Esistono due modi per eseguire l'autenticazione del client smartcard sul Web: standard TLS/SSL o plug-in personalizzati per il browser. Presumo che tu stia parlando di browser web standard (IE/FF/Safari) e autenticazione SSL.
Ci sono due cose che contano per il PIN istruzioni visualizzate:
- sessione SSL e SSL cache di sessione del browser
- on-card stato di autenticazione della relativa chiave
- il modo middleware privato implementato.
Alla fine, dal punto di vista della sicurezza, è la carta che sa quando a "chiedere” un PIN - alcune schede e chiavi richiedono un PIN per ogni operazione con la chiave, alcune carte sono OK per ottenere una PIN una volta e lascia le chiavi in stato di autenticazione fino a quando non viene rimosso dal lettore o ripristinato da un'applicazione.
Se la sessione nella cache del browser non può essere riutilizzata o quando viene stabilita la connessione, il middleware smart card (PKCS # 11 su Linux, modulo CryptoAPI/BaseCSP su Windows o Tokend su OSX) deve parla con i tasti sulla carta. Se lo stato di autenticazione sulla scheda richiede l'inserimento di un PIN, in genere il callback viene attivato dal browser. O se il middleware sa che avrà bisogno del PIN, lo chiederà prima di parlare con la carta.
Non esiste una relazione 1: 1 tra l'immissione di un PIN e la re-autenticazione dei diritti di accesso alla chiave privata e la riautenticazione della sessione SSL.
Con SSL standard, si dipende dal modo in cui SSL è implementato nei browser e non si può avere un affidabile "re-autenticazione al 100%" inserendo il PIN sul lato client.
Se si utilizza Linux, quindi con OpenSC (che, AFAIK può utilizzare schede CAC) è possibile impostare "transaction_reset" in opensc.conf su true, il che comporta il ripristino della scheda dopo ogni transazione (ogni negoziazione di sessione SSL) e in questo modo si può essere sicuri che ogni volta che si apre una nuova sessione SSL, l'utente deve inserire nuovamente il PIN. Questa è una configurazione lato client, tuttavia non una funzione avviata dal server.
fonte
2009-11-26 08:51:37
Si prega di condividere come questo problema è stato risolto. :) –
@Kevin Ho respinto il requisito spiegando al cliente che il timeout del pin sulla scheda CAC è completamente indipendente dal browser. Dal punto di vista della sicurezza non è una buona idea cercare di interferire con il normale funzionamento. La loro persona di sicurezza ha convenuto che non era necessario che il cliente reinserisse il pin ogni volta; un approccio migliore è quello di rientrare solo se è scaduto. – adg