CryptoPlus Správce karty UŽIVATELSKÁ PŘÍRUČKA listopad 03 MONET+, a.s. Zlín v.2.0.2
Obsah 1. Úvod... 4 2. CryptoPlus jak začít... 5 2.1 HW a SW předpoklady... 5 Požadavky na HW... 5 Požadavky na SW... 5 2.2 Licenční omezení... 6 2.3 Jazyková podpora... 6 2.4 Typy čteček podporované CryptoPlus... 6 3. Instalace CryptoPlus... 7 3.1 Spuštění instalace... 7 3.2 Instalace ovladačů čtečky... 9 Při instalaci čtečky je třeba dodržet následující pravidla:... 10 3.3 Instalace obslužného software CryptoPlus... 11 3.4 Reinstalace, odinstalování CryptoPlus... 15 3.5 Alternativní návrhy pro instalaci CryptoPlus... 17 3.6 Instalace CryptoPlus s vazbou na Mozillu... 18 3.7 Odinstalování CryptoPlus s vazbou na Mozillu... 20 4. Základní funkce a ovládání CryptoPlus... 22 4.1 Parametry CSP... 25 4.2 Změna PIN/PUK... 26 Postup při změně PIN a PUK... 26 4.3 Datové objekty... 28 5. Integrace CryptoPlus do nejčastěji používaných programů... 30 5.1 Konfigurace programu MS Outlook 2000... 30 5.2 Konfigurace programu Outlook Express 5... 31 5.3 Konfigurace prohlížeče Internet Explorer 5.x... 33 5.4 Konfigurace prohlížeče Mozilla... 33 6. Update produktu... 36 6.1 O produktu CryptoPlus... 36 6.2 Elektronická adresa pro podporu... 36 7. Popis připojení čtečky čipových karet... 37 GemPC410, GemPC413, GemPC TwinSerial, CardMan2011... 37 GemPC430, GemPC433, GemPCTwinUSB, CardMan2020, CardMan3121... 38 GemPC400, CardMan4000... 38 GemPC Key... 39 8. Rejstřík a základní pojmy... 40 10. Co dělat, když nastane problém... 42 10.1 Zadání problému...42 10.2 Diagnostika čtečky... 42 Uživatelská příručka 2
10.3 Diagnostika karty... 46 11. FAQ aneb často kladené otázky... 47 11.1 Instalace... 47 11.1.1 Pod MS Windows 2000 nelze nainstalovat čtečku karet která není Plug and play.... 47 11.1.2 Pod MS Windows 95/NT 4.0 nejde nainstalovat USB čtečka... 47 11.1.3 Po instalaci PC/SC se objeví chybové hlášení: "Cannot create more devices" nebo "Cannot locate requested device"... 47 11.1.4 Po připojení čtečky musím restartovat počítač, abych mohl pracovat s kartou, a to i v případě že mám nainstalovány příslušné ovladače.... 47 11.1.5 Po spuštění Windows 9x se objeví hlášení: "VxD reader driver initialization cannot open reader device. The network request is not supported."... 48 11.1.6 Po instalaci čtečky ve Win2000 musím restartovat počítač, abych mohl používat některé aplikace... 48 11.1.7 Na počítači nelze používat více jak jednu čtečku.... 48 11.1.8 Ovladače některých myší zabraňují v činnosti čtečkám čipových karet... 48 11.2 Konfigurace a provoz... 48 11.2.1 Po vložení karty do čtečky se na několik sekund rozsvítí kontrolka a pak se opět rozbliká... 48 11.2.2 Během práce s kartou zatuhává kursor myši.... 49 11.2.3 Po probuzení systému z "úsporného" (standby) režimu, se objeví následující hlášení: "Reader removal monitor error retry treshold reached. Incorrect function.", a čipovou kartu nelze dále používat... 49 11.3 Ostatní... 49 11.3.1 Rozdíl mezi využitím karty v IE a Mozille... 49 11.3.2 Jak funguje používání certifikátu ve Windows?... 49 11.3.3 Kurzor myši se stává nepohyblivý během dlouhé výměny čipové karty!... 50 11.3.4 Musí být vždy certifikát na kartě?... 51 12. Integrace CryptoPlus do produktů Entrust... 52 12.1 Doporučený postup instalace... 52 12.2 Způsob integrace CryptoPlus do produktů firmy Entrust... 53 12.3 Možnosti manuální konfigurace... 53 12.3.1 ethardware.ini... 53 Uživatelská příručka 3
1. Úvod Vážený zákazníku, do Vašich rukou se dostal produkt, jehož primárním úkolem je zvýšit bezpečnost elektronických komunikací na síti Internet. Základní komponentou systému je kryptografická čipová karta, která je schopna spolehlivě uchovat tajemství jí svěřené privátní kryptografický klíč. Kromě tohoto tajemství je na kartě uložen i Váš certifikát X.509, tj. veřejný blok dat popisující Vaši identitu (e-mail, adresu, pracovní zařazení, atd.), a certifikát certifikační autority. Tento dokument si však neklade za cíl seznámit Vás s použitými principy zabezpečení, ale měl by Vám pomoci s první konfigurací CryptoPlus, internetového prohlížeče a programu pro posílání elektronické pošty tak, aby spolupracovaly s čipovou kartou. Manažer CryptoPlus je vybaven podrobnou nápovědou, uživateli průběžně zobrazuje pokyny a možnosti práce s programem. Uživatelská příručka, kterou právě čtete, proto popisuje jen základní postupy a nezabývá se všemi dialogy a možnými chybovými stavy. Děkujeme za Váš zájem o produkt CryptoPlus a přejeme Vám mnoho úspěchů. Uživatelská příručka 4
2. CryptoPlus jak začít 2.1 HW a SW předpoklady Požadavky na HW HW s odpovídajícím výkonem, který umožňuje provozování operačního systému Windows 95 OSR 2.1, 98, 98 SE, ME, NT4 SP6, 2000, XP. Volný sériový (případně USB, PCMCIA) port pro připojení čtečky čipových karet (požadavky pro připojení specifikují jednotliví výrobci). Zejména u starších typů PC, které pro připojení klávesnice či myši nepoužívají konektory typu PS/2, je nutno použít redukci DIN/PS2 PS2/DIN. Kromě doporučených typů čteček od společnosti Gemplus nebo Omnikey, můžete používat také čtečku od jiného výrobce. Taková čtečka však musí být plně PC/CS kompatibilní a od jejího výrobce musíte mít k dispozici rovněž aktuální ovladače. Požadavky na SW Současná verze produktu CryptoPlus je nativně integrována do kryptografického podsystému operačního systému MS Windows (byla testována s verzemi 95 OSR 2.1, 98, 98 SE, ME, NT4.0 SP6, 2000 a XP). Znamená to, že všechny aplikace využívající tento kryptografický podsystém mohou spolupracovat i s čipovou kartou CryptoPlus. Jedná se zejména o aplikace: Microsoft Internet Explorer (min.verze 5.0 a vyšší) Microsoft Outlook Express (min. verze 5.0 a vyšší) Microsoft Outlook (verze 2000 a vyšší) Dále je dodáván Cryptoki modul pro Netscape, který je určen pro verze 7.x a vyšší. V případě Mozilly je určen pro verze 1.2 a vyšší. Uživatelská příručka 5
2.2 Licenční omezení Licenční podmínky pro PC/SC rozhraní pro čtečky čipových karet a CryptoPlus - správce karty jsou zobrazovány při instalaci na obrazovce monitoru. Protože soubory ovladačů čteček jsou převzaty od výrobce čteček v originálním provedení, je licenční ujednání v angličtině. 2.3 Jazyková podpora Software CryptoPlus existuje v několika jazykových mutacích. Důvodem je snaha komunikovat s uživatelem v jeho mateřštině. Výběr jazyka, kterým spolu jednotlivé moduly komunikují, se řídí nastavením regionální podpory v operačním systému MS Windows. Existuje-li pro region uživatele jazyková podpora v CryptoPlus, budou ji moduly používat. Není-li pro daný region jazyk dostupný, budou moduly komunikovat svým přednastaveným jazykem. Regionem uživatele se rozumí aktuálně zvolená regionální podpora, což nemusí vždy korespondovat s verzí Windows. Někteří uživatelé např. mohou pracovat s anglickou verzí Windows a v ní mít nastaven region Slovensko. S těmito uživateli budou moduly CryptoPlus komunikovat slovensky. Aktuální verze CryptoPlus podporuje tyto jazyky: Angličtina, Čeština, Němčina, Slovenština. Výběr jazykové podpory se provádí při instalaci, lze ji však změnit i později pomocí aplikace CryptoPlus správce karty bez nutnosti reinstalace. 2.4 Typy čteček podporované CryptoPlus Do instalátoru jsou zakomponovány originální ovladače (tj. bez jakýchkoliv úprav) pro čtečky od firmy Gemplus a Omnikey. Tyto ovladače jsou standardní součástí dodávek produktu CryptoPlus. Jedná se o tyto typy: čtečky se sériovým připojením: o Gemplus: GemPC410, GemPC413, GemPC Twin, GemPC Serial o Omnikey: CardMan 2011 čtečky s USB připojením: o Gemplus: GemPC430, GemPC433, GemPCTwin, GemPC Key, GemPC USB o Omnikey: CardMan 2020, CardMan 3121 čtečky typu PCMCIA: o Gemplus: GemPC400 o Omnikey: CardMan 4000 Uživatelská příručka 6
3. Instalace CryptoPlus Instalátor je koncipován tak, aby co nejvíce usnadnil práci běžného uživatele. V průběhu instalace detekuje nejrůznější stavy a formou přehledných výpisů a hypertextových odkazů nabízí uživateli další postup. Pokud instalátor zjistí, že některé součásti jsou již na Vašem PC k dispozici, ponechá je beze změn a využije je pro svou činnost. Příkladem může být skutečnost, že na PC již máte instalovanou a připojenou funkční PC/SC čtečku. Pokud ji instalátor správně detekuje, oznámí tuto skutečnost na úvodní obrazovce a nabídne pokračování instalace dalším krokem (nenabídne instalaci čtečky). Souběžně s ovladači čtečky je instalována PC/SC podpora pro komunikaci se čtečkou. Pokud je PC/SC podpora již součástí operačního systému (od verze MS Windows 2000 a výše), nebo je na PC k dispozici z dřívější instalace, tento krok je rovněž vynechán. 3.1 Spuštění instalace Doporučujeme ukončit běžící aplikace na vašem počítači. Je to z toho důvodu, že instalátor v průběhu instalace restartuje PC a mohlo by dojít ke ztrátě neuložených dat. Přichystejte si čtečku, ale zatím ji k počítači nepřipojujte! Vložte instalační CD do mechaniky a pokud nedojde k samočinnému spuštění instalátoru, spusťte instalaci pomocí Průzkumníka (soubor Install.exe). Po spuštění programu se zobrazí úvodní obrazovka se stavem instalace. Průvodce instalací nejprve detekuje nainstalované součásti a v části Jak pokračovat? vždy nabídne další doporučený krok instalace. Pokud potřebujete provést jiný než doporučený krok, kliknutím na odkaz Další možnosti >> otevřete nabídku jiných možností. Instalátor lze spustit prakticky kdykoliv bez dopadu na stávající instalaci v počítači. 1. Během instalace nesmějí být spuštěny žádné jiné aplikace! 2. Pro instalaci ve Windows NT4, Windows 2000 a Windows XP je nezbytné oprávnění správce systému! Po spuštění instalace následuje výběr jazyka, ve kterém bude instalace probíhat. Přednastaven je jazyk dle regionálního nastavení MS Windows. Uživatelská příručka 7
Obr. 1. Výběr jazykové mutace Po výběru jazyka se spustí průvodce instalací CryptoPlus. Průvodce instalace podrobně informuje uživatele o stavu instalace, nabízí a navrhuje řešení problémů. Obr. 2. Průvodce instalací CryptoPlus Uživatelská příručka 8
Popis položek obrazovky: PC/SC komunikační rozhraní Win32 (Personal Computer/Smart Card). MS Windows 9x, ME, NT nemají rozhraní standardně instalováno, proto se automaticky instaluje před instalací ovladačů čtečky. Počet dostupných čteček informace o počtu čteček dostupných přes PC/SC rozhraní. Instalační balíček označení verze instalačního balíčku, který se chystáte instalovat. CSP knihovna, která implementuje kryptografické standardy a algoritmy (Cryptographic Service Provider). Položka informuje o stavu instalace a zobrazuje verzi instalovaného CSP. PKCS#11 - Standardní rozhraní pro zařízení (ve vašem případě se jedná o čipovou kartu), která uchovávají chráněné informace a provádějí kryptografické operace. Správce karty informuje o verzi již instalovaného CryptoPlus - správce karty. Jazyk informuje o výběru jazyka. Výběr jazyka bude reflektován také ve Správci karty. Operační systém informace o verzi operačního systému. 3.2 Instalace ovladačů čtečky V případě, že nemáte nainstalovánu čtečku čipových karet, vyberte položku Instalovat čtečku karet. Volba se zobrazí i v případě, že čtečka je instalována a připojena, ale vinou komunikační chyby ji instalátor nedokáže detekovat. Další okno instalátoru nabízí seznam a vyobrazení podporovaných čteček. Podle typového označení Vaší čtečky, které je uvedeno na štítku ve spodní části, vyberte v nabídce odpovídající typ. Výběru čtečky věnujte náležitou pozornost instalace jiného typu může později způsobit chyby v komunikaci čtečky. Uživatelská příručka 9
Obr. 3. Instalace čtečky čipových karet Při instalaci čtečky je třeba dodržet následující pravidla: Čtečku připojte, až Vás k tomu instalátor vyzve. Instalujte, pokud možno, pouze drivery nabízené instalátorem CryptoPlus (mohlo by dojít k nesprávné funkci PC/CS rozhraní) Čtečku po jejím připojení a instalaci zbytečně neodpojujte, nechte ji stále připojenou. Čtečku instalujte pouze na funkční port, který není v konfliktu s jiným HW zařízením nainstalovaným ve Vašem počítači Port pro připojení čtečky nikdy nesdílejte s jiným zařízením. Rozhraní PS/SC nedokáže po přerušení komunikace znovu navázat spojení se čtečkou bez restartu. Některé systémy (MS Windows 9x, ME, NT 4.0) nemají standardně nainstalovanou podporu pro práci se čtečkami a kartami tzv. PC/SC. Pokud na vašem počítači nebude tato podpora nalezena, instalátor ji před instalací ovladačů čtečky sám automaticky nainstaluje. Před instalací PC/SC je nutno odsouhlasit text licenčního ujednání (v původní anglické verzi). Pokud kliknete na odkaz Souhlasím, instalace pokračuje dále. V opačném případě se instalace vrací o krok zpět. Uživatelská příručka 10
Po instalaci ovladačů čtečky budete vyzvání k restartování počítače a k připojení čtečky po zadání restartu počítače!!! Obr. 4. Dialogové okno Čekejte Obr. 5. Výzva pro připojení čtečky Podrobný popis připojení čteček najdete v kapitole č. 7. Popis připojení čtečky čipových karet. 3.3 Instalace obslužného software CryptoPlus Pokud je čtečka správně nainstalována, můžete zvolit nabídku Instalovat software CryptoPlus. Uživatelská příručka 11
Obr.6. Instalace software CryptoPlus V dalším okně se zobrazí licenční ujednání pro software CryptoPlus. Po přečtení podmínek je ve spodní části obrazovky nutné kliknutím potvrdit jednu z uvedených možností pro pokračování - Souhlasím či Nesouhlasím. Pokud souhlasíte, instalace pokračuje dále volbou parametrů pro instalaci, v opačném případě se instalace vrací o krok zpět. Pomocí zatržítek si můžete upravit rozsah instalace a umístění souborů na disku. Instalace CryptoPlus s vazbou na Netscape a Mozillu je popsána v kapitole č. 5.1 Instalace CryptoPlus s vazbou na Netscape nebo Mozillu. Na Instalace CryptoPlus s vazbou na Entrust je popsána v kapitole č. 12. Integrace CryptoPlus do produktů Entrust Uživatelská příručka 12
Obr.7. Okno pro součásti instalace V některých případech se může stát, že software CryptoPlus je na počítači již instalován ve verzi kastomizované pro jiného poskytovatele (např. od jiné banky). CryptoPlus může být na jednom počítači nainstalován ve více kastomizacích (každá je uložena v samostatném adresáři na disku), mohou se používat střídavě, v případě použití více čteček také současně! Instalátor takovou skutečnost zjistí a nabídne seznam instalovaných karet. Uživatel musí zatržítkem označit verze, které chce zachovat k souběžnému používání. Pokud váháte, jestli chcete zaregistrované karty ponechat, raději je ponechejte. Obr.8. Dialogové okno při zjištění existujících karet v systému Pokud se jedná o první instalaci programu CryptoPlus, zobrazí se tento dialog, kterým potvrdíme vytvoření adresáře, do kterého se má balíček CryptoPlus nainstalovat. Dialog se zobrazí vždy, když není adresář pro instalaci vytvořený. Potvrzením tlačítka Ano instalace pokračuje dál. Uživatelská příručka 13
Obr.9. Dialogové okno pro vytvoření adresáře pro instalaci Pro správný chod čtečky a softwaru CryptoPlus je nutné restartovat počítač. Zobrazí se okno instalátoru s výzvou k restartu počítače, kde je třeba kliknout na volbu Restartovat počítač Po restartu PC se znovu spustí instalátor, aby ověřil, zda instalace dopadla správně. Pokud jsou všechny součásti nainstalovány můžete vybrat z nabídek: ukončit instalační program nebo spusťte CryptoPlus správce karty. Pokud bude instalace chybná, zobrazí se další doporučený krok, který je výsledkem detekcí jednotlivých potřebných funkcí. V případě, že nechcete ukončit průvodce instalací, klikněte na odkaz další možnosti >>. Pokud nebude průvodce instalací spuštěn automaticky po restartu počítače, je nutné jej pro korektní dokončení instalace spustit ručně (soubor Install.exe). Obr. 10. Ukončení průvodce instalací Uživatelská příručka 14
3.4 Reinstalace, odinstalování CryptoPlus Odinstalování balíčku CryptoPlus v MS Windows NT4, 2000, XP vyžaduje oprávnění správce systému!!! Obr. 11. Alternativní návrhy pro instalaci CryptoPlus Uživatelská příručka 15
CryptoPlus lze odinstalovat dvěma způsoby: 1. Pomocí instalačního programu: Do počítače vložte instalační CD CryptoPlus. V hlavním menu klikněte na Instalace software CryptoPlus, případně pomocí Průzkumníka spusťte z CD instalační program (soubor Install.exe). Kliknutím na odkaz další možnosti >> se zobrazí alternativní návrhy pro instalaci CryptoPlus, viz. kapitola č. 3.5 Alternativní návrhy pro instalaci CryptoPlus Po výběru Odinstalovat software CryptoPlus dojde k odinstalování programového balíčku CryptoPlus, načež se zobrazí okno instalátoru s výzvou k restartu počítače, kde je třeba kliknout na volbu Restartovat počítač Po restartu bude program CryptoPlus odinstalován. 2. Odebráním programu ze seznamu nainstalovaných aplikací: Z nabídky Nastavení Ovládací Panely Přidat nebo odebrat programy zvolte odinstalovat CryptoPlus v1.0. Spustí se program určený pro odinstalování programového balíčku CryptoPlus. Obr. 15. Potvrzení odinstalování programu CryptoPlus Kliknutím na tlačítko Ano potvrdíte odinstalování, které se následně provede. Uživatelská příručka 16
Následuje dialog, který vás vyzve k potvrzení restartu počítače. Kliknutím na tlačítko Ano se počítač restartuje. Obr. 16. Změna nastavení systému restart počítače Po restartu bude program CryptoPlus odinstalován. 3.5 Alternativní návrhy pro instalaci CryptoPlus Vyobrazení viz. obrázek s názvem Alternativní návrhy pro instalaci CryptoPlus. Jedná se o následující funkce: Provést opravu CryptoPlus - Volba se zobrazí, pokud instalátor nalezne instalovanou verzi. Instalátor takovou verzi opraví, resp. doplní chybějící části stávající instalace. Instalovat čtečku karet - Volba umožní nainstalovat čtečku ze seznamu podporovaných čteček. Volbu můžete použít při rozšíření systému o další čtečku nebo jako opravu chybné instalace čtečky. Provést test instalace - Funkce, pomocí které se dá rychle zjistit, zda je instalace CryptoPlus úplná a funkční. Ocení ji zejména majitelé přenosných PC, kde dochází k častému připojování a odpojování externích periferií. Tato funkce zjišťuje aktuální stav instalace produktu CryptoPlus. Restartovat počítač - po restartu PC dochází k uplatnění změn, které byly během instalace provedeny. Bez restartu nelze produkt CryptoPlus správně používat. Po volbě se instalátor znovu spustí a ukáže aktuální stav instalace. Odinstalovat software CryptoPlus - Po kliknutí na tento odkaz dojde k odinstalování bez dalšího varování. CryptoPlus je nutné odinstalovat v případě přeinstalování CryptoPlus, nebo jiné poruše instalace, zrušení produktu. Aktualizace software CryptoPlus - V případě, že instalátor detekuje nainstalovanou starší verzi CryptoPlus, nabídne automaticky aktualizaci na novou verzi. Nabídka se v takovém případě zobrazuje na hlavní obrazovce Instalátoru. Uživatelská příručka 17
Vynucená přeinstalace CryptoPlus - Volba je vždy přítomna, pokud je nějaká verze CryptoPlus instalována. Slouží k reinstalaci pro případ, kdy pokusy o opravu selhaly. Provede kompletní přeinstalování bez ohledu na předchozí instalaci. Volba neřeší problém s komunikací čteček. Odinstalovat PC/SC - Volba umožní odinstalovat PC/SC rozhraní Windows. Při instalaci čtečky je pak PC/SC rozhraní instalováno znovu. Přeinstalování PC/SC může odstranit případné problémy s funkčností čtečky. Volba se zobrazuje pouze v případě, kdy je PC/SC instalováno a pouze na MS Windows 9x, NT a ME. Na novějších verzích MS Windows není možné PC/SC rozhraní odinstalovat. Oprava se provádí standardními prostředky MS Windows. Formulář pro zadání problému - V případě problémů při instalaci programového balíčku CryptoPlus se pomocí tohoto formuláře můžete obrátit na pracovníky podpory. 3.6 Instalace CryptoPlus s vazbou na Mozillu Pokud je na vašem PC detekována instalace prohlížeče Netscape nebo Mozilla, na začátku instalace se automaticky nabídne možnost registrace modulu CryptoPlus Cryptoki pro použití v těchto prohlížečích. Obr.12. Okno pro součásti instalace Uživatelská příručka 18
Obr.13. Kontrolní dotaz před spuštěním registrace Obr.14. Příklad okna pro registraci v prohlížeči Mozilla Obr.15. Potvrzení instalace bezpečnostního modulu pro prohlížeči Mozilla Uživatelská příručka 19
Po dokončení registrace se část instalace obslužného software CryptoPlus ukončí ověřením správnosti instalace. Uživatel je následně informován o úspěšnosti instalace modulů do prohlížeče. Obr.16. Potvrzení o úspěšné instalaci modulu 3.7 Odinstalování CryptoPlus s vazbou na Mozillu V případě, že jste měli zaregistrován modul Cryptoki, program pro odinstalování nabídne odregistrování tohoto modulu z programu Mozilla ( Netscape ). Obr. 17. Odregistrování modulu Cryptoki Uživatelská příručka 20
Obr. 18. Příklad okna pro odregistrování v prohlížeči Mozilly Obr. 19. Potvrzení odinstalování modulu Obr.20. Potvrzení o úspěšné odinstalování modulu Uživatelská příručka 21
4. Základní funkce a ovládání CryptoPlus Pokud chcete použít čipovou kartu pro šifrování a podepisování elektronické pošty, popř. k autorizaci bezpečným spojením s web serverem, musí být splněno několik podmínek: 1. Musí být nainstalována softwarová podpora CryptoPlus. 2. Na čipové kartě musí být Váš privátní klíč s odpovídajícím certifikátem. 3. Kryptografický systém MS Windows musí znát Váš certifikát X.509. Dvě poslední podmínky by Vám měla pomoci splnit Vaše certifikační autorita. Pokud obdržíte kartu CryptoPlus s již nainstalovaným certifikátem, stačí tento certifikát zaregistrovat do Windows pomocí programu CryptoPlus správce karty (součást instalačního balíčku CryptoPlus). Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN. Pokud potřebujete PIN odblokovat nebo jej chcete změnit, použijte utilitu CryptoPlus správce karty. Z hlediska bezpečnosti je velmi důležité, aby PIN kód, respektive PUK, znal jen a pouze majitel karty. Pokud PIN či PUK prozradíte jiné osobě, vystavujete se nebezpečí zneužití Vaší karty nositele Vaší elektronické identity Program CryptoPlus Správce karty slouží k správě čipové karty CryptoPlus. Tato utilita je vybavena speciální funkčností, která se snaží detekovat různé problémy a pokusí se navrhnout způsob jejich řešení. Kompletní popis funkcí naleznete přímo v programu a části Nápověda. Základní práce s CryptoPlus Správce karty : 1. Vložte čipovou kartu do čtečky. 2. Spusťte program CryptoPlus správce karty (po standardní instalaci ji najdete na pracovní ploše popř. v nabídce Start Programy CryptoPlus CryptoPlus.) 3. Po startu Správce karty je nejprve nutné načíst obsah karty. V hlavním okně se tedy objeví Návrhy řešení a zpráva Nejsou přečtena data z karty. Vložte tedy kartu do čtečky a stiskněte podtržené slovo obnovit nebo z nabídky programu zvolte Zobrazit Obnovit (stejnou funkci vyvoláte i stiskem klávesy F5). Uživatelská příručka 22
Obr.21. Okno aplikace CryptoPlus správce karty Pokud je v hlavním okně zobrazen jiný problém, může se např. jednat o chybně připojenou či nainstalovanou čtečku, můžete k řešení (rozpoznání) problémů použít instalační program (soubor Install.exe), který obsahuje mechanizmy pro detekci aktuálního stavu instalace, dokáže také doporučit uživateli kroky pro vyřešení problému. 4. Po načtení údajů z karty by měl automatický detektor problémů zobrazit seznam certifikátů, které nejsou zaregistrovány. Kliknutím na nápis zaregistrovat postupně zaregistrujte všechny certifikáty, které chcete aktivně používat. Uživatelská příručka 23
Obr. 22. Alternativa informačního okna manažeru po načtení dat z karty 1. Při registraci kořenového (root) certifikátu se systém dotáže, zda chcete tento certifikát skutečně přidat do seznamu kořenových certifikátů. Před povolením této operaci, zkontrolujte shodu hodnot SHA-1 kontrolního součtu (hash) certifikátu zobrazené utilitou CryptoPlus a dialogem dotazujícím se na povolení přidání root certifikátu 2. Takto zaregistrovaný certifikát je ihned vyjmut ze seznamu problémových certifikátů. Uživatelská příručka 24
Obr. 23. Přímá registrace certifikátu z menu Certifikát je možné zaregistrovat i tak, že v levém okně vyberete certifikát, který chcete zaregistrovat a v menu zvolíte funkci Certifikát Registrovat. 5. Je-li certifikát platný a zaregistrovaný ve Windows, můžete s ním pracovat v aplikacích, které využívají kryptografický podsystém MS Windows. (Internet Explorer, Outlook Expres, Office XP, ) 4.1 Parametry CSP CryptoPlus CSP používá několik parametrů, jimiž lze modifikovat jeho funkčnost. Parametry jsou uloženy v systémových registrech a jsou popsány v dokumentaci k CSP. Některé parametry CryptoPlus CSP lze zobrazit a změnit pomocí programu CryptoPlus - správce karty. Jsou to: Verze knihovny CSP - Informace o aktuálně instalované verzi CSP. Tuto informaci nelze změnit programem CryptoPlus - správce karty, změní se automaticky po instalaci nové verze knihovny CSP. Porovnáním verzí knihovny lze zjistit, zda je instalována nejaktuálnější verze. Číslo verze může být také důležitou informací při problémech s CSP a případném kontaktu hot-line. Jazyk - Uživatel si může zvolit jazyk, kterým chce komunikovat s aplikacemi CryptoPlus. Timeout dialogů - Nastavuje timeout zobrazení dialogových oken CSP v rozsahu 30-600 sekund. Jestliže uživatel do uvedené doby nezareaguje na okno CSP, okno se automaticky uzavře, jako kdyby uživatel akci přerušil (Cancel). Toto nastavení se netýká okna systému PC/SC pro otevírání karty. Alternativní komunikační moduly nemusí tento parametr používat. Povolit animaci na taskbaru - Jestliže uživatel nechce zobrazovat animace na dolní liště pracovní plochy, může toto pole nechat prázdné (nezaškrtnuté). Práce CSP pak bude probíhat bez animace. Animace symbolizují průběh jednotlivých operací, které právě Uživatelská příručka 25
CryptoPlus CSP provádí. Zapnutí či vypnutí animace nemá žádný vliv na způsob a bezpečnost fungování CSP. Defaultně zapamatovat PIN - Ovlivňuje úvodní nastavení dialogu pro ověření PIN. Jestliže uživatel zaškrtne pole Defaultně zapamatovat PIN, bude vždy při zobrazení dialogu pro ověření PIN automaticky zaškrtnuto pole Zapamatovat pro toto sezení - a naopak. Přednastavenou volbu lze po zobrazení dialogu pro ověření PIN změnit. Časový limit PINu v paměti - Nastaví maximální časový interval, po který CryptoPlus CSP může v paměti uchovávat hodnotu PIN. Zadaná hodnota se může pohybovat od 5 minut do 1440 minut (= 24*60 = 1 den). Volba Parametry CSP zobrazí aktuální nastavení parametrů. Uživatel může tyto hodnoty změnit a uložit pomocí tlačítka Uložit. Jestliže se nové hodnoty nepodaří zpracovat, vypíše program chybové hlášení. Po úspěšném uložení se zobrazí nové (aktuální) hodnoty parametrů. Změna nastavení parametrů se projeví až po restartování aplikací pracujících s čipovou kartou. 4.2 Změna PIN/PUK Aktivní operace s kartou (např. výpočet elektronického podpisu) jsou chráněny pomocí PIN. Pokud PIN zadáte ve třech po sobě jdoucích pokusech chybně, dojde k jeho zablokování. Odblokovat jej lze pomocí tzv. PUK. Při zadávání PUK čipová karta toleruje čtyři po sobě jdoucí chybná zadání. Po páté po sobě jdoucí chybě zadání PUK je karta nezvratně zablokována! Prvotní PIN a PUK pro karty obdržíte společně s kartou v zapečetěné obálce. Pokud potřebujete prvotní PIN změnit, případně kartu odblokovat, použijte program CryptoPlus - správce karty a postupujte dle následujícího návodu. Z hlediska bezpečnosti je nezbytné, aby PIN a PUK kódy znal jen a pouze majitel karty. Pokud PIN či PUK prozradíte jiné osobě, vystavujete se nebezpečí zneužití Vaší karty nositele Vaší elektronické identity. Postup při změně PIN a PUK 1. Vložte čipovou kartu do čtečky. 2. Ukončete všechny aplikace, které používají kartu CryptoPlus. 3. Spusťte program CryptoPlus - správce karty (po standardní instalaci ji najdete na pracovní ploše popř. v nabídce Start Programy CryptoPlus CryptoPlus). Uživatelská příručka 26
4. Přečtěte údaje o vložené kartě pomocí nabídky Zobrazit Obnovit. 5. V levém okně vyberte kartu CryptoPlus. Obr. 24. Okno po prvotním načtení údajů z karty 6. Z nabídky programu CryptoPlus zvolte Soubor Změna / Odblokování PIN. Obr. 25. Okno s informacemi o kartě a vyvoláním funkce pro změnu PIN V dialogovém okně zvolte požadovanou operaci, zadejte potřebné údaje a potvrďte je tlačítkem OK. Délka nového PIN či PUK musí mít nejméně 4 číslice a nejvíce 8 číslic. Tlačítko OK se povolí až poté, kdy je splněna podmínka pro délku PIN/PUK a pokud je nová hodnota stejná jako zopakování nové hodnoty. Uživatelská příručka 27
Obr. 26. Okno pro zadání typu operace a hodnot PIN/PUK 7. Pokud operace proběhla úspěšně, bude karta pracovat s novým PIN popř. PUK. 4.3 Datové objekty Datové objekty na kartách CryptoPlus jsou uživatelsky definovaná data. Mohou mít libovolný formát, navržený aplikací, která datový objekt spravuje. Hodnoty datových objektů mohou být chráněny pomocí PIN. Datové objekty lze proto použít k uložení citlivých dat (hesla, kódy,...). Pro přístup k datovým objektům se typicky využívá rozhraní PKCS#11. Program CryptoPlus správce karty zobrazí podrobné informace o datovém objektu vybraném ve stromu informací. Mezi informacemi o datovém objektu jsou: Aplikace - Název aplikace, která je správcem datového objektu. Nepovinný údaj. Název - Název objektu. Chráněno pomocí PIN - Informace, zda je hodnota datového objektu veřejně přístupná anebo zda je čtení podmíněno zadáním PIN. Délka dat - Délka datové hodnoty. V bytech. Data - Výpis datové hodnoty. Jsou zobrazeny 3 sloupce informací: offset dat, data hexadecimálně a data textově. Pokud je čtení dat chráněno pomocí PIN a data dosud nebyla přečtena, zobrazí se možnost přečíst hodnotu chráněnou pomocí PIN z karty. Datový objekt lze smazat - Je zobrazena možnost smazat datový objekt z karty. Uživatelská příručka 28
Obr. 27. Zobrazení informací o datových objektech Uživatelská příručka 29
5. Integrace CryptoPlus do nejčastěji používaných programů V této kapitole je popsáno, jak nainstalovat a odinstalovat podporu CryptoPlus pro některé další aplikace a jak nakonfigurovat programy tak, aby používaly zabezpečení pomocí certifikátů na čipové kartě. Zobrazené dialogy se mohou lišit od těch, které vidíte v této příručce, dokonce i názvy položek menu mohou být naprosto odlišné. Není možné popsat konfiguraci poměrně širokého spektra verzí aplikací, které mohou používat karty CryptoPlus. Doporučujeme Vám, abyste upřednostnili postupy uvedené v dokumentaci Vašeho software. Ta by měla být vždy aktuální. 5.1 Konfigurace programu MS Outlook 2000 1. Vložte čipovou kartu do čtečky. 2. Spusťte MS Outlook 3. V nabídce aplikace zvolte Nástroje Možnosti. Obr. 28. Panel Možnosti pro konfiguraci Outlook 2000 4. V dialogovém okně Změnit nastavení zabezpečení zvolte Formát zabezpečených zpráv: S/MIME. V sekci Osvědčení a algoritmy by se měly samy objevit názvy Vašeho certifikátu pro elektronický podpis ( Podpisové osvědčení ) a pro šifrování ( Osvědčení zašifrování ). Pokud tomu tak není (např. máte více certifikátů), vyberte vhodné certifikáty pomocí tlačítek Vybrat. Nastavení potvrďte tlačítkem OK. Uživatelská příručka 30