bMachine Blogs
Strong-crypto PKCS#11 module
  by Antonio Iacono / Category :: General
Posted on Apr 06th (Wed) 2005 @ 02:26 PM
Rating: 5/5   Votes: 1
Rate:   Mail this article to a friend View/Add comments Printer friendly page

Attached file :

GemPKCS = GPK with strong-crypto PKCS#11 module, a molti queste sigle non diranno niente, ma GemPKCS e' la smart card usata da diversi Certificatori italiani, vediamo di conoscerla meglio.
Due parole di introduzione per chi non e' della materia:
i produttori di smart card assieme all'hardware (la card) realizzano il software per interagire con essa e permettere ad altri programmi di sfruttarne le potenzialita'.
Uno di questi moduli e' il PKCS#11 module, detto anche Cryptoki, usato dai programmi di firma digitale, dalle applet java, da alcuni client di posta elettronica (Mozilla Mail, Thunderbird, Netscape Communicator) e da alcuni browser (Mozilla, Netscape, Firefox).

La libreria Cryptoki in fondo non serve ad altro che trasformare delle funzioni ad alto livello quali C_Login C_SignInit in istruzioni APDU da inviare direttamente alla smart card.
Bene, con la maggior parte delle smart card, conoscendone il sistema operativo (CardOS, Setcos, Starcos, ecc. ) che vi gira e la sistemazione dei file all'interno della card tu puoi anche fare a meno del modulo PKCS 11 ed inviare i comandi APDU alla card senza passare dal PKCS#11.

Con la GemPKCS invece non e' cosi', sei costretto ad usare la Cryptoki proprietaria perche' questa non si limita solo ad una mera trasformazione di funzioni in comandi APDU ma aggiunge del suo, ad esempio appiccicando 8 bytes al PIN [1] rendendo di fatto impossibile usare la smart card senza di essa.
Un effetto immediato e reale di tutto questo e' che, non essendoci la cryptoki per altri s.o. al di fuori di Windows, non e' possibile utilizzare la smart card in altri ambienti.
Spero di avervi incuriositi a tal punto da chiedervi chi utilizza in Italia queste smart card, beh, potete trovarlo voi stessi con questi comandi (grazie a Fabio [2]):

ldapsearch -h certificati.postecert.it -x "cn=*" dn cn mail | tee poste-it_list
cat poste-it_list | grep "^mail:" | sed "s/^.*@//" | sort -f | uniq -i -c | sort -n -r | head

risultato:
13957 CARABINIERI.IT
5568 TESORO.IT
4570 GIUSTIZIA.IT
1420 REGIONE.EMILIA-ROMAGNA.IT
1177 enac.rupa.it
1100 agenziaentrate.it
793 agenziadogane.it
629 POSTEITALIANE.IT
476 REGIONE.BASILICATA.IT
387 CORTECONTI.IT
349 ENPALS.IT
285 marina.difesa.it

[1] http://gnu.inter.it/blogs /fabio/archives/000923.html
[2] http://gnu.inter.it/blogs /fabio/archives/000653.html

Apr 2017
S M T W T F S
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30

Last 5 posts

CA Italia
Smart Card con ..
Nuovo UPIServer..
Free Time Stamp..
La card di Acta..
Strong-crypto P..

Search

Powered by bMachine v 2.8