Testovací protokol USB token etoken PRO 32K 1 Úvod 1.1 Testovaný produkt Hardware: USB token Aladdin etoken PRO 32K Software: etoken PKI Client 4.5.52 Datum testování: 17. 11. 2009 1.2 Konfigurace testovacího počítače Hardware: Intel Core 2 Duo E6750, 2 GB RAM DDR2 základní deska Gigabyte GA-P35-DS3R harddisk Seagate ST380817AS, SATA, 80GB, 7200 rpm Čtečky čipových karet: - Software: Microsoft Windows XP + Service Pack 3 Microsoft Office 2003 (Word, Excel, Outlook) Mozilla Firefox 3.0.1 Mozilla Thunderbird 2.0.0.22 XCA 0.7.0 hmailserver 5.2-B356 + Microsoft SQL Server Compact 3.5.NET Framework 2.0 Acronis True Image Home 2009 2 Popis obslužného softwaru 2.1 Instalace obslužného softwaru Uživatel si může změnit cílový adresář pro instalaci softwaru. Instalátor nenabízí žádný seznam komponent k instalaci. Lze vybrat jazyk, ve kterém bude software komunikovat, ale čeština není na seznamu přítomná. Na konci instalace nebyl požadován restart počítače. 2.2 Informace o obslužném softwaru Obslužný software k tokenu tvoří jediná aplikace etoken Properties, ve které lze přepínat mezi zjednodušeným a pokročilým uživatelským rozhraním. - 1 -
Po prvním připojení tokenu se spustí průvodce nově přidaným hardwarem, ovladače jsou však nainstalovány automaticky bez zásahu uživatele. Později bylo zjištěno, že software PKI Client 4.5 neobsahuje ovladače pro novější token etoken PRO 72K. Aplikace obsahuje všechny důležité funkce pro správu tokenu inicializaci, změnu PINu, odblokování tokenu, zobrazení informací o tokenu. Po stisku pravého tlačítka myši se zobrazí kontextové menu s relevantními funkcemi. Aplikace automaticky rozpoznává vložení a vyjmutí tokenu z USB portu. V aplikaci lze nastavit podrobné bezpečnostní parametry pro PIN, jako je jeho délka, vynucování složitosti PINu, historie PINů, minimální a maximální doba používání PINu. Toto nastavení se zapisuje na token při jeho inicializaci. Na tokenu tedy může být nastavena jiná bezpečnostní politika než v softwaru. Token se zablokuje po určitém počtu zadání špatného PINu. Tento počet je definován při inicializaci tokenu. Počet špatně zadaných PINů se zobrazuje v informacích o tokenu a vynuluje se po úspěšné změně PINu. Při inicializaci tokenu v pokročilém nastavení lze aktivovat podporu pro 2048-bitové RSA klíče. I po jejím deaktivování však šlo na kartu tyto klíče vygenerovat. Odblokování tokenu je oproti jiným produktům poněkud netradiční. Při inicializaci je nutné nastavit tzv. administrátorský PIN (obdoba PUKu). Po zablokování tokenu je pak nutné se pomocí administrátorského PINu přihlásit k zablokovanému tokenu a nastavit nový (uživatelský) PIN a vynulovat čítač špatných přihlášení. Aplikace také podporuje vzdálené odblokování, kdy uživatel sdělí administrátorovi text zobrazený v aplikaci a administrátor mu sdělí kód pro odblokování. Registrace certifikátů do Windows probíhá automaticky. V nastavení aplikace lze tuto funkci aktivovat či deaktivovat. Po vyjmutí tokenu se certifikáty z Windows odstraní. Pro import certifikátu ke klíčům na tokenu i import dat ze souboru PKCS#12 používá software stejného průvodce. Údaje v certifikátu zobrazí aplikace korektně, pokud jsou zakódovány v kódování UTF-8. Je-li použito kódování UTF-16, není údaj certifikátu zobrazen. - 2 -
Rozhraní MS CryptoAPI (jméno poskytovatele krypt. služeb) Rozhraní PKCS#11 (jméno DLL knihovny) etoken Base Cryptographic Provider etpkcs11.dll, v systémovém adresáři Windows 2.3 Doplňkové funkce Součástí softwaru byla utilita pro formátování flash paměti na totenech etoken NG-FLASH. 2.4 Odinstalace obslužného softwaru Odinstalační proces proběhl bez problémů. Na jeho konci byl vyžadován restart počítače. 3 Testovací scénář Činnost Inicializace čipové karty/tokenu Vydání certifikátu s českými znaky zakódovanými v UTF-16 Instalace vydaného certifikátu přes stránky Nastavení PKCS#11 knihovny v aplikaci Mozilla Thunderbird Instalace vydaného certifikátu přes stránky (zadání stejných údajů do žádosti o certifikát jako v předchozím případě simulace obnovy certifikátu) Instalace vydaného certifikátu přes stránky Výsledek Připomínka - 3 -
Činnost Instalace vydaného certifikátu pomocí obslužného softwaru Registrace certifikátu do Windows Import klíčů a certifikátu ze souboru PKCS#12 na kartu/token Registrace certifikátu do Windows Smazání klíčů a certifikátu z karty/tokenu v obslužném softwaru Změna PIN ke kartě/tokenu, zadání písmen a neabecedních znaků do nového PIN Smazání klíčů a certifikátu z karty/tokenu v aplikaci Mozilla Thunderbird Změna PIN ke kartě/tokenu v aplikaci Mozilla Thunderbird Pouze čipové karty ověření kompatibility s různými čtečkami čipových karet Výsledek Automatická Automatická - 3.1 Poznámky k testování Při generování RSA klíčů přes webové stránky aplikace Internet Explorer po určitou dobu vůbec nereaguje. Není zobrazeno žádné okno s informací, že probíhá generování klíčů. Certifikáty s kódováním UTF-16 mají nastavenu prázdnou jmenovku. Je-li v tokenu uloženo více certifikátů s kódováním UTF-16, Mozilla Thunderbird zobrazuje pouze poslední importovaný certifikát. Certifikáty s kódováním UTF-8 mají jmenovku stejnou jako jméno certifikátu. Pokud je ale v tokenu uloženo více certifikátů se stejným jménem, Mozilla Thunderbird opět zobrazí jen poslední importovaný certifikát. Software neumožňuje změnit jmenovku. Po inicializaci tokenu s výchozím nastavením bylo možné na token uložit pouze tři dvojice RSA klíčů o velikosti 2048 bitů. Tento problém se odstraní tak, že při inicializaci se v pokročilém nastavení specifikuje konkrétní počet RSA klíčů, pro které se má v paměti zařízení vyhradit místo. Mozilla Thunderbird při mazání klíčů chvíli nereaguje. Při změně PINu v Mozille Thunderbird se dodržuje nastavená bezpečnostní politika PIN. - 4 -
4 Závěr Byla potvrzena funkčnost aplikačních rozhraní MS CryptoAPI a PKCS#11. Na zařízení lze uložit RSA klíče o velikosti 2048 bitů i certifikáty s podepisovacím algoritmem sha256withrsa. Aplikace Mozilla Thunderbird neumí při nastavování certifikátu e-mailovému účtu korektně zpracovat kontejnery na kartě, které mají stejnou jmenovku. Je zobrazen pouze jeden z nich. Ke stejnému problému dochází i v případě, že v certifikátu je použito kódování UTF-16. Je funkční import vydaného certifikátu přes obslužný software i import dat ze souboru typu PKCS#12. - 5 -