Sammanfattning av RSA Passage - Utvärdering av produkter för säker autentisering i Windowsmiljö

6.4 Sammanfattning av RSA Passage

Passage erbjuder tre sätt att autentisera användare med hårdvaruenheter, certifikatinloggning, så kallad Passageinloggning samt förautentisering med mjukvaruenheter. De två första sätten skiljer sig inte åt ur användarnas synvinkel, då handhavandet är identiskt. Dock skiljer sig den underliggande tekniken åt mar- kant. Det sista sättet, att autentisera användaren med en mjukvaruenhet före Win- dowsinloggningen, innebär fler moment än inloggning med enbart lösenord eller hårdvaruenhet, vilket försvårar för användaren. Dock har mjukvaruenheter ett värde vid fjärrinloggning genom att det kan vara möjligt att ersätta de hårdvaru- enheter som används idag med smartkort eller USB-enheter.

Valet mellan smartkort och USB-enheter bör övervägas noga. Om företaget vill använda hårdvaruenheterna både för fysisk och digital identifikation, är smart- korten det naturliga valet. Om det anses viktigare att lösningen inte kräver extra hårdvara, bör USB-enheter väljas.

I det skick Passage är idag, är certifikatinloggning inte praktiskt användbar. Dock arbetar RSA på problemet och om det löses uppfyller denna produkt de krav som företaget ställt och erbjuder ytterligare funktionalitet för framtiden.

Kapitel 7

Test av Rainbow iKey

I detta kapitel beskrivs produkten iKey 2032 från Rainbow Technologies. Först ges en allmän beskrivning av hur produkten används av slutanvändare samt administration av produkten och närliggande tjänster. Därefter redovisas hur produkten uppfyller de krav som ställts upp och sist ges en kort genomgång av den funktionalitet utöver kraven som produkten erbjuder.

7.1 Allmänt

Rainbow iKey är en kryptografisk hårdvaruenhet i form av en USB-nyckel. I produkten ingår även programvara för hantering av enheterna och integrering av dessa i Windows inloggningsmekanismer. I det här avsnittet bekrivs hur produkten ser ut för användare samt hur administrationen av den går till.

7.1.1 Administration

Avsikten med detta avsnitt är att ge en överblick av administrationen av iKey. Se bilaga C för detaljer om hur installationen av produkten genomfördes och hur den konfigurerades.

Innan en iKey går att använda måste enheten initialiseras, vilket görs via verktyget Token Utilities som medföljer iKey, se figur 7.1. Initialiseringen startas genom ett menyval och tar några sekunder. Därefter har enheten tilldelats en förvald PIN-kod som måste ersättas med en unik kod för varje användare. Detta kan ad- ministratören sköta från Token Utilities direkt eller så får användarna själva ordna detta genom den Pass Phrase Utility som medföljer klientprogramvaran. Fördelen med att sätta en personlig PIN-kod, även fast användarna själva kan ändra den ef- teråt, är att risken att den förvalda PIN-koden blir kvar på enheterna elimineras. I Token Utilities sätts även ett namn på iKeyenheten för att skilja den från andra enheter, till exempel kan namnet väljas till användarens anställningskod för att göra det extra tydligt vem den tillhör. Administratören kan också ändra den tid

Figur 7.1.Huvudvyn i Token Utilities för iKey. Källa: Egen konstruktion

som enheten ska komma ihåg att användaren angett sin PIN-kod. Om inte privat information på enheten används inom denna tid kommer användaren att avkrä- vas PIN-koden på nytt nästa gång denna information behövs. Denna inställning gör att användaren slipper skriva in sin PIN-kod vid varje tillfälle som privat information på enheten behöver kommas åt.

I certifikatvyn i Token Utilities, se figur 7.2, hanteras de certifikat som lagras på enheten. I denna vy visas de behållare för certifikat som finns på enheten och vilka certifikat de innehåller. Enheten kan lagra upp till fyra certifikat men det är endast det som ligger i den så kallade default container som kan användas för Windowsinloggning. Möjligheten finns därför att bestämma vilken av behållarna som ska vara förvald. Begränsningen att endast ett certifikat på en kryptografisk enhet kan användas för inloggning beror på det sätt som Windows 2000 hanterar inloggning med sådana enheter [12]. Det går även att registrera certifikaten på datorn, vilket krävs för att kunna använda dem för kryptografiska operationer i applikationer på arbetsstationen. Det certifikat som användaren loggat in med registreras automatiskt, men övriga måste registreras manuellt. Val för att radera certifikat från systemet och från enheten finns även, dock är det inte möjligt att radera certifikatet både från enheten och från systemet. Ny information för kryptografiska operationer importeras från filer som är i PKCS #12-format, vilka bland annat kan innehålla certifikat och privata nycklar.

Genom att installera verktyget Token Utilities på klientdatorerna får användar- na möjlighet att administrera sina certifikat och enheterna på egen hand. Nackde- len med att ge användarna möjlighet att själva administrera sina enheter är att om någon av misstag skulle välja att initialisera sin enhet så kan inte denna längre användas för autentisering eftersom alla certifikat som lagrats på den raderats.

Som beskrivits ovan kan certifikat och nycklar importeras till enheten men den kan även själv generera nycklar, vilket ur säkerhetssynpunkt är det bästa sättet att hantera användare med kryptografiska enheter. Eftersom nycklarna genereras in- ternt i enheten behöver den privata nyckeln aldrig lagras eller hanteras på annat sätt utanför enheten och risken att den skulle kunna fångas upp någonstans mini- meras. Utfärdandet av certifikat kan till exempel göras från särskilda stationer via

7.1 Allmänt 57

Figur 7.2.Certifikatlistan för en iKey i Token Utilities. Källa: Egen konstruktion

webbgränssnittet till Windows CA-tjänst, se figur 7.3. När en administratör enrol- lerar en användare, det vill säga tilldelar användaren ett certifikat med tillhörande nycklar, väljer denne den CSP (se avsnitt 2.3.2) som motsvarar den kryptografiska enheten. För iKey ska Datakey RSA CSP väljas. Nyckelgenereringen sker då i iKey-enheten som sedan skickar ut den publika nyckeln samt en digital signatur, vilket CA:n använder för att skapa motsvarande digitala certifikat. Observera att den privata nyckeln i nyckelpar som genererats i en iKey inte tillåts att exporteras från enheten och att det därför inte är möjligt att använda certifikatet för att sig- nera eller kryptera meddelanden om inte användarens iKeyenhet är ansluten till datorn. På företaget ska det dock inte vara möjligt att använda en dator utan en ansluten enhet.

7.1.2 Användning

Vid inloggning till en arbetsstation med Windows 2000 möts användaren av en välkomstskärm med uppmaningen att trycka tangentkombinationen Control-Alt- Delete. Detta är en så kallad secure attention sequence och eftersom den alltid fångas upp av operativsystemet vet användaren att det lösenord denne skriver in verk- ligen går till inloggningsprocessen och inte fångas upp av något program som imiterar Windows GINA för att stjäla lösenord. När drivrutinerna för iKey in- stallerats på en arbetsstation räcker det med att ansluta enheten till en USB-port

Figur 7.3.Utfärdande av certifikat att lagras på iKey. Källa: Egen konstruktion

istället för att trycka Control-Alt-Delete. Detta indikeras i välkomstskärmen i Win- dows GINA som en liten bild av ett smartkort, se figur 7.4. När en iKeyenhet anslutits uppmanas användaren att skriva in sin PIN-kod för enheten, se figur 7.5. Denna kod används endast av iKey och motsvarar alltså inte det lösenord som an- vändaren normalt använder eftersom autentiseringen sker med certifikat till skillnad från autentisering med domänlösenord. När användaren autentiserats sker inloggningen som vanligt och användaren märker inte längre av skillnaden mot det vanliga förfarandet.

Figur 7.4.Windows GINA med stöd för smartkort. Källa: Egen konstruktion

Användaren kan låsa arbetsstationen och stänga av den på samma sätt som vanligt. En skillnad är att arbetsstationen även låses omedelbart när iKey-enheten tas bort från USB-porten som den anslutits till (om inloggningspolicyn konfigure-

7.2 Kravuppfyllnad 59

Figur 7.5.Inmatning av PIN i Windows GINA. Källa: Egen konstruktion

rats för detta; se bilaga C). Det är möjligt att även tillåta inloggning med vanliga lösenord parallellt med certifikatinloggning, dock är det inte möjligt att låsa upp en arbetsstation med lösenord om användaren som låst datorn är inloggad med en iKey. Samma enhet måste då användas för att få tillgång till datorn igen, endast en administratör kan använda sin enhet eller lösenord för att avsluta användarens session och frigöra arbetsstationen för användning.

Om användarens certifikat är av typen Smartcard User kan det även användas för säker e-post till skillnad från certifikat av typen Smartcard Logon som endast kan användas för inloggning. När e-postklienten, i det här fallet Outlook, konfi- gurerats för att hantera säker e-post med certifikat som lagrats på en iKey fungerar det utmärkt att skicka och ta emot signerad och krypterad e-post. När e-post ska signeras eller när krypterad e-post ska läsas krävs att användaren anger sin PIN- kod för den kryptografiska enheten eftersom det är operationer som använder den privata nyckeln. I övrigt märker användaren inte att kryptonycklarna ligger på en iKey och inte lokalt på arbetsstationen.

7.2 Kravuppfyllnad

I detta avsnitt undersöks hur väl lösningen med iKeyenheter uppfyller de krav som ställts upp, se tabell 4.1 på sidan 20.

7.2.1 Säkerhet

Som beskrivits i kapitel 5 uppfyller iKey kraven i kategorin Säkerhet i grundut- förandet. Undantaget är kravet på något man måste bära med sig, eftersom USB- enheten inte kan användas som fotolegitimation eller inpassering. Det senare är dock möjligt att komplettera med om företaget så önskar.

7.2.2 Användarvänlighet

När en användare är inloggad på en arbetsstation och tar med sig enheten kan denne använda enheten för att logga in på andra arbetsstationer, kravet på flera inloggningar är alltså uppfyllt även om endast den dator där enheten är ansluten

för tillfället kan vara upplåst. Kombinationen av kraven flera behörigheter och inget extra att bära på stöds däremot inte av denna lösning eftersom Windows 2000 endast tillåter ett certifikat per enhet för nätverksinloggning. iKey har inte heller några andra mekanismer för inloggning. Användare som har flera roller i nätver- ket kommer alltså behöva en enhet per roll. Att växla identitet fungerar på samma sätt som vanligt med hjälp av Windows sekundära inloggning vilket medger att applikationer kan köras med andra rättigheter än de den inloggade användaren har. Detta kan även stängas av genom att Runas-tjänsten avaktiveras.

Jag har mätt tiden som inloggningsförfarandet från klientdatorn tar, både med iKeyenheten och med lösenordsinloggning mot samma användarkonto. Tidsskill- naden är helt försumbar, så att tvingas ansluta en USB-enhet hindrar inte att kravet på snabb inloggning uppfylls. Däremot innehåller lösningen inte någon meka- nism för att underlätta single sign-on och eftersom enheten endast kan användas för certifikatbaserad inloggning kan den inte användas för inloggning till lokala konton. Det finns inget som hindrar lång inloggning, utan det fungerar precis som vanligt. Det är möjligt att koppla flera certifikat till samma konto för inloggning, därför går det att besöka arbetsstation och att ha en gemensam profil på arbetsstationer är då trivialt uppfyllt eftersom flera användare kan använda samma konto. Windows sparar information om utförda inloggningar och medger inloggning utan nätverk även för certifikatbaserad inloggning på motsvarande sätt som för inloggning med lösenord. Inkoppling av extern utrustning stöds inte på något enkelt sätt då mjukvara i så fall måste installeras och inloggningen på utrustningen måste ske via domänen om iKey ska användas för detta.

7.2.3 Övrigt

De flesta kraven i kategorin Övrigt är trivialt uppfyllda i och med att produkten gått att installera och använda i en miljö som liknar företagets ordinarie nätverk. Kompatibelt med Active Directory uppfylls eftersom det är just Active Directory som hanterar användarkonton i testdomänen. Eftersom det är möjligt att tillåta vissa konton att använda lösenord för inloggning är detta kompatibelt med CCM som behöver denna möjlighet för att utföra uppgifter på klientdatorerna. De operativ- system som använts i testerna är identiska med företagets servrar och klienter. Jag har varit i kontakt med Rainbows återförsäljare Smartsec via e-post och telefon och jag har fått snabba svar på mina frågor och har fått intrycket att de är seriösa och måna om sina kunder. Jag har även haft telefonkontakt med en representant från Rainbows Europakontor i Storbritannien som svarade på mina frågor. Min bedömning är därför att kravet på support kan uppfyllas för denna produkt.

Eftersom iKey endast kräver USB vilket moderna datorer är utrustade med, krävs ingen extra hårdvara. Dock kan eventuellt ett USB-nav vara önskvärt för att underlätta för användarna genom att göra USB-portarna mer tillgängliga. Det pa- ket med fem iKey-enheter och programvara som jag använt i mina tester kostade 2000 kronor, men jag har inte begärt offert på ett större antal enheter och kan därför inte säga vilket pris som skulle vara aktuellt för skarp installation av produkten.

7.3 Övriga bedömningsgrunder 61

7.3 Övriga bedömningsgrunder

I detta avsnitt kommenteras produkten med utgångspunkt från de punkter för produkturval som finns i tabell 3.1 på sidan 16.

7.3.1 Lämplighet för användare

Vad gäller punkten Användarvänlighet, är min bedömning att produkten är myc- ket lätt att lära sig använda. Att sätta en enhet i en USB-port och ange en PIN-kod motsvarar förfarandet vid en bankomat som jag tror att de flesta av företagets användare är bekanta med. Eftersom produkten heller inte introducerar några hinder eller kräver att det vanliga arbetet förändras tror jag att användare snabbt kan lära sig använda produkten och acceptera den som ett bra alternativ till lö- senordsinloggning. Lösningen är även högst portabel, ingen extra hårdvara är nödvändig för att utnyttja det nya inloggningsförfarandet från en arbetsstation och det medför även att lösningen fungerar lika bra på företagets bärbara datorer. Den mjukvara som krävs installeras via administrationssystemet CCM.

Vad gäller att använda iKey för andra ändamål än inloggning i nätverket er- bjuds inget utöver att enheten kan lagra flera certifikat, vilket kan användas i andra PKI-applikationer. Möjligheterna att använda en USB-enhet för inpassering eller som foto-ID är dock små.

7.3.2 Lämplighet för företaget

Säkerheten som iKey erbjuder relativt andra produkter är god. Alla produkter på marknaden stöder minst 1024 bitars nycklar för RSA-operationer och iKey ger även möjligheten att använda 2048 bitars nyckellängder, vilket ger god marginal för framtiden. Det är heller inte möjligt att på ett enkelt sätt komma åt privat information som lagrats på enheten, vilket garanteras av att den är certifierad enligt FIPS 140-1. Som visats är iKeylösningen även kompatibel med de system som finns idag. Eftersom lösningen inte kräver någon hårdvara förutom själva enheten, samt att mjukvara och kontohantering kan skötas centralt på samma sätt som idag, ser jag inget hinder för att en autentiseringslösning baserad på iKey skulle kunna skala till den nivå som behövs idag såväl som i framtiden.

De framtida möjligheter som finns är sådana som baseras på PKI och som tjä- nar på att kunna lagra nycklar och certifikat i säkra behållare som är knutna till användare. Som visats ovan är kryptering och signering av e-post ett exempel på detta.

In document Utvärdering av produkter för säker autentisering i Windowsmiljö (Page 71-79)