Testovací protokol čipová karta etoken PRO SmartCard 32K 1 Úvod 1.1 Testovaný produkt Hardware: Software: etoken PKI Client 4.5.52 Datum testování: 17. 11. 2009 čipová karta Aladdin etoken PRO Smart Card 32K 1.2 Konfigurace testovacího počítače Hardware: Intel Core 2 Duo E6750, 2 GB RAM DDR2 základní deska Gigabyte GA-P35-DS3R harddisk Seagate ST380817AS, SATA, 80GB, 7200 rpm Čtečky čipových karet: GemPlus PC Twin (primárně používaná) Omnikey 3021 ACS ACR38 Software: Microsoft Windows XP + Service Pack 3 Microsoft Office 2003 (Word, Excel, Outlook) Mozilla Firefox 3.0.1 Mozilla Thunderbird 2.0.0.22 XCA 0.7.0 hmailserver 5.2-B356 + Microsoft SQL Server Compact 3.5.NET Framework 2.0 Acronis True Image Home 2009 2 Popis obslužného softwaru 2.1 Instalace obslužného softwaru Uživatel si může změnit cílový adresář pro instalaci softwaru. Instalátor nenabízí žádný seznam komponent k instalaci. Lze vybrat jazyk, ve kterém bude software komunikovat, ale čeština není na seznamu přítomná. Na konci instalace nebyl požadován restart počítače. - 1 -
2.2 Informace o obslužném softwaru Obslužný software ke kartě tvoří jediná aplikace etoken Properties, ve které lze přepínat mezi zjednodušeným a pokročilým uživatelským rozhraním. Aplikace obsahuje všechny důležité funkce pro správu karty inicializaci, změnu PINu, odblokování karty, zobrazení informací o kartě. Po stisku pravého tlačítka myši se zobrazí kontextové menu s relevantními funkcemi. Aplikace automaticky rozpoznává vložení a vyjmutí karty ze čtečky. V aplikaci lze nastavit podrobné bezpečnostní parametry pro PIN, jako je jeho délka, vynucování složitosti PINu, historie PINů, minimální a maximální doba používání PINu. Toto nastavení se zapisuje na kartu při její inicializaci. Na kartě tedy může být nastavena jiná bezpečnostní politika než v softwaru. Karta se zablokuje po určitém počtu zadání špatného PINu. Tento počet je definován při inicializaci karty. Počet špatně zadaných PINů se zobrazuje v informacích o kartě a vynuluje se po úspěšné změně PINu. Při inicializaci karty v pokročilém nastavení lze aktivovat podporu pro 2048-bitové RSA klíče. I po jejím deaktivování však šlo na kartu tyto klíče vygenerovat. Odblokování karty je oproti jiným produktům poněkud netradiční. Při inicializaci karty je nutné nastavit tzv. administrátorský PIN (obdoba PUKu). Po zablokování karty je pak nutné se pomocí administrátorského PINu přihlásit na zablokovanou kartu, nastavit nový (uživatelský) PIN a vynulovat čítač špatných přihlášení. Aplikace také podporuje vzdálené odblokování, kdy uživatel sdělí administrátorovi text zobrazený v aplikaci a administrátor mu sdělí kód pro odblokování. Registrace certifikátů do Windows probíhá automaticky. V nastavení aplikace lze tuto funkci aktivovat či deaktivovat. Po vyjmutí karty ze čtečky se certifikáty z Windows odstraní. Pro import certifikátu ke klíčům na kartě i import dat ze souboru PKCS#12 používá software stejného průvodce. Údaje v certifikátu zobrazí aplikace korektně, pokud jsou zakódovány v kódování UTF-8. Je-li použito kódování UTF-16, není údaj certifikátu zobrazen. - 2 -
Rozhraní MS CryptoAPI (jméno poskytovatele krypt. služeb) Rozhraní PKCS#11 (jméno DLL knihovny) etoken Base Cryptographic Provider etpkcs11.dll, v systémovém adresáři Windows 2.3 Doplňkové funkce Součástí softwaru byla utilita pro formátování flash paměti na totenech etoken NG-FLASH. 2.4 Odinstalace obslužného softwaru Odinstalační proces proběhl bez problémů. Na jeho konci byl vyžadován restart počítače. 3 Testovací scénář Činnost Inicializace čipové karty/tokenu Vydání certifikátu s českými znaky zakódovanými v UTF-16 Instalace vydaného certifikátu přes stránky Nastavení PKCS#11 knihovny v aplikaci Mozilla Thunderbird Instalace vydaného certifikátu přes stránky (zadání stejných údajů do žádosti o certifikát jako v předchozím případě simulace obnovy certifikátu) Instalace vydaného certifikátu přes stránky Instalace vydaného certifikátu pomocí obslužného softwaru Výsledek Připomínka Připomínka - 3 -
Činnost Registrace certifikátu do Windows Import klíčů a certifikátu ze souboru PKCS#12 na kartu/token Registrace certifikátu do Windows Smazání klíčů a certifikátu z karty/tokenu v obslužném softwaru Změna PIN ke kartě/tokenu, zadání písmen a neabecedních znaků do nového PIN Smazání klíčů a certifikátu z karty/tokenu v aplikaci Mozilla Thunderbird Změna PIN ke kartě/tokenu v aplikaci Mozilla Thunderbird Pouze čipové karty ověření kompatibility s různými čtečkami čipových karet Výsledek Automatická Automatická 3.1 Poznámky k testování Při generování RSA klíčů přes webové stránky aplikace Internet Explorer po určitou dobu vůbec nereaguje. Není zobrazeno žádné okno s informací, že probíhá generování klíčů. Certifikáty s kódováním UTF-16 mají nastavenu prázdnou jmenovku. Je-li na kartě uloženo více certifikátů s kódováním UTF-16, Mozilla Thunderbird zobrazuje pouze poslední importovaný certifikát. Certifikáty s kódováním UTF-8 mají jmenovku stejnou jako jméno certifikátu. Pokud je ale na kartě uloženo více certifikátů se stejným jménem, Mozilla Thunderbird opět zobrazí jen poslední importovaný certifikát. Software neumožňuje změnu jmenovky. Po inicializaci karty s výchozím nastavením bylo možné na kartu uložit pouze tři dvojice RSA klíčů o velikosti 2048 bitů. Tento problém se odstraní tak, že při inicializaci karty se v pokročilém nastavení specifikuje konkrétní počet RSA klíčů, pro které se má v paměti zařízení vyhradit místo. Mozilla Thunderbird při mazání klíčů chvíli nereaguje. Při změně PINu v Mozille Thunderbird se dodržuje nastavená bezpečnostní politika PIN. 4 Závěr Byla potvrzena funkčnost aplikačních rozhraní MS CryptoAPI a PKCS#11. - 4 -
Na zařízení lze uložit RSA klíče o velikosti 2048 bitů i certifikáty s podepisovacím algoritmem sha256withrsa. Aplikace Mozilla Thunderbird neumí při nastavování certifikátu e-mailovému účtu korektně zpracovat kontejnery na kartě, které mají stejnou jmenovku. Je zobrazen pouze jeden z nich. Ke stejnému problému dochází i v případě, že v certifikátu je použito kódování UTF-16. Je funkční import vydaného certifikátu přes obslužný software i import dat ze souboru typu PKCS#12. - 5 -