RBAC mit LDAP | PGP mit iKey3000

IT-Security Whitepaper:
Kurze Anleitung für iKey 3000 und PGP8

logo

Wofür kann man iKey 3000 gebrauchen?

Ich habe einen iKey an meinem normalen Schlüsselbund und nutze ihn, um vertrauliche Daten auf meinem Notebook zu schützen. iKey 3000 ist ein USB-Token von Rainbow und wie eine SmartCard einzusetzen. Zur Verschlüsselung von Verzeichnissen verwende ich PGPdisk. PGP kann die Schlüssel im iKey generieren und nutzen. Zuerst hatte ich an EFS von Windows XP gedacht, aber das funktioniert nicht mit einer SmartCard zusammen.

Weil iKey 3000 intern ein weitverbreitetes SmartCard-Chipset verwendet, und auch eine übliche SmartCard-Middleware nutzt, sollte er überall einsetzbar sein, wo auch SmartCards eingesetzt werden können. Es gibt noch eine ganze Reihe weiterer Möglichkeiten, die ich irgendwann einmal ausprobieren möchte, insbesondere auch mit einem Apple iMac, oder Sun SPARC, oder Linux.

Informationen

Von der Website des Herstellers Rainbow http://www.rainbow.com bekommt man leider nur spärliche Informationen. Folgendes wäre bei einer Recherche zu beachten: iKey 3000 hat ein ganz anderes Chipset als iKey 1000 oder 2000, so dass Informationen oder Treiber für iKey 1000 oder 2000 nicht für iKey 3000 verwendbar sind. Der Link für Support von Rainbow bzw. SafeNet ist: http://www.rainbow.com/support/Display_ProductSearch.asp. Selbstverständlich können wir für diesen externen Link keine Gewähr übernehmen.

Installation

Die Software sollte sich auf der CD zum iKey befinden. Es handelt sich um die Datei SafeSign-STARCOS-1.0.9.04.zip. Nach Entpacken der zip.Datei bekommt man eine gleichnamige .exe-Datei, die man starten kann.
Diese wiederum entpackt sich in ein paar CAB- und Setup-Dateien mit einer setup.exe. Folgendes wird installiert:

Initialisierung des Tokens

Nach der Installation der Software sollte man das Token initialisieren, um die Kennworte neu zu setzen. Die PIN ist der Zugangscode, den man sich gut merken muss, weil man ihn täglich verwendet. Die PUK ist die Administratorkennung, die man sorgfältig aufhebt, weil man sie nur dann benötigt, wenn man die PIN trotzdem vergessen haben sollte.

Nutzung durch PGPkeys

PGP 8 kann in der kommerziellen Version SmartCards und gleichwertige USB-Keys verwenden. Zuerst muss PGP korrekt installiert und eingerichtet sein. Insbesondere wenn man mit WinXP nicht beständig unter Administrator-Kennung arbeiten möchte, muss man ein bisschen tricksen.

In PGP muss der SmartCard-Support konfiguriert werden, indem die pkcs#11-Support-DLL aetpkssl.dll eingerichtet wird. Wie schon oben gesagt, die Auswahl "Rainbow" bezieht sich auf iKey 1000/2000 und wird vermutlich nicht funktionieren.

Generierung des Schlüssels

Den Schlüssel kann man mit PGPkeys jetzt auf der SmartCard generieren, im Wizard gibt es dazu an einer Stelle ein Kästchen, das man ankreuzen muss. Hier nur das Ergebnis:

PKCS#11 Objekte

Zu guter Letzt kann man sich die Schlüssel noch auf dem iKey mit dem "Token Management"-Tool anschauen:

Impressum | Kontakt | ©2006 Schnedermann Software-Consulting GmbH