SmartCMD: access to the digital mobile key via a virtual smartcard

Abstract

Nowadays, cloud-based signing solutions are on the rise to offer people a more practical way to sign their everyday documents. The Portuguese state provides its citizens with a service called CMD, which can be used to create digital signatures without using either a citizen card or a card reader. CMD has numerous advantages and is a huge advance in the usability of cryptographic operations, but currently the use of CMD is extremely limited as it can only be used by software provided or certified by AMA such as the “authentication.GOV" desktop application or the corresponding browser extension or, in the case of a Windows system, it can be used via Microsoft CAPI using the provided CSP. In the case of a Unix system such as Linux or Mac OS, or applications not native to a Windows system, it is not possible to use CMD as the AMA does not provide any standard interface dedicated to its integration. This limits the consumers choice, who often prefer to use alternative tools, such as Adobe Acrobat Reader, PDF Studio, Mozilla Thunderbird (to sign emails using a digital signature), among others. In this thesis, a solution was designed following the lines of a proof of concept that will be presented in the following chapters, with the main objective of developing and validating in Linux a PKCS#11 module capable of using CMD in order to execute digital signatures compatible with applications used globally, and thus increase the number of options offered to end users. Additionally, the developed PKCS#11 module allows the use of both CMD and CC functionalities.

Hoje em dia, as soluções de assinatura baseadas em cloud estão em crescimento, de modo a oferecer às pessoas uma maneira mais prática de assinar os seus documentos do dia-a-dia. O Estado português disponibiliza aos seus cidadãos um serviço chamado CMD, que pode ser usado para criar assinaturas digitais sem o uso nem do Cartão de Cidadão nem de um leitor de cartões. A CMD tem inúmeras vantagens e constitui um enorme avanço a nível de usabilidade de operações criptográficas, mas atualmente o uso da CMD está extremamente limitado visto que apenas pode ser usada por software providenciado ou certificado pela AMA como por exemplo a aplicação “autenticação. GOV" para desktop ou a correspondente extensão para o browser ou então, no caso de um sistema Windows, pode ser usado através da Microsoft CAPI recorrendo ao CSP providenciado. No caso de um sistema Unix como é o caso do Linux ou do Mac OS, ou aplicações não nativas de um sistema Windows, não é possível utilizar a CMD uma vez que a AMA não providencia nenhuma interface standard dedicada à integração da mesma. Tal limita a escolha dos consumidores, que muitas vezes preferem utilizar ferramentas alternativas, como é o caso do Adobe Acrobat Reader, PDF Studio, Mozilla Thunderbird (para assinar emails usando uma assinatura digital), entre outros. Nesta tese, e como solução para este problema, irá ser apresentada uma prova de conceito com o objetivo principal de desenvolver e validar em Linux um módulo PKCS#11 capaz de usar a CMD para executar assinaturas digitais compatíveis com aplicações usadas globalmente e desta forma aumentar o número de opções oferecidas aos utilizadores desta ferramenta. Adicionalmente, o modulo PKCS#11 desenvolvido permite explorar em conjunto as funcionalidades da CMD e do CC.