Cryptography Reference
In-Depth Information
vice) und PC/SC-kompatible Chipkarten (ICC Integrated Chip Card), d.h. Chipkarten nach
ISO7816-1,2,3 [ISO03] vorliegen. Der PC/SC-Standard definiert in verschiedenen Teilen die
einzelnen Komponenten und Schnittstellen, um den Chipkartenzugriff für mehrere gleichzeitig
aktive Applikationen zu abstrahieren, Abb. 7-11.
Die wesentlichen Unterschiede des PC/SC-Standards zur CT-API sind eine Ressourcenverwal-
tung für verschiedene Chipkarten und Terminals sowie die Abstraktion der APDU-
Schnittstelle in der Chipkarten-Middleware. Der
ICC Ressource Manager
ermöglicht den
konkurrierenden Zugriff aus verschiedenen PC-Applikationen auf Terminal und Chipkarte.
Dabei erkennt er, ob eine Chipkarte gesteckt ist, verwaltet die Vergabe des Terminals und der
Chipkarte und verhindert, dass zusammengehörende APDU-Kommandosequenzen unterbro-
chen werden. Mit Hilfe des
ICC Service Providers
können unabhängig von APDUs Daten auf
der Chipkarte abgelegt werden. Zusätzlich kann mit diesem Service-Provider das Dateisystem
verändert und die Zugriffsrechte administriert werden. Der
Cryptographic Service Provider
(CSP) ist die Schnittstelle für die Verwendung der verschiedenen, auf der Chipkarte imple-
mentierten Kryptoalgorithmen (siehe Teil 6 in [PCSC97]). Im CSP befinden sich zum Beispiel
alle Funktionen, um die Basisdienste einer PKI zu realisieren. Zusätzlich werden über diesen
Service-Provider kryptographische Schlüssel erzeugt und administriert.
Die Trennung der Schnittstelle zur Applikation in zwei verschiedene Provider hat exportrech-
tliche Gründe, da manche Staaten die Einfuhr von Verschlüsselungstechnologie untersagen.
Ein wesentlicher Vorteil des PC/SC-Standards ist eine Kapselung der Funktionen von Chip-
karte und Terminal für den Zugriff aus verschiedenen Applikationen. Zusätzlich können ohne
Probleme unterschiedliche Kombinationen aus Chipkartenleser und Chipkarte (bei korrekter
Implementierung sogar gleichzeitig) betrieben werden. Realisierungen nach dem PC/SC-
Standard sind in Windows-Umgebungen weit verbreitet und ermöglichen meistens eine prob-
lemlose Integration von verschiedenen Terminals und Chipkarten-Betriebssystemen.
Ein Nachteil von PC/SC ist der noch geringe Verbreitungsgrad außerhalb von Windows-
Plattformen und Probleme bei der Kompatibilität zwischen PC/SC-Treibern verschiedener
Hersteller.
7.4.1.4
Der PKCS#11-Standard
Der „Public Key Cryptographic Standard“ (
PKCS
) Nummer 11 [PKCS11] beschreibt eine
Schnittstelle in C-Syntax zur Verwendung von PKI-Basisdiensten in Applikationen. Die in
dieser API definierten Funktionen, auch „Cryptoki“ genannt, können auf eine Chipkarte in
Software oder einen speziellen HSM (High Security Module) abgebildet werden. Ziel dieser
Spezifikation von den RSA Laboratories ist es, eine allgemeine Schnittstelle zur Integration
der verschiedensten Krypto-Komponenten (Token) in sicherheitskritische Applikationen zu
schaffen. Hier wird die Möglichkeit betrachtet, über PKCS#11-Module die Funktionalität von
Chipkarten zu nutzen. Wie in Abb. 7-12 dargestellt, ist der Chipkartenzugriff in der PKCS#11-
API gekapselt und kann in dieser Chipkarten-Middleware sowohl über die PC/SC-
Schnittstelle, als auch über die CT-API stattfinden.
Der PKCS#11-Standard unterscheidet zwischen verschiedenen Funktionsgruppen. Mit den
administrativen Funktionen wird ähnlich wie im PC/SC-Standard der Zugriff auf die Krypto-
