Discussion:
CAcert Zertifikate auf SmartCards
Juergen M. Bruckner
2012-10-23 21:03:54 UTC
Permalink
Hallo liebe Community,

gibt es (schon) praktikable Lösungen für die Implementation von CAcert
Zertifikaten auf SmartCards?
Hat jemand schon Erfahrung damit gemacht?

lg
Jürgen
--
Jürgen M. Bruckner
A-7522 Kroatisch Ehrensdorf 38
Telefon: +43 (3323) 2816
VoIP: +43 (720) 984 221
Telefax: +43 (810) 9554 357610
Mobil: +43 (699) 1302 8327
e-Mail: j.m.bruckner-***@public.gmane.org

Diese Email wurde digital signiert um die Echtheit des Absenders
und die Integrität zu garantieren. Wenn Ihr Email-Betrachter keine
Signaturverifizierung unterstützt, werden Sie die Datei "smime.p7s"
im Anhang finden. Sie müssen diese weder speichern noch öffnen.

Diese E-Mail kann vertrauliche und/oder rechtlich geschuetzte
Informationen enthalten. Wenn Sie nicht der richtige Adressat
sind oder diese E-Mail irrtuemlich erhalten haben, informieren
Sie bitte sofort den Absender und vernichten Sie diese E-Mail.
Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser
Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information.
If you are not the intended recipient (or have received this e-mail
in error), please notify the sender immediately and destroy this
e-mail. Any unauthorized copying, disclosure or distribution of the
material in this e-mail is strictly forbidden.
Rolf Wald
2012-10-24 22:37:01 UTC
Permalink
Hallo JÃŒrgen,

On Tue, 23 Oct 2012 23:03:54 +0200
Post by Juergen M. Bruckner
Hallo liebe Community,
gibt es (schon) praktikable Lösungen fÌr die Implementation von CAcert
Zertifikaten auf SmartCards?
Ja, die gibt es. Schau doch mal auf www.gooze.eu , dort werden Produkte
von Feitian (Smartcard und Token) angeboten und es gibt auch
Anleitungen (Englisch) dazu.

Wir setzen bei uns im Verein CAcert Zertifikate ein, die sowohl auf
DatentrÀgern als auch auf Smartcards nutzbar sind. Falls du die Keys
und Zertifikate nur zur Authentifizierung benutzt, dann kannst du sie
gleich auf der Smartcard erzeugen. Wenn du jedoch damit auch E-Mails
signieren und verschlÃŒsseln willst, dann empfiehlt sich die
Speicherung zunÀchst auf DatentrÀgern (Backup!) und dann die
Übertragung auf die Smartcard.

Der große Vorteil dieser Smartcards ist die Möglichkeit, diese wieder
zu löschen und neu zu bespielen. Wir nutzen das ganze unter Linux ohne
proprietÀre Software. Die Einsatzmöglichkeiten sind vielfÀltig, sie
reichen von S/Mime E-Mail Signatur und VerschlÃŒsselung ÃŒber
Authentifizierung (Login , ssh usw. (pam...)) bis zur Verwendung mit
Openvpn und FestplattenverschlÃŒsselung (Cryptsetup-Luks)
Post by Juergen M. Bruckner
Hat jemand schon Erfahrung damit gemacht?
s.o. Nur die Auswahl geeigneter Smartcard-Reader ist etwas schwierig,
neben den von gooze angebotenen Readern funtionieren bei mir der SPR
532 /Chipdrive Pinpad Pro (SCM) und Gemalto PC PINPAD CLASS 2 READER,
wenn man einen Reader mit eigener Eingabetastatur haben möchte.
Entgegen der landlÀufigen Meinung, dass alle CCID kompatiblen Reader
mit der Feitian Karte arbeiten sollten, sprechen die Erfahrungen
dagegen, mit den Reiner SCT Readern und z.B. dem Cherry Board und Kobil
Readern geht es nicht (leider hilft meistens nur try & error).

Falls du spezielle Fragen hast, kannst du dich auch per PM an mich
wenden.
--
Mit freundlichen GrÌßen (kind regards) Rolf Wald
LUG-Balista Hamburg e.V., Germany
c/o BÃŒrgerhaus in Barmbek
Lorichsstr. 28a
22307 Hamburg
http://www.lug-balista.de
No HTML please
S/MIME signed email preferred, encryption wanted
dirk astrath
2012-10-24 23:21:13 UTC
Permalink
Moin,
Post by Rolf Wald
Post by Juergen M. Bruckner
gibt es (schon) praktikable Lösungen für die Implementation von
CAcert Zertifikaten auf SmartCards?
Ja, die gibt es. Schau doch mal auf www.gooze.eu , dort werden
Produkte von Feitian (Smartcard und Token) angeboten und es gibt
auch Anleitungen (Englisch) dazu.
bevor bei gooze.eu bestellt wird, kontaktiere bitte den marcus maengel
von support-xHchwMmBYmcdnm+***@public.gmane.org ...

... der kann da genaueres zu sagen (auch, was die
bestellung/preise/... angeht) ...

ich selbst habe auch einen gooze-stick, den aber leider noch nicht im
einsatz (lack of time ... ;-( )

machs guat
Juergen Bruckner
2013-01-02 15:56:42 UTC
Permalink
Hallo,

ich muss diesen Thread nochmals hervorholen:

Meine Kollegen und ich testen gerade die Möglichkeit des Logins mittels
Feitian Smartcard/Token und CAcert Zertifikaten auf PCÂŽs

Die Token liefern unter Windows ein einigermassen gute Ergebnisse, nur die
Smartcards verweigern im allgemeinen die Funktion.
Interessanterweise werden die Smartcards aber von Mozilla-Produkten
anstandslos aktzeptiert.

Windows 6 + 7 + 8 verlangen einen Treiber fÃŒr die Feitian Smartcard.
Weder bei Gooze noch bei Feitian wurde ich fÃŒndig.

Hat hierzu jemand eine Idee?

lg
JÃŒrgen
Post by Rolf Wald
Hallo JÃŒrgen,
On Tue, 23 Oct 2012 23:03:54 +0200
Post by Juergen M. Bruckner
Hallo liebe Community,
gibt es (schon) praktikable Lösungen fÌr die Implementation von CAcert
Zertifikaten auf SmartCards?
Ja, die gibt es. Schau doch mal auf www.gooze.eu , dort werden Produkte
von Feitian (Smartcard und Token) angeboten und es gibt auch
Anleitungen (Englisch) dazu.
Wir setzen bei uns im Verein CAcert Zertifikate ein, die sowohl auf
DatentrÀgern als auch auf Smartcards nutzbar sind. Falls du die Keys
und Zertifikate nur zur Authentifizierung benutzt, dann kannst du sie
gleich auf der Smartcard erzeugen. Wenn du jedoch damit auch E-Mails
signieren und verschlÃŒsseln willst, dann empfiehlt sich die
Speicherung zunÀchst auf DatentrÀgern (Backup!) und dann die
Übertragung auf die Smartcard.
Der große Vorteil dieser Smartcards ist die Möglichkeit, diese wieder
zu löschen und neu zu bespielen. Wir nutzen das ganze unter Linux ohne
proprietÀre Software. Die Einsatzmöglichkeiten sind vielfÀltig, sie
reichen von S/Mime E-Mail Signatur und VerschlÃŒsselung ÃŒber
Authentifizierung (Login , ssh usw. (pam...)) bis zur Verwendung mit
Openvpn und FestplattenverschlÃŒsselung (Cryptsetup-Luks)
Post by Juergen M. Bruckner
Hat jemand schon Erfahrung damit gemacht?
s.o. Nur die Auswahl geeigneter Smartcard-Reader ist etwas schwierig,
neben den von gooze angebotenen Readern funtionieren bei mir der SPR
532 /Chipdrive Pinpad Pro (SCM) und Gemalto PC PINPAD CLASS 2 READER,
wenn man einen Reader mit eigener Eingabetastatur haben möchte.
Entgegen der landlÀufigen Meinung, dass alle CCID kompatiblen Reader
mit der Feitian Karte arbeiten sollten, sprechen die Erfahrungen
dagegen, mit den Reiner SCT Readern und z.B. dem Cherry Board und Kobil
Readern geht es nicht (leider hilft meistens nur try & error).
Falls du spezielle Fragen hast, kannst du dich auch per PM an mich
wenden.
--
Mit freundlichen GrÌßen (kind regards) Rolf Wald
LUG-Balista Hamburg e.V., Germany
c/o BÃŒrgerhaus in Barmbek
Lorichsstr. 28a
22307 Hamburg
http://www.lug-balista.de
No HTML please
S/MIME signed email preferred, encryption wanted
--
mit freundlichen Gruessen / best regards
Juergen Bruckner
CAcert Assurer, CAcert Organisation Assurer
CAcert.org - Free Certificates
E-Mail: jbruckner-xHchwMmBYmcdnm+***@public.gmane.org
Web: http://www.cacert.org
Répási Tibor
2012-10-25 19:59:48 UTC
Permalink
Hallo Jürgen,

ja, die gibt es. Ich habe einen
http://www.gooze.eu/feitian-epass-pki-token, nutze ihn täglich unter
Linux (Debian) mit OpenSC (z.B. zur Login zu CACert), mit Windows hatte
ich es nur am Anfang ganz flüchtig ausprobiert und getestet.

Erfahrungen:
+ problemlos nutzbar unter Linux
+ OpenSC Tools sind leicht zu bedienen und logisch
+ mit Thunderbird und Firefox (bzw. Icedove/iceweasel unter Debian)
problemlos konfiguriert
- das PKCS#11 Modul ist in gewissen Fällen peinlich langsam (z.B.
Firefox ist in den ersten 5 Minuten unbrauchbar, danach geht's,
allerdings gibt es mit dem Hot-Plug Schwierigkeiten)
+ public key authentication mit SSH ein muss
+ Kommandozeilen Login unter Linux problemlos (wenn auch nicht ganz
straitforward)
+ KDM/GDM Login und Screensaver ebenfalls
- Geschwindigkeit zählt nicht zu den Stärken, aber im brauchbaren Bereich
- kein SO PIN mit OpenSC möglich
- unter Windows geht vieles (z.B. Logon) nur mit der proprietären
Feitian Software, unter Linux ist OpenSC die bessere Wahl, den Token
(bzw. SmartCard) kann man nicht mit OpenSC und der Feitian Software
abwechselnd nutzen (muss bei der Initialisierung entschieden werden)
- private keys löschen geht nur durch neu-initialisieren des Token (ist
eine Sicherheitsfeature)
+ gutes Preis/Leistung Verhältnis

Alles in allem: bin glücklich mit dem Teil, auch wenn so einiges besser
sein könnte.

Demnächst will ich mir einen http://www.gooze.eu/epass-2003 zulegen.
--
Best regards / Mit freundlichen Grüßen / Üdvözlettel

Tibor Répási
Post by Juergen M. Bruckner
Hallo liebe Community,
gibt es (schon) praktikable Lösungen für die Implementation von CAcert
Zertifikaten auf SmartCards?
Hat jemand schon Erfahrung damit gemacht?
lg
Jürgen
Loading...