SmartCard für 2FA bei der Systemverschlüsselung

[DKK007]

Aktuelle Businessnotebooks wie die Dell Latitude, Lenovo Thinkpads oder HP Elite bieten einen SmartCard-Slot.
Wo bekommt man aber die entsprechenden kompatiblen Chipkarten dafür her?

Einsatzzweck wäre ein zweiter Faktor für die Verschlüsselung über die von Windows und Linux mitgebrachten Tools, also Bitlocker bzw. LUKS.

Was muss man da sonst noch beachten, damit sich mit einer Karte beide Systeme im Dualboot entsperren lassen?
Ist es eventuell sogar möglich für mehr Flexibilität, mehrere Karten für mehrere Notebooks zu verwenden?

 

[Olstyle]

Sind das nicht ganz normale iso7816 Karten die da gelesen werden? Also sowas https://www.reichelt.de/chipkarte-256-byte-2-kbit--chipkarte-256b-p37015.html

 

[Research]

Korrekt. Von manchen auch Smartcard genannt.
Nur auf die Größe achten.

 

[DKK007]

Muss die nicht spezielle Algorithmen wie RSA o.ä. beherrschen?

STARCOS – Wikipedia

de.wikipedia.org

 

[Research]

Das kommt drauf an.
Auf viele liegt nur ein Zertifikat.
Den Rest macht der Reader/Software.

 

[Malkolm]

Die Smartcard selbst wird alleine nicht reichen. Du willst sie ja als zweiten Faktor (Besitz) nutzen, d. h. die Smartcard muss den privaten Key a) besitzen b) nutzen und c) schützen. Bedeutet zusammengenommen, dass die Smartcard selbst ein entsprechendes Protokoll (FIDO, U2F, CA, BAC etc.) unterstützen muss. Neben der Hardware + OS (meist JavaCard ) braucht es noch das zu deinem gewünschten Protokoll oder Mechanismus passende Applet.

Ich kaufe meine Smartcards meist bei motechno.com. Für 2FA setze ich aber auf kommerzielle FIDO2 Token.

 

[DKK007]

Und für was nutzt du die Smartcards von dort?

 

[Malkolm]

Ich verdiene damit meine Brötchen Also nicht mit dem Einkaufen von SmartCards, sondern mit der Entwicklung und (hauptsächlich) der Sicherheitsevaluierung von IT-(Sicherheits-)Produkten auf Hardwarebasis. Dabei geht es fast immer um Authentisierungsmechanismen, sei es im Bankensektor (z.B. EMVCo-Standards), in hoheitlichen Dokumenten (Common-Criteria-Zertifierungen), in Form von 2FA (FIDO, FIDO2/ U2F) aber auch ganz profane Dinge wie Guthabenkarten in der Gastro, Werks-, Firmen- und Dienstausweise, ÖPNV-Bezahlkarten etc.

Bzgl. Festplattenverschlüsselung wäre mein Rat übrigens die Nutzung des TPM, das sich in quasi allen aktuellen PCs/Laptops befindet. Bitlocker setzt z.B. ausschließlich auf diese Standards. Ein TPM auf SmartCard-Basis ist mir noch nicht untergekommen, im Gegenteil: es gibt einige Produkte, die das TPM nutzen um eine "virtuelle SmartCard" zu emulieren.

 

[DKK007]

Wobei es schon gerade darum geht die Karte in Hardware als 2. Faktor zu haben, weil die sich einfacher wegschließen lässt.