Hallo zusammen, ich bin für ein Zugangssystem auf der Suche nach einem NFC Tag, auf dem man einen Private Key ablegen und damit signieren kann. Als Smartcard habe ich so etwas schon gesehen, allerdings wäre kontaktloser Betrieb schöner. Ich habe mir auch Mifare-Karten (DESfire EV1) angeschaut, dort gefällt mir das Shared Secret Prinzip nicht. Mir schwebt in etwa folgende Architektur vor: 1) Benutzer hält ein Token vor den Leser 2) Leser sendet Request mit UID des Tokens an Server im LAN 3) Server generiert Zufallsdaten oder anderen One Time Content. 4) Server sendet die Zufallsdaten an den Leser 5) Leser lässt den Content vom Token (darauf ein Private Key) signieren 6) Signierter Content wird zum Server zurückgeschickt 7) Server hat eine Tabelle mit UID->Public Key Zuordnungen und prüft die Signatur, um Token zu Authentifizieren 8) Server unternimmt Schritte zum Zweck der Autorisierung Jetzt die Frage: Wo bekomme ich Tokens, auf die ich einen Private Key laden kann, den man nicht mehr auslesen, wohl aber damit signieren kann? Bei Smartcards gibt es dazu JavaCards, MuscleCards, usw., die man alle recht einfach mit OpenSSL und ein bisschen Code drumherum ansteuern könnte. Welche Technik (125kHz, 13,56 MHz, ...) spielt erstmal keine Rolle, solange ich einen Leser kaufen kann, den ich über irgend eine offene Schnittstelle wie USB, TWI, SPI oder ähnliches ansteuern kann. Ein "Schlüsselanhänger Token" wäre mir lieber als eine Karte (ansonsten ginge ja auch eine Dual Interface Cryptocard. Falls mir jemand eine gute solche nennen kann, wäre mir aber auch schon geholfen. Danke & Gruß Thomas
Schau mal bei LEGIC - die haben sowas im Programm...
Und immer schön dran denken auch noch distance boundig zu machen .....sonst kommt jemand mit dem bösen wormhole daher.
TestX schrieb: > Schau mal bei LEGIC - die haben sowas im Programm... Oh, danke für die Antwort, ich hatte gar keine Mailbenachrichtigung bekommen. Gerade zufällig vorbeigeschaut. Ich werde mir LEGIC mal anschauen.
Thomas S. schrieb: > über irgend eine offene > Schnittstelle Dass wird bei der LEGIC Lizenz Politik wohl eher das Problem werden
Jürgen D. schrieb: > Thomas S. schrieb: >> über irgend eine offene Schnittstelle > Dass wird bei der LEGIC Lizenz Politik wohl eher das Problem werden Richtig. Ich rede von einer kleinen Lösung im Privatbereich - da war ich in der Beschreibung etwas unpräzise. Auf dem "Kartenleser" soll noch mehr Funktionalität untergebracht werden, deshalb schwebt mir eine Eigenbaulösung vor. Ich hatte gehofft, etwas zu finden, was ich mit ein paar Zeilen C, einer OpenSSL-Lib, so etwas wie PCSC und einer ohnehin im Netzwerk schon vorhandenen PKI verwenden kann. Die LEGIC-Lösung klingt mir eher nach einem geschlossenen System - ich kaufe Karten und Leser und miete Infrastruktur. Das macht einen sehr ausgereiften Eindruck, schießt aber für meinen Zweck übers Ziel hinaus.
Schau mal hier, da könnte die NFC-Funktion sein was Du suchst: https://www.yubico.com/products/yubikey-hardware/yubikey-neo/
Update: Ich habe das ganze jetzt mit einer JavaCard und dem ISOApplet zum Laufen bekommen. Zumindest die einzelnen Komponenten. Die Karte erstellt jetzt ihre eigenen Schlüsselpaare (bis zu 16 Stück für verschiedene Zwecke). Der Public Key ist jeweils auslesbar. Mit OpenSC kann ich auf der Kommandozeile signieren bzw. dechiffrieren. Genau das, was ich gesucht habe. Dazu habe ich eine J3D081 Dual Interface-Karte verwendet. Kennt jemand ein kontaktloses JavaCard-kompatibles Token, das nicht im Kreditkartenformat, sondern in einem etwas robusteren Format für den Alltag (mir schwebt ein Schlüsselanhänger vor) erhältlich ist? Das kontaktbehaftete Interface brauche ich nicht - es geht in meinen Augen nur zulasten der Robustheit. Möglichst im preisgünstigen Bereich wie eine solche Karte (unter 20 Euro) und in kleinen Stückzahlen privat erhältlich?
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.