Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die folgenden Features werden in dieser Version eingeführt.
Sichere Schlüsselinjektion
Dieses Feature ist nützlich, wenn Anwendungen, die auf einem Computer ausgeführt werden, der von einer Smartcard getrennt wird, vertrauliche Daten in die Smartcard importieren müssen, die mit anderen Computern verbunden ist.
Ein typisches Szenario für die sichere Schlüssel-Einspielung ist, wenn eine Zertifizierungsstelle, die auf einem Server läuft, die folgenden Aktionen ausführen muss:
- Generieren Sie ein Schlüsselpaar auf dem Server.
- Archivieren Sie den Benutzerschlüssel.
- Importieren Sie das Schlüsselpaar in die Smartcard, die auf dem Computer des Benutzers eingefügt wurde.
Entwickler können die neuen APIs und Datenstrukturen verwenden, die für die sichere Schlüsseleinfügung eingeführt wurden, um Folgendes bereitzustellen:
- Unterstützung für die Eigenschaften, mit denen das Smartcardframework bestimmen kann, ob die Karte sichere Schlüsseleinfügung unterstützt.
- Richten Sie symmetrische Schlüssel für die Verschlüsselung von Daten wie PINs, Administratorschlüsseln und asymmetrischen Schlüsselpaaren ein. Die Sitzungsschlüssel können dann in die Smartcard importiert werden.
- Verschlüsseln und Kapseln von Daten in einem Format, das auf der Smartcard importiert und verarbeitet werden kann.
- Entschlüsseln Sie die verschlüsselten Daten mit dem Sitzungsschlüssel auf der Smartcard.
Die folgenden Strukturen zum Übergeben verschlüsselter Daten werden in dieser Version der Spezifikation definiert:
- CARD_AUTHENTICATE
- CARD_AUTHENTICATE_RESPONSE
- CARD_CHANGE_AUTHENTICATOR
- CARD_CHANGE_AUTHENTICATOR_RESPONSE
- KARTEN_VERSCHLUESSELTE_DATEN
- CARD_IMPORT_KEYPAIR
Die folgenden Karteneigenschaften für die Einfügung sicherer Schlüssel sind in Version 7 dieser Spezifikation definiert. Weitere Informationen zu diesen Eigenschaften finden Sie unter CardGetProperty.
- CP_KEY_IMPORT_UNTERSTÜTZUNG
- CP_ENUM_ALGORITHMS
- CP_PADDING_SCHEMES
- CP_KETTENMODI
Die folgenden APIs wurden zur Einfügung sicherer Schlüssel in Version 7 dieser Spezifikation hinzugefügt. Weitere Informationen finden Sie unter Secure Key Injection.
Serverfunktionen:
Freigegebene Funktionen:
- CardDestroyKey
- CardGetAlgorithmProperty
- CardGetKeyProperty
- CardGetSharedKeyHandle
- CardProcessEncryptedData
- CardSetKeyProperty
Clientfunktionen:
Unterstützung für die Entfernung von RSA-Padding in der Smartcard
Mit Version 7 der Smartcard-Minidriver-Schnittstelle können Smartcardanbieter in der Smartcard selbst Unterstützung für RSA Padding-Entfernungsoperationen bieten. Dadurch wird verhindert, dass das System einem Chiffretextangriff ausgesetzt wird, wenn der Basis-CSP/KSP die Auffüllung entfernt. Diese Verbesserung entfernt auch die Anforderung für unformatierte RSA-Entschlüsselungsvorgänge durch den Minidriver.
Version 7 bietet auch Unterstützung für ältere Karten, die das Entfernen von internen (oder OnCard)-Abständen nicht unterstützen. Dadurch können diese Karten weiterhin die Padding-Entfernungsmöglichkeiten verwenden, die vom Basis-CSP/KSP bereitgestellt werden.
Weitere Informationen finden Sie unter PFN_CSP_UNPAD_DATA und CardRSADecrypt weiter unten in dieser Spezifikation.
Smartcard-Plug-and-Play
Wenn eine logo-zertifizierte Smartcard zum ersten Mal in einen Kartenleser eingefügt wird, der mit einem Windows 7-Computer verbunden ist, sucht das Plug and Play-Framework nach einem kompatiblen Minidriver, der in Windows Update veröffentlicht wird. Wenn ein Minidriver gefunden wird, lädt Plug and Play den Minidriver automatisch von Windows Update herunter und installiert ihn auf dem Computer.
Weitere Informationen finden Sie unter SmartCard Plug and Play.
CardCreateContainerEx
Diese neue API erweitert die Funktionalität der CardCreateContainer-API . Zusätzlich zum Erstellen des Schlüsselcontainers stellt diese Funktion die PIN-Zuordnung beim Erstellen des Containers her.
Weitere Informationen finden Sie weiter unten in dieser Spezifikation unter CardCreateContainerEx .
Neue Kartencontainereigenschaft für ECDSA/ECDH-Schlüsselzuordnung
Diese neue Containereigenschaft ordnet einen ECDSA-Schlüssel (Elliptic Curve Digital Signature Algorithm) einem ECDH-Schlüssel (Diffie-Hellman) zu. Jeder ECDSA-Schlüssel wird mit einem ECDH-Schlüssel gekoppelt, der für die Datenverschlüsselung und Entschlüsselung verwendet wird. Diese Zuordnung unterstützt Szenarien, die Verschlüsselung erfordern, wenn ECDSA-Schlüssel verwendet werden.
Wenn das Anmeldezertifikat ein ECDSA-Zertifikat ist, werden die zwischengespeicherten Anmeldeinformationen mithilfe des zugeordneten ECDH-Schlüssels verschlüsselt. Während zwischengespeicherter Anmeldevorgänge werden Daten vom Domänencontroller mithilfe des ECDH-Schlüssels entschlüsselt, der dem ECDSA-Schlüssel zugeordnet ist, der für die Benutzeranmeldung verwendet wurde. In diesem Fall kann die Smartcard für Anmeldevorgänge verwendet werden, wenn der Computer offline ist oder auf den Domänencontroller nicht zugegriffen werden kann.
Weitere Informationen finden Sie in der Beschreibung der eigenschaft CCP_ASSOCIATED_ECDH_KEY in "Card and Container Properties" weiter unten in dieser Spezifikation.
Generischer Posteingang-Minidriver, der PIV unterstützt
Ab Windows 7 enthält das Betriebssystem einen generischen Posteingangs-Minidriver, der mit Smartcards verwendet werden kann, die den PIV-Kartenrand und das Datenmodell der Persönlichen Identitätsüberprüfung unterstützen.
Weitere Informationen zu PIV finden Sie auf der Webseite "Über persönliche Identitätsüberprüfung (PIV) von Bundesmitarbeitern und Auftragnehmern".
Weitere Informationen zum von Windows folgenden Prozess zum Identifizieren und Koppeln einer PIV-Karte mit dem Posteingangstreiber finden Sie unter Windows Inbox SmartCard Minidriver.