Partager via

Mini-lecteur de carte à puce

  • Article

Le minidriver intelligent carte offre une alternative plus simple au développement d’un fournisseur de services de chiffrement (CSP) hérité en encapsulant la plupart des opérations de chiffrement complexes du développeur de minidriver carte.

Pour plus d’informations sur la spécification des minidrivers smart carte, consultez Spécification des minidrivers de carte à puce.

À compter de Windows Vista, les applications peuvent utiliser l’API de chiffrement Microsoft : Nouvelle génération (CNG) pour les services de chiffrement intelligents basés sur des carte. Dans le cadre de l’effort de chiffrement de courbe elliptique (ECC) introduit dans Windows Vista, les cartes à puce ECC sont prises en charge dans la nouvelle infrastructure de chiffrement. Les applications et interfaces qui interagissent avec Rivest-Shamir-Adleman (RSA) carte mini-disques via le sous-système CAPI hérité continuent de fonctionner sans modification.

Les mini-disques smart carte RSA peuvent également être inscrits auprès du fournisseur de stockage de clés (KSP) smart carte afin qu’ils puissent être appelés via l’interface CNG. Les requêtes ECC/RSA + ECC uniquement en mode double sont acheminées vers le KSP et, par le biais de celui-ci, vers le carte les minidrivers appropriés. Pour les clients Windows Vista, les cartes en mode double ECC uniquement et ECC/RSA sont prises en charge à l’aide de l’infrastructure smart carte Windows. Les cartes en mode double sont également accessibles via CAPI principalement pour exposer les fonctionnalités RSA uniquement.

Les applications utilisent CAPI pour les services de chiffrement intelligents basés sur les carte. À son tour, CAPI achemine ces demandes vers le fournisseur de solutions cloud approprié pour gérer les exigences de chiffrement.

Le csp de base de carte à puce Microsoft et KSP est un affinement de l’architecture qui sépare les fonctionnalités CSP basées sur CAPI et KSP basées sur CNG, respectivement, des détails d’implémentation qui doivent changer pour chaque fournisseur carte.

Bien que le csp de base puisse utiliser les fonctionnalités RSA d’un carte intelligent uniquement à l’aide du minidriver, le KSP basé sur CNG prend en charge ecc uniquement ainsi que les cartes à puce à double mode ECC/RSA dans Windows Vista et les versions ultérieures de Windows.

En fin de compte, l’intention est que la nouvelle architecture prend en charge toutes les nouvelles cartes à puce ( RSA, ECC et tout ce qui suit). Il divise l’implémentation du fournisseur de solutions cloud en deux parties :

  • Csp/KSP de base (partie commune), qui comprend des fonctionnalités pour les opérations de hachage, symétriques et de chiffrement à clé publique, en plus de l’entrée de numéro d’identification personnel (PIN) et de la mise en cache.
  • Une série de plug-ins, appelés « carte minidrivers », qui traduisent les caractéristiques de certaines cartes à puce en une interface uniforme qui est la même pour toutes les cartes à puce. Les mini-lecteurs de cartes communiquent ensuite avec leurs cartes à l’aide des services du gestionnaire de ressources smart carte (SCRM) qui extrait de la même façon les caractéristiques d’une variété de lecteurs de carte intelligents.

La partie restante pour les fournisseurs de carte intelligents consiste à implémenter un minidriver carte, une couche d’interface relativement limitée qui fournit une abstraction de l’carte au CSP/KSP de base et qui est organisée en tant que système de fichiers, et un ensemble de fonctionnalités primitives. Les fonctionnalités d’ordre supérieur, telles que la mise en cache (s’assurer que différents fichiers sur le carte ont un contenu cohérent) ou la gestion des collisions de noms, sont gérées à un niveau supérieur, en dehors du minidriver carte.

L’illustration suivante montre les interfaces entre carte minidrivers et les applications basées sur CAPI.

interfaces entre carte minidrivers et les applications basées sur des capi.

L’illustration suivante montre les interfaces entre carte minidrivers et les applications basées sur CAPI2.

interfaces entre carte minidrivers et les applications basées sur capi2.

Il est recommandé aux développeurs de tirer parti de l’ensemble complet de bibliothèques que Microsoft fournit pour les opérations de chiffrement effectuées par le minidriver. Cela permet aux développeurs de tirer parti de l’infrastructure Microsoft Windows Update pour la distribution des mises à jour de sécurité critiques.