnet.dll. Zuvor muss allerdings die PKCS#11 Library installiert worden sein (Download). Wird eine Athena Karte verwendet (inkl. ASECard Crypto Toolkit) so befindet sich diese Library hier: C:\Windows\system32\aseCardCryptoCSP.dll Abbildung 2: PKCS#11 Library Auswahl 3 www.cryptoshop.com Abbildung 1: Security Token Einstellungen Es ist auch möglich ein Auto-Detect der Library durchzuführen. Jedoch findet das Programm hier nur jene PKCS#11 Libraries, die im Systemverzeichnis (C:\Windows\system32) enthalten sind. Volume erstellen Bei der Erzeugung eines neuen Volumes im Dialogfeld Volume Password wird die Option ‚‚use Keyfile ausgewählt‘. Mit einem Klick auf den Button Keyfiles erscheint ein Dialogfenster in dem Keyfiles ausgewählt und erstellt werden können. www.cryptoshop.com Ein Keyfile kann jegliche Art von Datei sein (mp3, jpg, mov, …). Das Keyfile selbst wird von TrueCrypt nie verändert. Es können auch mehrere Keyfiles ausgewählt werden, dabei spielt die Reihenfolge keine Rolle. TrueCrypt selbst stellt auch ein Tool zur Generierung von Keyfiles zur Verfügung. Abbildung 3: Zugriff auf Chipkarte Mit ‚Add Token Files …‘ wird auf die Chipkarte zugegriffen und etwaige vorhandene Keyfiles ausgelesen. Hier ist es auch möglich neue Keyfiles auf die Chipkarte zu importieren und dieses dann zu verwenden. Für den Zugriff auf die Chipkarte wird natürlich der PIN der benötigt. 4 Abbildung 4: Keyfile auf Token importieren Volume entschlüsseln u. ändern www.cryptoshop.com Folgende Schritte müssen durchgeführt werden um ein verschlüsseltes Volume zu mounten: Auswählen der Datei in dem die verschlüsselten Daten gespeichert wurden Mount Use Keyfiles auswählen Keyfiles Add Token Files PIN eingeben Verwendetes Keyfile auswählen OK 5 Abbildung 5: Volume entschlüsseln Weitere Informationen und genaue Anleitungen zur Verwendung von TrueCrypt finden sich auf der TrueCrypt Homepage. Mit Keyfiles ist es möglich mehreren Benutzern Zugriff auf ein verschlüsseltes Volume zu geben ohne das Passwort zu verteilen. Man kann das verwendete Keyfile auf mehrere Chipkarten spielen und diese dann verteilen. Jede Chipkarte kann individuell mit einem persönlichen PIN versehen werden. Außerdem kann eine Authentifizierung nach dem zwei-Augen Prinzip durchgesetzt werden. Wird die Datei mit zwei Keyfiles verschlüsselt, so kann je ein Keyfile auf einer Chipkarte abgelegt werden. Will man das Volume wieder entschlüsseln, werden beide Chipkarten und beide PINs benötigt. 6 www.cryptoshop.com Tipps Anhang A: Initialisierung der Karte Athena ASECard Crypto Mit der Installation des ASECard Crypto Toolkits stehen folgende Tools zur Verfügung: ASECard Manager: Zertifikatsverwaltung, PIN-Management ASECard Options: Einstellungen des ASECard Crypto Toolkits verändern ASECard Personalization Tool: erstmalige Personalisierung der Chipkarte ASECard PIN Tool: ändern der PINS Guides in pdf-Format Abbildung 6: Programmaufruf Damit die Karte verwendet werden kann muss sie zuerst personalisiert werden. Das bedeutet es werden PINs und PIN Einstellungen festgelegt und weitere Optionen und Eigenschaften der Karten definiert. Um eine solche Personalisierung durchzuführen wird ein Profil benötigt. In diesem Profil werden die Einstellungen definiert und abgespeichert. www.cryptoshop.com Die Karte kann mit dem ASEDefault.ppf Profil personalisiert werden. Der User PIN hat dann den Wert 11111111 und der Admin PIN 00000000. Das ASEDefault Profil kann nicht verändert werden. Erstellt man ein eigenes Profil, so kann man einen persönlichen PIN konfigurieren. Es wird empfohlen nicht die Standard-PINs zu verwenden. Dies kann entweder durch ein eigenes Profil, in dem ein manueller PIN eingegeben wird oder nach der Personalisierung der Karte mit einem Klick auf User/Admin PIN Ändern ermöglicht werden. 7 Abbildung 8: Profilmanagement User PIN Für die PINs können Policies definiert werden. Diese schreiben vor, welchen Anforderungen die PINs entsprechen müssen. Bei beiden PINs können unterschiedliche Policies konfiguriert werden. Abbildung 9: Personalisierung 8 www.cryptoshop.com Abbildung 7: ASECard Personalisierungs-Tool Bei Profile managen … können neue Profile angelegt, vorhandene bearbeitet oder gelöscht werden. Um die Karte zu personalisieren muss das gewünschte Profil ausgewählt und auf Personalisieren geklickt werden. Abbildung 10: Admin PIN ändern www.cryptoshop.com Abbildung 11: Bezeichnung ändern Die Bezeichnung der Karte kann mit einem Klick auf Bezeichnung ändern bearbeitet werden. Der Admin PIN ist für diese Aktion notwendig. Mini-Driver Manager Mit dem Minidriver Manager ist es möglich den PIN einer .NET Chipkarte zu ändern, Zertifikate zu importiert, und vieles mehr. Dieses Tool kann von der Gemalto Homepage heruntergeladen werden. 9 www.cryptoshop.com CRYPTAS it-Security Franzosengraben 8 A-1030 Wien, Austria T +43 (1) 798 96 96 – 0 F +43 (1) 798 96 96 – 99 [email protected] www.cryptoshop.com www.cryptas.com 10