Smartcards zum Schutz vor Keylogger

[Sabrina2000]

Ich frage mich ob es mittlerweile noch ein Problem für Keylogger ist, die Passwörter durch Smartcards auszulesen.
Ich glaube auch die Polizei und Bundeswehr nutzt Smartcards, um die Daten auf ihren PCs zu verschlüsseln.

Wenn eine Zeichenfolge aus 30 und mehr Stellen durch die Smartcard keinen Sinn macht, frage ich mich warum Unternehmen so etwas überhaupt nutzen sollten, wenn ein Keylogger für Passwörter wie zum Beispiel Passwort und O()U/§ZLKOIZ...[I]100-Stellen-mehr[/I]..."()UO/!" den selben Aufwand hat.

Es geht mir darum, ob wir einen PC mit oder ohne Lesegerät für Smartcards kaufen sollten. Das sind zwar nur 30 Euro Unterschied, aber wenn der Mehraufwand sinnlos ist, kann man es sich sparen.
Primär interessiert es mich einfach.

 

[KnolleJupp]

Der Sinn bei einer Smartcard ist nicht etwa eine PIN-Nummer mit der sie zusätzlich gesichert ist, sondern die karteninterne Verarbeitung der Daten.
Selbst wenn du das Passwort/die PIN-Nummer einer Smartcard hättest, ohne die Karte kommst du genau gar nicht weiter.

So eine Smartcard ist - wie der Name "Smart..." schon andeutet - nicht einfach nur ein Datenspeicher, wie eine SD-Karte, sondern ein eigener kleiner Microcontroller.
Eine entsprechende Software, z.B. eine Zugangssoftware, kommuniziert dann mit der Karte. Ein Passwort oder eine PIN-Nummer schaltet die Karte nur zur Kommunikation frei.
Und so eine Smartcard kann so programmiert sein das sie z.B. nach dreimaliger Falscheingabe komplett und dauerhaft nutzlos wird.

 

[Zeroflow]

Ich glaube ich weiß schon, was da dein Denkfehler ist.

Die Smartcard agiert nicht wie eine Tastatur, sondern ist ein eigenes Gerät, welches auf bestimmte Anfragen (+ physische Pin-Eingabe o.ä.) dann Antworten zurückliefert.

Die Variante, welche man am einfachsten erklären könnte, wäre etwas mit symetrischen Schlüsseln, und ich nehme hier absichtlich einfachste Beispiele.

Im Beispiel möchtest du dich bei einem Server anmelden. Die Anmeldung braucht zusätzlich noch den Besitz einer bestimmten Smartcard, nur wie kannst du dem Server beweisen, dass du exakt diese Smartcard besitzt?

Angenommen, der Server und die Smartcard haben ein gemeinsames Geheimnis, im Beispiel hier die Zahl "5". Dieses Geheimnis verlässt den Server bzw. die Smartcard nie.

Wenn du dich nun mit dem Server authentifizieren willst, gibt der der Server z.B einen Startwert vor, sagen wir "Superkekse9000"
Diesen Wert gibt die Software an die Smartcard weiter, mit der Anweisung: "Wende deine Geheime Zahl auf den Text Superkekse9000 an, und gib mir das resultat"

Womöglich fragt dich die Smartcard auch noch nach einen Pin bevor sie zu rechnen anfängt.

Im billigen Beispiel verschiebt sie dann einfach jeden Buchstaben um das Geheimnis, in dem Fall um 5. Damit wird aus "Superkekse9000" die Zeichenkette "Fhcrexrxfr4555"

Das liefert dir die Smartcard zurück, und das gibt die Software dann dann an den Server weiter. Der kann das natürlich überprüfen, und nachdem die Antwort "Fhcrexrxfr4555" war, weiß der Server, dass du im Besitz der Smartcard bist, denn nur mit Smartcard kannst du diesen Wert berechnen.

Natürlich ist jetzt die "ROT" "Verschlüsselung" dafür nicht geeignet, da man relativ leicht ausprobieren kann was das Geheimnis ist, allerdings mit besseren Maßnahmen bleibt der Mechanismus ca gleich.

Das Geheimnis verlässt die Smartcard nie, und die Berechnungen finden alle auf der Smartcard statt.

Je nachdem kann die Smartcard dann Daten verschlüsseln, entschlüsseln, unterschreiben, etc. ohne dass der PC je Kentniss des geheimen Schlüssels hat, den man ja sonst kopieren könnte.
Smartcards hingegen erlauben normalerweise nicht den Schlüssel auszulesen, man kann nur einen neuen Einspielen und die Funktionen anwenden.