PKIClient

Software

PKIClient - Software für Aladdin eToken

Nut­zer­zer­ti­fi­ka­te (per­sön­li­che Zer­ti­fi­ka­te) der UniBwM CA wer­den vom Re­chen­zent­rum nur auf Krypto-Ge­räten aus­ge­ge­ben. Dazu wer­den eToken (USB- Sticks der Firma Aladdin) ein­ge­setzt. Ohne dazu pas­sen­de Soft­ware kön­nen keine Mails di­gi­tal sig­niert wer­den und keine emp­fan­ge­nen Mails de­chiff­riert wer­den, weil die private- keys auf den eToken un­zu­gäng­lich sind.

etokenpro.jpg

Installation PKIClient-Software

Für ihre Nut­zung wird die PKI­Client- Soft­ware be­nö­tigt. Sie be­fin­det sich im Bereich PKI des Do­ku­men­ten­ser­vers. (Aus Li­zenz­grün­den ist diese Soft­ware nur hoch­schul­in­tern zu­gäng­lich.) Unter Linux muss zu­sätz­lich da­für ge­sorgt wer­den, dass der Daemon "pcscd" läuft.

Nach der Instal­lation (und even­tuell einem Reboot) er­scheint in der Task­leiste ein Icon, das einen eToken zeigt, und bei an­ge­steck­ten eToken leuch­tet dort eine rote LED auf.

PIN - der Schlüssel zum eToken

Die PIN schützt den eToken vor un­be­rech­tig­ter Nut­zung. Vor dem Zu­griff auf einen eToken wird die PIN ab­ge­fragt. Für die PIN gel­ten die glei­chen Vor­sichts­maß­nah­men wie für ein Kenn­wort; d.h. nicht offen­sicht­lich, nicht auf­schrei­ben, nicht ab­spei­chern usw.

Die PIN lässt sich mit ver­schie­de­nen Pro­gram­men än­dern, bei­spiels­wei­se mit dem Pro­gramm, das sich hin­ter dem oben ge­nann­ten Icon ver­birgt, oder mit Thunder­bird.

Hinweise

  • Nach mehr­fa­cher Fehl­ein­gabe der PIN ist ein eToken ge­sperrt; vgl. "User password retries remaining" in der Ta­bel­le unter der Funk­tion "View eToken Info". Bei einem Wert von "0" ist Rück­spra­che mit pki@unibw.de not­wendig.
  • Die PIN soll, an­ders als der Na­me er­war­ten lässt, neben Zif­fern auch an­dere ASCII- Zei­chen ent­halten.
  • Die ini­tiale PIN, die mit dem PIN- Brief ver­teilt wird, soll sicher ver­wahrt wer­den, denn sie wird für eine even­tuell not­wend­ig wer­den­de Sper­rung des Zer­ti­fi­kats be­nötigt.
  • Diese Soft­ware er­laubt das Ini­tia­li­sie­ren oder Lö­schen (clear) eines eTokens.  Ebenso erlaubt sie wie andere Browser (z.B. Fire­fox) und Mailprogramme (z.B. Thunder­bird) das Löschen von Zer­ti­fi­ka­ten und Schlüs­seln. Diese Funk­tio­nen soll­ten kei­nes­falls ge­nutzt wer­den, denn sie lö­schen alle Schlüs­sel und Zer­ti­fi­ka­te auf dem eToken. Die private-keys für di­gi­ta­le Unter­schrif­ten kön­nen nicht wieder­her­ge­stellt wer­den ("Futsch ist futsch!").

Nutzung mit Mail

Zur Nutzung der eToken-Sticks mit Mail muss das ent­spre­chende Kryp­to­gra­phie-Modul (für PKCS #11) in den Mail-Pro­gram­men (bei­spiels­wei­se Thunder­bird) akti­viert bzw. ge­laden wer­den; vgl. PDF- Doku­men­t Zertifikate.pdf im o.g. Bereich PKI des Do­ku­men­ten­servers.

Mail-Pro­gram­me for­dern dazu meist die An­gabe eine dyna­mi­schen Library:

  • C:\windows\systems32\eTPKCS11.dll unter Windows
  • /usr/lib/libeTPkcs11.so unter Linux

Mit einge­steck­tem eToken kön­nen dann Mails sig­niert und er­hal­tene Mails de­chif­friert werden.

thunderbird-sig-crypt.png