Jump to content
Abschaltung der Forum zum 03.01.2024 ×

PIN Verifikation per RFID


Empfohlene Beiträge

Der cyberjack RFID komfort scheint keine PIN Verifikation per PIN PAD über die kontaktlose Schnittstelle zu unterstützen. Allerdings wird diese Funktion trotzdem per PC/SC angezeigt.

 

Testszenario

 

SmartCard-HSM Karte mit kontaktloser und kontaktbehafteter Schnittstelle

Kubuntu 12.04 mit libifd-cyberjack6 (3.99.5)

cyberjack RFID Komfort (Secoder 2 V2.2.0)

OpenSC 0.14

 

Test kontaktbehaftete Schnittstelle mit

 

pkcs11-tool --module /usr/local/lib/opensc-pkcs11.so --login -O

 

-> PIN Abfrage am PIN PAD und korrekte Verifikation

 

gleicher Test mit kontaktloser Schnittstelle

 

-> Leser bricht mit Condition of use not satisfied ab.

 

pkcs11-tool --module /usr/local/lib/opensc-pkcs11.so --login -O --pin <pin>

 

funktioniert einwandfrei.

 

Wenn über die kontaktlose Schnittstelle keine PIN Verifikation unterstützt wird, dann sollte dies in PC/SC auch nicht angezeigt werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nachtrag:

Gibt es auch einen Fehlercode dazu? Dieser wäre wichtig um zu prüfen welcher Fehler genau vorliegt. "Condition of use not satisfied" ist nicht sehr aussagekräftig.
Wird noch ein weiterer Fehler angezeigt, z.B. "Incorrect parameters in the data field"? M.E. ist das eher ein Fehler in "OpenSC", kein Fehler des Kartenlesers oder dessen Treiber.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 weeks later...

Nachtrag:

 

Gibt es auch einen Fehlercode dazu? Dieser wäre wichtig um zu prüfen welcher Fehler genau vorliegt. "Condition of use not satisfied" ist nicht sehr aussagekräftig.

Wird noch ein weiterer Fehler angezeigt, z.B. "Incorrect parameters in the data field"? M.E. ist das eher ein Fehler in "OpenSC", kein Fehler des Kartenlesers oder dessen Treiber.

 

Im Debugger und im Trace sieht man das SCardControl() SCARD_S_SUCCESS meldet, allerdings dann SW1/SW2="6985 - Condition of use not satisfied" liefert. SW1/SW2 kommen aber definitiv nicht von der Karte, sondern müssen wohl vom Treiber oder Kartenleser erzeugt werden.

 

Wie gesagt, in einem Kartenleser ohne PIN/PAD funktioniert die PIN Verifikation sowohl per kontakt- als auch per kontaktloser Schnittstelle. Karte ist eine Dual-IF JavaCard.

 

Meine Vermutung ist, dass der Kartenleser die PIN Übertragung über die kontaktlose Schnittstelle schlicht verhindert und deshalb den Fehler per SW1/SW2 erzeugt. Wenn dem aber tatsächlich so ist, dann darf die PIN PAD Funktion auch nicht für den kontaktlosen Kanal angezeigt werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 weeks later...

Wie will die Karte die Verifikation denn haben?

Beim nPA wird vor der PIN Eingabe ein sicherer RFID-Kanal mittels PACE aufgebaut, innerhalb dessen dann die PIN sicher über die Luftschnittstelle übertragen wird. Siehe dazu BSI TR 03110 und TR 03124.

Die dazu notwendigen Protokolle(bzw. Protokollteile) sind in der FW des Komfortlesers implemetiert.

 

Nun die Frage wie macht die verwendetet java-Card ihre PIN Verifikation über RFID, muss da auch noch ein sicherer Kanal aufgebaut werden? Nutzt die dafür auch PACE oder ganz etwas anderes?

Welche Teile des Protokolls müsste die Readerfirmware dann unterstützen?

 

BG

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 3 years later...

On Windows 10 with Reiner SCT driver installed, in RFID mode SCardControl successfully returns control code for PIN_VERIFY_DIRECT and PIN_MODIFY_DIRECT, but only these two control code, no others. The following SCardControl function with PIN_VERIFY_DIRECT control code returns  immediately as success, even without PIN inputed over PIN pad, surely the card is not really authenticated successfully. 

 

From my understanding about above messages, the readers needs to establish a secure communication channel between the smart card with using PACE protocol, since the data is transmitted over air. Does it mean PACE protocol MUST be supported by the smart card profile, otherwise SPE PIN verification over RFID would't work at all? 

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

×
×
  • Neu erstellen...

Wichtige Information

Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung am Ende der Seite. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.