Windows VISTA でのスマートカード 2007/6/25 Microsoft Consulting Services Satoshi Kayama,CISSP
Slide 2 Agenda はじめに用語の確認エンタープラズセキュリテゖゕーキテクチャーにおけるスマートカードの位置づけシングルサンオンの課題ケルベロス認証におけるスマートカードの役割ドラバーの新ゕーキテクチャー概念概念図対応 OS について VISTA 新機能のご紹介 OS に統合された PIN 変更機能 EFS 証明書のスマートカード対応 EFS 証明書の発行の方法カードがない場合のフゔルゕクセス時の UI ルート証明書の格納ドラバー認定
はじめにー用語の確認スマートカード :IC カード Slide 3
Slide 4 スマートカード :Smartcard ゕメリカを中心に IC カードのことをスマートカードと呼びます IC チップ内に CPU があり 頭脳をもった カードという意味からスマートカードと呼びます ヨーロッパ 日本では IC カードと呼びます ISOの記述などでもICカードを ICC=IC Cardとな っています マクロソフトはゕメリカの会社であるため IC カードといわずスマートカードと呼んでいます 本セミナーでも IC カードとスマートカードは同じ意味で表現します ISO7816: 接触式 IC カードをベースとします
エンタープラズセキュリテゖにおける PKI / スマートカードの位置づけ Slide 5
Slide 6 2 つの CIA セキュリティの CIA C Confidentiality I Integrity A Availability ( 機密性 ) ( 完全性 ) ( 可用性 ) PKI の CIA C Confidentiality ( 機密性 ) I Integrity ( 完全性 ) A Authentication( 認証 )
ひとつの要素技術で 3 大要素に対応 セキュリティ 3 大要素 Confidential Integrity Available Confidential 機密性の例 EFS S/MIME IPSec 認証後のアクセス制御 SSL 認証後の通信 Integrity 署名の例 S/MIME MS-WORD 認証要求データの署名 PKI3 大要素 Authentication 認証の例 SSL 認証, スマートカードログオンワイヤレスLAN 認証 IPSec Slide 7
マクロソフト内での利用可能なサービス 主な例 M 給与明細の Web 閲覧 ワイヤレス LAN による会議室でのネット接続 ( メール確認や会議内容の速報 ) IC カードを利用した VPN 接続による社外からのデータアクセス 交通費の清算と確認 社外 Web からの メール確認 (OWA) 作成したドキュメントのアクセス権の設定 社外からは 出張申請 稟議申請 AD にログオン ( 社員と確認されたら ) Windows Mobile メール確認 人事考課の 入力 閲覧 座席表と顔写真の確認 電話番号の確認 専門分野での仲間集め キーマンの確認 部門で共有すべき データの提出 会議開催通知と会議室予約 ( 部門内のみ閲覧可能 ) すべてのシステムの本人確認 Active Directoryを利用 Slide 8
Slide 9 シングルサインオンの整理 一度の認証でネットワーク資源を網羅的にアクセスする手段メリットユーザはパスワードをひとつだけ記憶すればよいデメリット : リスク単一障害ポイント ( 論理的 ) パスワードが不正利用されるとネットワーク全体に被害が及ぶ デメリットが転じて 単一 監視 ポイントになるメリットに 最初の認証を強化することが全体のセキュリティ向上につながる
Slide 10 シングルサインオン環境における 認証強化の必要性 シングルサインオンのリスクを低減するため 初期の認証を二重化 2 因子認証 (Two factor authentication) アカウンタビリティ ネットワーク上の行為について 自分が実施したことを確実に主張できる ルールに則ったこと以外はしていない セキュリティ コンプライアンスの前提
Slide 11 お城の守り方とシングルサインオン 単一監視ポント 単一障害ポント
生産性原則とセキュリテゖ原則の確認 情報共有 ファイル共有 ポータルサイトなど 一元管理 AD 環境 アカウントの集約 本人確認 ICカードにも CPUとOSが実装 知識分離 Windows 外の OS に本人確認情報を格納 二重管理 カード ( 証明書 ) 所有とPINの記憶 Slide 12
Slide 13 ケルベロス認証でのスマートカードの役割 ~Windows 上の代表的 PKI ゕプリケーション ケルベロス認証 : ギリシャ神話に出てくる黄泉の国の入口を守る 3 つの頭をもつ番犬の名前であるから転じて
Slide 14 Active Directory 環境でのシングルサンオン概念 Logon to Windows Active Directory Exchange Web APPS File Share Windows Integrated Applications
ケルベロス認証の基本 1. ドメインコントローラー認証 ( 認証 ) KDC Active Directory Ticket 2. クライアントへチケットを付与 ( 認可 ) Request Windows 2000 ドメインコントローラー Ticket 3. チケットを表示し リソースへアクセス要求 ACL Files Devices ACL Applications ACL 4. Resource クライアント 4. サーバーがチケットを検証, サーバー上のアクセスコントロールリスト (ACL) を元にアクセスを許可 拒否 Windows 2000 サーバー Slide 15
切符,券売機,自動改札機の利用で比喩すると ドメイン コントローラー 認証 1. お金 KDC Active Directory (認証) Ticket チケット クライアントへ チケットを付与 2. Devices きっぷ販売機 ACL Files Applications ACL Request (認可) 3. 所望の場所に 移動 Ticket ACL チケットを表示し リソースへ アクセス要求 改札機 下車 4. Resource 4. クライアント 改札機 乗車 サーバーがチケットを検証, サーバー上の アクセスコントロールリスト ACL を元に アクセスを許可 拒否 改札機 Slide 16
スマートカードログオンは 1. ドメインコントローラー認証 お金と南京錠 ( 認証 ) KDC Active Directory Ticket 施錠されたキップ 2. クライアントへチケットを付与 きっぷ販売機 Files Devices ACL ( 認可 ) Request 改札機 ( 乗車 ) Ticket ACL Applications ACL 3. チケットを表示し リソースへアクセス要求 所望の場所に移動 クライアント 改札機 ( 下車 ) 4. Resource 4. サーバーがチケットを検証, サーバー上のアクセスコントロールリスト (ACL) を元にアクセスを許可 拒否 改札機 Slide 17
Slide 18 技術仕様 Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) http://www.ietf.org/rfc/rfc4556.txt
VISTA のスマートカード 変わること 変わらないこと Slide 19
Windowsとスマートカードの関係 スマートカードは電子証明書と秘密鍵のス トゕの位置づけ 変わらないこと カードベンダーのCSPを必要とします 変わること CSP WindowとICチップ間の 通信を行う Slide 20
XP,2000 までのゕーキテクチャー Crypto Applications (IE, Outlook) CAPI Smart Card CSP #1 Smart Card CSP #2 Smart Card CSP #n Smart Card Resource Manager Card Reader # 1 Card Reader # 2 Slide 21
VISTA以降のゕーキテクチャー Crypto Applications (IE, Outlook) VISTAではあらかじめ実装さ れています CAPI Microsoft Base Smart Card CSP RSA/ECC Mini Driver RSA Mini Driver 従来のベンダー CSP相当の機能 Smart Card Resource Manager Card Reader #1 Card Reader #2 Slide 22
Slide 23 新旧ドラバーのカバー範囲 VISTA の新機能 XP までの Smartcard 機能 Microsoft Base Smart Card CSP ( ダウンロードセンタ )KB909520 Mini Driver Smart Card CSP
ンストール対象OSについて 旧Smartcard CSP はVITSAに ンストール可能 ただし VISTAの新機能は使えずXPの機能のみ MS Base CSP Mini DriverはVISTAだけでなく XP,2000,2003にも ンストール可能 ただし そのOSの持つ機能が適用されるのみ スマートカード利用のEFSやOSからのPIN変更はできない サポートされているオペレーティング システム Windows Windows Windows Windows Windows 2000 Service Pack 4; Server 2003; XP Service Pack 1; XP Service Pack 2 Server 2003 Service Pack 1 Slide 24
Slide 25 ンストール対象 補足 各ドラバーは相互にンストール可能 ただし OS, ドラバーの機能範囲での動作 Microsoft Base Smart Card CSP ( ダウンロードセンタ )KB909520 Smart Card CSP Mini Driver VISTA XP
Slide 26 Mini Driver の動作例 Smart Card CSP Microsoft Base Smart Card CSP
新機能の紹介 Slide 27
Slide 28 ログオン先頭画面の変化 -PIN 入力の方法の改善
Slide 29 ログオン画面の変化 XP PC/SC 規格の IC カード読取装置が Windows で認識され Scardsvr と呼ばれるサービスが稼動している環境では自動的に以下のように表示が変更されます
VISTA のログオン画面 Slide 30
Slide 31 XP までの PIN 入力スマートカードの挿入動作で PIN 入力画面に推移 操作ミスをするとカードを一度抜いて 再度セットしなければならない
VISTA の PIN 入力画面の変化マウスクリックで PIN 入力画面に推移 Slide 32
PIN( 暗証番号 ) 変更 OS メニュー統合 Slide 33
OS メニューからの暗証番号変更 パスワード変更画面 PIN 変更画面 Slide 34
従来の暗証番号変更ツール スマートカードベンダーが独自に開発し PIN 変更ツール配布が必要だった MS の PIN 変更画面 Slide 35
スマートカードログオン証明書複数格納 Slide 36
複数ユーザのログオン対応 Slide 37
Slide 38 想定される活用例 日米欧など国別ドメンへのログオン グローバル企業 事業部 分社化された環境への対応 管理者 としての作業 一般ユーザ としての作業の切換え スマートカードの PIN は共通なので あくまで同じユーザに用途別に複数証明書を発行した場合の利用を前提
Slide 39 EFS 証明書スマートカード格納 EFS Encrypted File System 暗号化ファイルシステム Windows2000 以降の機能 NTFS フォーマットが条件
EFS のスマートカード対応 Slide 40
EFS フゔルゕクセス時スマートカードがない場合の UI Slide 41
EFS フゔルゕクセス時スマートカードがない場合の UI Slide 42
Slide 43 EFS スマートカード対応の意義 知識分離 二重管理の原則 PC とスマートカードを同時に紛失 盗難しないかぎり安全 PIN を規定回数間違えるとスマートカードの機能設定によりロックをかけることができる オフラン環境での安全性の向上 1 人が複数台 PC を利用する場合 EFS フゔルのローミングが可能になる
ルート証明書スマートカード格納 Slide 44
Slide 45 拡張された証明書ストゕ スマートカード用に新しく定義された証明書ストア
Slide 46 ルート証明書格納コマンド C: Users skayama>certutil -scroots -? 使用法 : CertUtil [ オプション ] -SCRoots update [+][ 入力ルートファイル ] [ 読み取り装置名 ] CertUtil [ オプション ] -SCRoots save @ 出力ルートファイル [ 読み取り装置名 ] CertUtil [ オプション ] -SCRoots view [ 入力ルートファイル 読み取り装置名 ] CertUtil [ オプション ] -SCRoots delete [ 読み取り装置名 ] スマートカードルート証明書の管理
コマンドの適用例 Slide 47
Slide 48 フゔルからルート証明書のンポート結果スマートカードではなく フゔルから手動操作でルート証明書をンポートしたときのエラーメッセージ スマートカード以外からのンポートは禁止されています
スマートカードの信頼されたルート証明書ストゕからのクリーンゕップ方法 Slide 49 以下の 2 方式をサポート カードを抜いた時にストアから削除 ログオフ時にストアから削除 (IC チップの証明書は削除されません )
Slide 50 ルート証明書スマートカード格納の意義 ルート証明書をスマートカードに格納できるので証明書の検証がオンスポットで可能 カードを抜くことでルート証明書のクリーンゕップも可能 セキュリテゖ媒体でのルート証明書配布 電子デバスの特性を生かしたルート証明書の配布と保護
Mini Driver ドラバー認定の予定 Slide 51
Slide 52 ドラバー認定 従来の CSP は MS へ署名される必要があった これは暗号製品の管理が趣旨 周辺機器 (NIC やプリンタ等 ) のドラバ署名とは性格が異なっていた 新しいゕーキテクチャーである Mini Driver を対象として 2007 年秋をメドにドラバ認定スキームが決定
Slide 53 ドラバー認定されると 動作認定ではなく 関数レベルのゕタックをチェック ( 他のソフトに影響を与えないことを認定 ) ンストール時の警告が表示されない Windows Update によりンターネット経由で mini driver のダウンロード可能 ンターネットに接続できる環境で カードをセットしたとき 対応する mini Driver がない場合自動でダウンロードされる ( 予定 ) Windows Update に mini Driver を登録するかどうかはカードベンダーの選択
Slide 54 参考資料 スマートカードミニドラバの認定要件 http://www.microsoft.com/japan/whdc/de vice/input/smartcard/scminidriver_certreqs.mspx Windows Logo Program Requirements V. 3.0(mini-driver 要件は 次のバージョンに含まれる予定 ) http://www.microsoft.com/japan/whdc/wi nlogo/hwrequirements.mspx
2006 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. Slide 55