Bürgerkarte aktivieren mit Gemalto PC Pinpad

Und wieder einmal war es soweit: ich durfte eine neue Bürgerkarte auf einer aktuellen Österreichischen e-Card (Generation 4 – leider ist die Version nicht einfach aufgedruckt) einer Freundin aktivieren.

Replik – verwendete Technik
Die Vorgestellte Vorgehensweise beruht auf einem Windows 10 Rechner mit Firefox v50.1.0 mit allen a-Trust Stammzertifikaten installiert, a.sign Client v1.4.5.2 als lokale  Bürgerkartenumgebung (BKU) sowie als Hardware den Gemalto PC Pinpad USB Smartcard Reader (aka IDBridge CT700). Windows Benutzer hat Administrator Rechten.

Um die Personenbindung herzustellen, wird die Bürgerkartenfunktion wie üblich über Finanz Online aktiviert. Dazu wird ein Session Passwort generiert sowie auf die A-Trust Seite verlinkt wo man wiederum das zuvor generierte Passwort eingeben darf. Sofern alle Stammzertifikate im  Firefox konfiguriert wurden, sollte dies klaglos funktionieren. Damit sollten die Personenbindung durchgeführt und die Zertifikate auf der Karte gespeichert worden sein.

Die Krux mit den Default PINs.

Als nächster Schritt erfolgt noch das Setzen der PINs, um die Defaultwerte zu überschreiben. Und genau hier scheiterte ich im aktuellen Prozedere mit oben genannter Hardware. Die Karte kennt grundsätzlich zwei verschiedene PINs, einen sechs stelligen Signatur PIN, sowie einen vierstelligen Karten PIN. Relevant für die Bürgerkartenfunktion ist ersterer.

Der Default Signatur PIN ist mit dem Wert 12345 gesetzt, warum auch immer fünfstellig. Beim Setzen einer neuen PIN muss natürlich zuerst der alte PIN – also der Defaultwert – und danach zweimal der gewünschte neue PIN eingegeben werden. Dabei hat der Gemalto Reader ein Problem, weil er bei Eingabe des alten PINs zwingend sechs Ziffern benötigt. Ein eventuelles Probieren mit den Ziffernfolgen 012345 oder 123456 blieb leider erfolglos. Zu guter Letzt hat man nur drei Versuche zur Verfügung um die aktuelle PIN einzugeben, danach ist die Signatur PIN gesperrt und kann für die Bürgerkartenfunktion nicht mehr verwendet werden – eine Neubestellung der e-Card wäre in der Folge notwendig, wenigstens wird die eigentliche Krankenschein-Funktion nicht beeinträchtigt. Bein Angabe der Begründung „PIN vergessen“ ist die Neubestellung übrigens kostenlos möglich.

Bei der Karten PIN gibt es das Problem nicht, da der Defaultwert hier 1234, also vierstellig ist.

Die Lösung – ein Registry Hack

Wie mir vom A-Trust Support (dorthin wurde mein Anliegen von service(at)bka.gv.at übermittelt) mitgeteilt wurde, gibt es eine technische Lösung über einen Registry Hack.
Dieser veranlasst die a.sign Software statt die PIN Eingabe an die Tastatur des Smartcard Readers zu delegieren, ein Pop Up Fenster zu öffnen, sodass die Eingabe des PINs direkt am PC erfolgen kann.

Und so gehts…

  1. regedit als Administrator öffnen
  2. Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\A-Trust GmbH\a.sign Client\Reader0 öffnen
  3. Attribut IsSecure von Yes auf No setzen

Die Änderung kann jederzeit rückgängig gemacht werden und wird vom a.sign Client auch refreshed.

Trotzdem, das Prozedere widerspricht zwar der Motiviation einen Reader mit Tastatur zu verwenden (Stw. Risiko Keylogger), für das einmalige Setzen des Signatur PINs sollte das aber in Ordnung sein. Danach kann dieser beliebig oft – und sollte sofort – umgesetzt werden, sofern man eben sechs stellige PINs wählt.

Offiziell wird der verwendete Gemalto Reader übrigens von der Software nicht unterstützt, funktionieren tut er aber trotzdem 😉

Dieser Beitrag wurde unter Bürgerkarte, Hardware veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*