Web browser access to cryptographic hardware

Abstract

Cryptographic hardware such as Smart Cards (SCs) is being deployed globally in an increasingly broader spectrum of information services, credit and debit banking cards being a pervasive example of this trend. At the national level, the Portuguese Citizenship Card (PCC) is a high profile example of this technology, allowing users to do online authentication at the government Internet-based services. Despite this increasingly common scenario, web browsers — expect those from the Mozilla Foundation — still have limitations when accessing cryptographic hardware due to the absence of a standard — or at least uniform — mechanism accessible to the programming logic embeddable in web pages.

In this project we propose a new mechanism to address such limitations, which will expose SCs to web applications in a clean and uniform way among web browsers. This mechanism is formed by two main elements: a web browser plugin, and a JavaScript (JS) Application Programming Interface (API). The plugin will be in charge of connecting the web browser to the SC. The JS API, accessible through the web browser plugin, will expose the SC features to web applications.

With the conclusion of this project we managed to successfully create a web browser plugin which allows web applications to access SC related features, such as the creation of Digital Signature (DS). In our tests we were able to use and check all the features of the plugin across several web browsers (Google Chrome, Internet Explorer, and Firefox ) and operating systems (OSs) (Ubuntu, OS X, Windows). The security analysis that we performed helped us identify the likelihood of possible attacks which could led malicious agents to gain access to the users’ computers, or get their personal and sensitive data.

O hardware criptogr a co, como e o caso dos Smart Cards (SCs), tem vindo a ser utilizado num espectro cada vez mais amplo de servi cos de informa c~ao, sendo os cart~oes de cr edito e de d ebito um exemplo desta tend^encia. A n vel nacional, o Cart~ao de Cidad~ao constitui um exemplo not avel de aplica c~ao desta tecnologia, permitindo aos utilizadores efetuar a sua autentica c~ao online em servi cos do governo presentes na Internet. Apesar destes cen arios serem cada vez mais comuns, os browsers web | a excep c~ao daqueles provenientes da Funda c~ao Mozilla | possuem limita c~oes no acesso ao hardware criptogr a co, devido a inexist^encia de um mecanismo padr~ao | ou pelo menos uniforme | dispon vel para a programa c~ao de aplica c~ao web. Neste projecto, prop~oe-se um novo mecanismo para resolver as limita c~oes citadas, atrav es de uma exposi c~ao dos SCs a aplica c~oes web de uma forma clara e uniforme entre os browsers web . Este mecanismo e composto por dois elementos principais: um plugin para o browser web e uma Application Programming Interface (API) em JavaScript (JS). A liga c~ao entre o browser web e o SC e estabelecida pelo plugin mencionado. A interface em JS, acess vel atrav es do plugin do browser web , exp~oe as caracter sticas do SC as aplica c~oes web. Neste projecto desenvolveu-se com sucesso um plugin para browsers web que permite o acesso das aplica c~oes web as funcionalidades do SC, como a cria c~ao de uma Assinatura Digital. Nos testes desenvolvidos, foi poss vel utilizar e veri car todas as funcionalidades do plugin em v arios browsers web (Google Chrome, Internet Explorer, and Firefox) e sistemas operativos (Ubuntu, OS X, Windows). A an alise de seguran ca realizada permitiu identi car a possibilidade de exist^encia de locais de ataque que agentes maliciosos podem potencialmente utilizar para aceder aos computadores dos utilizadores, ou obter os seus dados pessoais.