Cryptoshop Help! Cryptoshop Contact! Cryptoshop Memo! Cryptoshop Shopping Cart! Place your order! Change to german site!
+ Products
· · · · · · · · · · · · · · · · · · · · · · ·
+ Solution
· · · · · · · · · · · · · · · · · · · · · · ·
+ Knowledge Base
  Security Targets  
  Security Governance  
  Cryptography  
  Technology  
  Smart Card applications  
  Authentication  
  PKI  
  How to  
  SecureDoc - Screens etc.  
  User authentication  
  E-Mail Security  
  MS-Enterprise-CA  
  Secure WLAN  
  Web authentication  
  Remote Access  
  MS File-Encryption  
· · · · · · · · · · · · · · · · · · · · · · ·
+ Service
· · · · · · · · · · · · · · · · · · · · · · ·
     
Management
· · · · · · · · · · · · · · · · · · · · · · ·
Security Officer
· · · · · · · · · · · · · · · · · · · · · · ·
System Engineer
· · · · · · · · · · · · · · · · · · · · · · ·
Purchasing
· · · · · · · · · · · · · · · · · · · · · · ·
Maintenance
· · · · · · · · · · · · · · · · · · · · · · ·
 
 
Please note, that the Knowledge Base isn't translated to english completely at the moment. You will still find some german texts - we are translating permanently the outstanding parts! Thank you for understanding!

Certificate based authentication in W2K+
 
INFO & KNOWLEGDE
 
Bei Windows kommen 3 Challenge Response Verfahren für Domänenanmeldung zur Anwendung, wobei LM und NTLM zur Kompatibilität mit älteren Clientrechnern: LM bei 9x/ME; NTLM bis exklusive NTSP 4; noch vorhanden sind. Von der Verwendung von LM und NTLM ist absolut abzuraten, NTLM verwendet zwar schon den Unicode Zeichensatz und einen MD4 Hash und ist dennoch wie das DES basierende LM absolut einfach zu brechen, wo maximal 14 Zeichen und ein eingeschränkter Zeichensatz mit ausschließlich Großbuchstaben und nur einigen Sonderzeichen zur Verfügung steht. Deshalb sollte NTLMv2 basierend auf HMAC-MD5 für passwortbasiertes Logon verwendet werden.

Mit Windows 2000 und dem Active Directory wird Kerberos v5 als grundlegendes Authentifizierungsprotokoll verwendet, wobei der Domänencontroller als KDC fungiert. Mit Kerberos erfolgt erstmals eine gegenseitige Authentifizierung zwischen Client und Server und stellt auch eine serverseitige SSO alle Netzwerkkomponenten betreffend dar.

Smart Card basiertes Logon
Ab Windows 2000 ist die PC/SC Unterstützung in das Betriebssystem integriert und das Windows Logon kann auch mit einer Smart Card erfolgen, anstatt Eingabe von Strg+Alt+Entf sowie Benutzername und Kennwort, reicht das Stecken der Smart Card in den natürlich erforderlichen Smart Card Reader und einer Eingabe der PIN.

Dieses Logon ist zertifikatsbasierend, d.h. mit der PIN wird der Zugriff auf den privaten Schlüssel auf der Smart Card autorisiert. Das Logon funktioniert mit Kerberos im Hintergrund, d.h. über PKinit wird ein Kerberos Ticket-Granting-Ticket angefordert. Da diese Vorgehensweise eine gewisse Komplexität aufweist und hier einige Signier- bzw. symmetrische und asymmetrische Ver- und Entschlüsselungen vorgenommen werden ist es nicht verwunderlich, dass dieses Logon einige Sekunden länger benötigt als die herkömmliche Logon-Variante.

Passwortbasiertes Smart Card Logon
Es gibt für das Windows Logon aber auch andere Lösungen mit Smart Cards. Es ist möglich, eine Benutzername - Passwort basierende Lösung zu installieren, wo der Benutzername und das Passwort auf einer Smart Card abgelegt werden. Neben dem Windows Logon können zum Teil auch weitere Passwörter darauf abgelegt werden. Die Smart Card stellt also einen Secure Password-Store dar und kann als client-seitiges SS0 aufgefasst werden.

Linktipps
NTLMv2 für 9x/ME - MS Knowledge Base 239869
Kerberos in W2k - MS Technet
Einrichten einer Windows-PKI Testinfrastruktur [854 KB]



Smart Card Logon in W2K+


Back to previous page!Top of page!To the startpage of Cryptoshop.com!
  Smart Card Logon in W2K+  
 
  Special offer of the month!  
  Cryptoshop Bundles!  
 
  Message Authentication Codes  
  Kerberos  
  Authentication with PKI  
  ROI of a PKI  
  Password protection and quality  
  Costs of a password system  
  Risk Management  
  Smart Card  
  Smart Card Terminals  
  Certificates  
  Single Sign On Systems  
 
Legal notice Terms and Condtitions Consumer notice Privacy Newsletter Copyright © 2004 CRYPTAS. All rights reserved