FAQ PROID+ A. ZPROVOZNĚNÍ 1. JAK A KDE ZÍSKÁM OVLÁDACÍ SOFTWARE KARTY PROID+? Instalační balíček je dostupný ke stažení z adresy: http://www.proid.cz/sw/... Na této adrese je dostupný kompletní instalační balíček ve formátu ZIP, který v sobě obsahuje instalační průvodce pro všechny podporované platformy operačních systémů. Obsahuje také instalaci ovladačů čteček. Kromě kompletního balíčku jsou ke stažení dostupné také samostatné instalační balíčky pro jednotlivé operační systémy. Pokud uživatel zná verzi operačního systému, na který chce ProID+ instalovat, může si stáhnout pouze (menší) balíček pro daný operační systém. 2. CO POTŘEBUJI PRO PROVOZ PROID+? Ke zprovoznění produktu ProID+ je potřeba: - Počítač se systémem MS Windows XP SP3 nebo novějším (verze pro Linux a MacOS jsou dostupné na vyžádání) - Čtečku čipových karet, která odpovídá standardu PC/SC - Čipovou kartu ProID+ - Alespoň jeden pár klíčů s certifikátem, uloženými v čipu karty - Ovládací software karty ProID+ 3. JAKÉ ČTEČKY ČIPOVÝCH KARET JSOU PODPOROVÁNY? Obecně lze použít libovolnou čtečku karet, která podporuje standard PC/SC (většina čteček na trhu jej podporuje) a umožňuje vložení karty v podporovaném formátu. Čipové karty ProID+ jsou dodávány v těchto standardizovaných formátech: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 1 z 37
a) Klasický formát ID-1 o rozměru 85,60 x 53,98 mm b) Zmenšený formát ID-000 (SIM) o rozměru 25 x 15 mm 3.1 Je z bezpečnostního hlediska vhodnější klasická karta se čtečkou nebo token (SIM)? Z hlediska poskytované úrovně zabezpečení jsou obě dodávané varianty srovnatelné. Rozdíl je pouze v komfortu manipulace s kartou, kdy při použití čtečky s kartou běžného formátu, může uživatel snadno používat více karet, zatímco token poskytuje větší mobilitu. 4. JAK SI OPATŘÍM CERTIFIKÁT? Způsob získání certifikátu závisí na účelu použití certifikátu: a) Pro (osobní) komunikaci s veřejnými institucemi je vhodné nakoupit certifikát od komerční certifikační autority. Některé veřejně dostupné certifikační autority vydávají kvalifikované certifikáty, vhodné pro elektronickou komunikaci se státní správou ČR. (Kvalifikované certifikáty mohou být s kryptografickými klíči bezpečně uloženy na v čipu ProID+.) b) Pro zabezpečení dat a komunikace v rámci organizace je asi nejčastějším řešením zprovoznění vlastní (interní) certifikační autority, která je součástí serverového operačního systému Microsoft Windows. Tuto certifikační autoritu lze snadno integrovat do doménového prostředí s Active Directory viz např.: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 2 z 37
http://blogs.technet.com/b/askds/archive/2009/09/01/designing-andimplementing-a-pki-part-i-design-and-planning.aspx 4.1 Musím před získáním certifikátu instalovat ProID+? Pokud má být certifikát uložen na čipové kartě ProID+, je z bezpečnostních (viz. bod 10.)důvodů doporučeno generovat kryptografické klíče v čipu karty. Klíče se generují společně se žádostí o certifikát. Proto je třeba před započetím generování žádosti instalovat a zprovoznit ProID+. 4.2 Jak získám certifikát od komerční certifikační autority? Certifikační autority mají obvykle na svých webových stránkách postupy, které musí žadatel o certifikát provést. Některé z těchto postupů uvádí i zmínky o podpoře uložení certifikátů na čipové karty. Obecně lze postup získání certifikátu na kartu ProID+ popsat v těchto krocích: Prostudování podmínek získání certifikátu (na stránkách zvolené certifikační autority) Vygenerování žádosti o certifikát. Pro generování žádosti se obvykle používají webové stránky dané certifikační autority. V průběhu generování žádosti jsou generovány kryptografické klíče, pro generování klíčů na kartě ProID+ je nutno zvolit kryptografického poskytovatele Microsoft Base Smart Card Crypto Provider Doručení vygenerované žádosti do certifikační autority. Tento krok obvykle zajistí webové stránky certifikační autority automaticky. Návštěva kontaktního místa certifikační autority, kontrola osobních dokladů žadatele a vydání certifikátu. (Některé certifikační autority ukládají žadateli certifikát na výměnné médium, jiné zasílají certifikát e-mailem anebo umožní stažení souboru s certifikátem z webových stránek.) Import certifikátu na kartu ProID+. Pokud certifikační autorita nepodporuje instalaci certifikátu ze své webové stránky, je třeba certifikát importovat na kartu pomocí Správce karty (který je součástí instalace ProID+). Importem certifikátu na kartu proces končí; kartu s certifikátem je možno ihned používat. 5. JAK ZPROVOZNÍM PROID+ V DOMÉNĚ MS WINDOWS? Správcové organizace, která využívá doménu s Active Directory, mohou velmi jednoduše zprovoznit např. přihlašování do počítačů pomocí karty ProID+. Stačí provést následující kroky: na serverovém operačním systému aktivovat certifikační službu (je součástí operačního systému) připravit šablony pro vydání certifikátů (jsou ukládány do Active Directory) distribuovat software ProID+ na doménové počítače, např. instalace MSI balíčku ProID+ prostřednictvím doménových politik MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 3 z 37
nastavit doménové politiky, spojené s provozem karet (např. zamknutí uživatelské stanice po vyjmutí karty) distribuovat karty a vydat na ně certifikáty; buď pomocí nástrojů operačního systému anebo user-friendly aplikace RAlite Pracovníci Monet+ mají se zprovozněním certifikačních služeb v doméně dlouholeté zkušenosti a jsou připraveni poskytnout konzultace či pomoc s tímto tématem. 6. JAK NAINSTALUJI ČTEČKU ČIPOVÝCH KARET? Moderní operační systémy Windows (Windows Vista a novější) s přístupem ke službě Windows Update jsou schopny v řadě případů provést instalaci ovladače čtečky automaticky po připojení zařízení do příslušného portu počítače (USB). Pokud tento postup z různých příčin není funkční, je nutné provést instalační postup doporučovaný výrobcem čtečky. Instalační postup je uveden na stránkách výrobce čtečky. Zákazníci, kteří zakoupí čtečky jako součást dodávky karet ProID+ naleznou ovladače čteček a jednoduchý postup instalace na instalačním médiu ProID+ v dokumentu Install_Guide_Readers.docx. 7. JAK NAINSTALUJI OVLÁDACÍ SOFTWARE KARTY PROID+? Software ProID+ je dodáván ve formě grafického instalačního průvodce, který je spolu s instrukcemi součástí instalačního média ProID+. Instrukce k instalaci obsahuje dokument InstalaceProID+.docx. Obraz instalačního média lze stáhnout z webových stránek ProID+. Pro hromadnou a bezobslužnou instalaci mohou správcové informačních systémů použít instalační balíčky ve formátu MSI viz: http://support.microsoft.com/kb/816102 8. PROČ UKLÁDAT CERTIFIKÁTY NA KARTU? Ke každému certifikátu patří, mimo jiné, také soukromý klíč. Soukromý klíč reprezentuje elektronickou identitu držitele v elektronických systémech. Držitel certifikátu musí mít svůj soukromý klíč pod svou výhradní kontrolou. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 4 z 37
Zcizení (zkopírování) klíče umožní jinému subjektu vydávat se za držitele certifikátu, např. přihlašování do systémů na cizí účet (účet držitele certifikátu), elektronické podepisování podvržených e-mailů a dokumentů jménem držitele certifikátu dešifrování dat držitele certifikátu Při běžném uložení certifikátu a soukromého klíče v souborovém systému počítače je klíč vystaven vysokému riziku zkopírování a následnému zneužití. Čip karty ProID+ je vybaven výkonným kryptografickým koprocesorem. Díky němu může provádět veškeré operace se soukromým klíčem uvnitř čipu. Soukromý klíč, uložený na kartě, nikdy neopustí bezpečné prostředí čipu. Karta nedisponuje funkcemi, které by umožnily exportovat či kopírovat soukromé klíče.navíc je vybavena bezpečnostními mechanismy, odolnými před sofistikovanými mechanickými či elektromagnetickými útoky na obsah čipu. Použití soukromého klíče je podmíněno zadáním platné hodnoty PIN. Po třech po sobě jdoucích nesprávných zadání PIN se operace se soukromými klíči zablokují. Tento mechanismus chrání obsah karty před zcizením (bez znalosti PIN nelze klíče zneužít). Další obrovskou výhodou čipové karty je mobilita; držitel karty si může své klíče vzít kamkoli (a bezpečně) s sebou. Může je používat v různých počítačích a přitom má své klíče (fyzicky) pod kontrolou neboť neexistuje žádná kopie klíče, pouze originál, uložený v čipu. Klíče, které jsou chráněné jen (softwarovými) prostředky operačního systému, sice lze exportovat a přenést jinam, ale: Pro běžného uživatele je provedení exportu a následného klíčů dosti komplikovanou záležitostí Klíče pak existují v několika kopiích, držitel je nemá pod kontrolou a musí navíc chránit všechny kopie klíčů. 9. JE MOŽNÉ UKLÁDAT NA KARTU PROID+ CERTIFIKÁTY RŮZNÝCH CERTIFIKAČNÍCH AUTORIT? Na kartu lze ukládat certifikáty různých certifikačních autorit, kvalifikované certifikáty nevyjímaje. V jednom čipu mohou být uloženy i certifikáty různého typu, např. šifrovací certifikát vedle kvalifikovaného certifikátu. Kapacita karty ProID+ je dostatečná, takže držitel může mít na své kartě uloženy všechny své klíče s certifikáty. Všechny klíče jsou chráněny stejnou hodnotou PIN 10. KOLIK CERTIFIKÁTŮ JE MOŽNÉ NA KARTU ULOŽIT? 6 certifikátů s klíči o velikosti 1024 bitů 10 certifikátů s klíči o velikosti 2048 bitů tedy celkem až 16 certifikátů. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 5 z 37
Detailní informace o zaplnění karty lze zobrazit pomocí aplikace Správce karty, kde se po označení karty ve stromové struktuře levého panelu zobrazí v pravém panelu příslušné informace: 11. CO JE TO EXPERTNÍ MÓD APLIKACE SPRÁVCE KARTY? Některé operace s kartou nejsou po spuštění aplikace Správce karty přímo k dispozici. Jedná se například o výmaz objektu. Provádění takových operací je podmíněno aktivací tzv. Expertního módu, což provedete v hlavní nabídce Soubor zatržením položky Expertní mód: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 6 z 37
12. JE MOŽNÉ CERTIFIKÁT Z KARTY VYMAZAT? Smazání certifikátu z karty je možné provést pomocí aplikace Správce karty. Výmaz objektů z karty vyžaduje aktivaci Expertního módu Správce karty. Smazání certifikátu neznamená smazání soukromého klíče, spojeného s daným certifikátem. Smazaný certifikát lze na kartu opět importovat (pokud na kartě existuje soukromý klíč certifikátu). Pro smazání certifikátu je třeba v levém panelu Správce karty označit certifikát, určený ke smazání a poté použít tlačítko Smazání certifikátu. Smazání certifikátu z karty je podmíněno zadáním platné hodnoty PIN karty. 13. LZE Z KARTY EXPORTOVAT KLÍČ S CERTIFIKÁTEM? Soukromý klíč nelze z karty exportovat ani kopírovat; to je základní bezpečnostní vlastnost karty ProID+. Certifikát (s veřejným klíčem) lze z karty exportovat pomocí aplikace Správce karty. V levé části okna se zvolí certifikát k exportu a v pravé části se použije volba Export do souboru. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 7 z 37
V dalším kroku se zvolí umístění a název souboru a export se provede použitím tlačítka Uložit. 14. JE MOŽNÉ Z KARTY VYMAZAT KLÍČ S CERTIFIKÁTEM? Soukromý klíč lze smazat z karty pomocí aplikace Správce karty. Spolu s klíčem se z karty automaticky smaže i příslušný certifikát. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 8 z 37
Výmaz klíče vyžaduje aktivaci Expertního módu Správce karty a je podmíněn zadáním platné hodnoty PIN karty. Je třeba upozornit, že smazání klíče je nevratná operace. Z karty by měly být mazány pouze klíče a certifikáty, které jsou určeny pro autentizaci a elektronické podepisování. Smazání klíče by mělo následovat až po nahrazení klíče a certifikátu nově vydanou sadou. Před smazáním klíče šifrovacích certifikátů je potřeba důkladně zvážit, zda existují data, která byla tímto certifikátem zašifrována. Pro dešifrování těchto dat je nutné mít k dispozici daný soukromý klíč. Pokud se šifrovací klíč z karty smaže (a neexistuje záloha) nebude možno data dešifrovat a proto zůstanou navždy nečitelná. Pro smazání klíče je třeba v levém panelu Správce karty označit klíč a poté použít tlačítko Smazání klíče. 15. JE MOŽNÉ NA KARTU IMPORTOVAT CERTIFIKÁT ULOŽENÝ V SOUBORU? Pomocí aplikace Správce karty je možné na kartu ProID+ importovat certifikát společně s jeho soukromým klíčem ze souboru PFX (standardizovaný formát PKCS#12). V levém panelu Správce karty je třeba označit objekt karty a v pravém panelu zvolit možnost Import pfx: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 9 z 37
Zobrazí se okno pro vyhledání souboru s klíčem. Po otevření souboru s klíčem se zobrazí výzva k vložení hesla, kterým je zašifrován soubor s klíčem: Po vložení hesla k souboru a potvrzení tlačítkem OK dojde k zobrazení výzvy pro zadání kódu PIN ke kartě a následně uložení klíče s certifikátem na kartu. 16. JE MOŽNÉ ZMĚNIT KÓD PIN A PUK KARTY 16.1 Změna kódu PIN/PUK pomocí aplikace Správce Karty Změnu kódu PIN nebo PUK je možné provést pomocí aplikace Správce karty. Změna PINu/PUKu je podmíněna znalostí současné (původní) hodnoty. V levém panelu se zvolí objekt karty a v pravém panelu se použije tlačítko Změna PINu, popř. Změna PUKu. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 10 z 37
Do pole PIN se zadá původní hodnota PINu, do pole Nový PIN se zadá nová hodnota PINu. Novou hodnotu je nutné pro kontrolu - zopakovat v poli Nový PIN zopakovaný. Obr. Změna kódu PIN 16.2 Změna kódu PIN pomocí konzole OS Windows Změnu kódu PIN lze provést i pomocí prostředků samotného operačního systému MS Windows. Postup se liší pro Windows XP a pro novější verze MS Windows. Ve Windows XP se spustí aplikace PinTool.exe: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 11 z 37
Na záložce Změnit kód PIN se vloží hodnota původního PIN-u a poté nová hodnota kódu PIN, kterou je potřeba ještě jednou potvrdit: Použitím tlačítka Změnit kód PIN dojde k provedení změny: Ve Windows Vista a novějších je možnost změny kódu PIN pomocí systémových prostředků podmíněna následujícím nastavením registru: V sekci: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 12 z 37
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SmartCardCredentialProvider Musí být zaveden klíč AllowIntegratedUnblock typu DWORD a jeho hodnota nastavena na 1. AllowIntegratedUnblock=dword:00000001 Proces změny kódu PIN se aktivuje stiskem kláves CTRL+ALT+DELETE, kdy dojde k zobrazení obrazovky tzv. citlivých operací; zde se vybere položka Změnit heslo/change a password: Dále se zvolí položka Jiná pověření: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 13 z 37
A následně volba čipové karty pro změnu kódu PIN: Vybere se volba Změnit PIN/Change PIN: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 14 z 37
V dialogu pro změnu kódu PIN se nejprve vloží původní kód PIN a poté se zadá nový kód PIN, který je potřeba pro kontrolu vložit ještě jednou. Změna se potvrdí zvolením ikony se šipkou: Provedení změny je potvrzeno oznámením: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 15 z 37
17. JAK MOHU ZJISTIT, CO JE NA KARTĚ ULOŽENO? Obsah karty ProID+ lze zobrazit pomocí aplikace Správce karty. Po spuštění aplikace je třeba načíst obsah karty tlačítkem Obnovit, popř. funkční klávesou F5. Karta musí být po celou dobu načítání informací zasunuta ve čtečce. V levém panelu Správce karty se zobrazí v přehledné stromové struktuře důležité objekty: Čtečka čipových karet identifikovaná jejím názvem a pořadovým číslem Karta ProID+ identifikovaná číselným označením karty Uživatelské objekty na kartě klíč a k němu se vážící certifikát MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 16 z 37
Jednotlivé objekty lze zvolit pomocí myši a získat tak detailnější informace, které jsou zobrazeny v pravém panelu aplikace. 18. JE MOŽNÉ POUŽÍT KARTU PROID+ I PRO BEZKONTAKTNÍ OPERACE? Funkce ProID+ jsou implementovány nad kontaktním čipem karty. V případě zájmu však lze kartu ProID+ dodat jako duální, tzn. že kromě kontaktního nese také bezkontaktní čip. Nad bezkontaktním čipem karty ProID+ pak lze provozovat obvyklé bezkontaktní systémy, jako jsou např. docházkové, stravovací systémy anebo ochrana fyzického přístupu do prostor organizace. 19. K ČEMU SLOUŽÍ ADMINISTRAČNÍ KARTA PROID+? Jedná se o čipovou kartu ProID+, na které je, na rozdíl od uživatelských karet, uložen specifický autorizační klíč. Pomocí tohoto administračního klíče lze autorizovat správcovské operace, jako například odblokování PINči recyklaci karty. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 17 z 37
B. PROBLÉMY A JEJICH ŘEŠENÍ 1. ČTEČKA ČIPOVÝCH KARET NEFUNGUJE A NENÍ UVEDENA VE SPRÁVCI ZAŘÍZENÍ Běžně dodávané čtečky jsou zařízení typu Plug and Play, které se po připojení k portu počítače zobrazí v seznamu Správce zařízení Windows. V případě, že je v systému instalován vhodný ovladač, je tento přiřazen tomuto zařízení a čtečka je uvedena v sekci Čtečky karet Smart Card. V případě nenalezení vhodného ovladače je zařízení uvedeno s výstražným symbolem v sekci Jiná zařízení a čeká na instalaci vhodného ovladače. Pokud je tedy čtečka v pořádku a je instalován kompatibilní ovladač, je uvedena ve Správci zařízení Windows ve dvou sekcích: - Řadiče USB jako hardwarové zařízení na USB rozbočovači - Čtečky karet Smart Card jako zařízení podporující standard PC/SC Obr. Správce zařízení korektně instalovaná čtečka V případě, že systém Windows nenalezne vhodný ovladač čtečky, je nutné jej instalovat ručně. Ruční instalace ovladače čtečky je popsána v dokumentu InstalaceCteckyGemaltoIDBridge.docx. Pokud čtečka po připojení k portu PC není uvedena ve Správci zařízení, doporučuje se provést následující kroky: zapojit čtečku do jiného USB portu při zapojení vynechat jakékoli další prvky, jako například USB HUB nebo prodlužovací kabel USB vyměnit čtečku za jiný kus MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 18 z 37
2. DIODA ČTEČKY ČIPOVÝCH KARET PO PŘIPOJENÍ NESVÍTÍ Většina dostupných čteček je vybavena diodou, která signalizuje stav čtečky. Pokud se tato dioda po připojení čtečky k portu počítače nerozsvítí, jsou pravděpodobně čtečka nebo její kabel fyzicky poškozeny. V takovém případě je vhodné kontaktovat dodavatele zařízení a konzultovat s ním další postup. 3. SPRÁVCE KARTY HLÁSÍ, ŽE NENÍ DOSTUPNÁ ŽÁDNÁ ČTEČKA ČIPOVÝCH KARET Předpoklady pro správné fungování čtečky ve Správci zařízení jsou: Čtečka je viditelná ve Správci zařízení v sekci Čtečky karet Smart Card (viz. bod č.1) V počítači je funkční PC/SC rozhraní ProID+ využívá ke komunikaci s čtečkami čipových karet standardizované rozhraní PC/SC (Personal Computer/Smart Card). Toto rozhraní je již ve všech podporovaných verzích Windows dostupné. Aby mohl ovládací software ProID+ se čtečkou pracovat, musí být čtečka přes toto rozhraní dostupná. Registraci zařízení na PC/SC zprostředkovává ovladač čtečky. Pro správné fungování PC/SC musí být spuštěna systémová služba Čipová karta (Karta Smart Card, Smart Card). MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 19 z 37
Obr. Systémová služba Čipová karta ve stavu Zastaveno Obr. Služba Čipová karta v korektním stavu 4. MÁM PROBLÉM SE ZOBRAZENÍM OBSAHU KARTY V APLIKACI SPRÁVCE KARTY V případě, že lze vyloučit chybu hardware viz. body č. 1-3, je nutné prověřit softwarovou část instalace. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 20 z 37
a) Software ProID+ Pro vyloučení možnosti, že příčinou problémů je nefunkční software ProID+, je doporučeno provést jeho re-instalaci následovně: odinstalace software ProID+ restart počítače nová instalace software ProID+ b) Konfliktní stav V případě, že je již na počítači nainstalován jiný PKI klientský software a současně ještě není nainstalován software ProID+, může nastat situace, kdy při vložení karty ProID+ dojde při pokusu o přečtení karty k mylnému užití dříve nainstalovaného (nesprávného) software, což skončí chybou. Příkladem takového konfliktního PKI klienta je ActivIdentity Client předinstalovaný na noteboocích HP. Pro sjednání nápravy je k dispozici opravný nástroj, který najdete na následující adrese: www.proid.cz/software/tools/crpluscleanai.v1.0.5.zip.. Pokud výše odkazovaný nástroj nepomůže, je třeba provést následující kroky: odinstalace software ProID+ odinstalace software jiného (kolidujícího) PKI klienta restart počítače instalace software ProID+ vložení karty ProID+, spuštění Správce karty a načtení obsahu karty instalace software jiného PKI klienta 5. MÁM PROBLÉM S POUŽITÍM CERTIFIKÁTU (PŘIHLÁŠENÍ, PODPIS, ŠIFROVÁNÍ VLASTNÍCH DAT) 5.1 Podmínky pro přihlášení do systému Možnost přihlášení čipovou kartou do systému Windows je podmíněna následujícími body: - počítač i uživatel jsou součástí Active Directory (domény) - řadič domény (server) má vystaven certifikát s účelem Řadič domény (většinou proběhne automaticky do několika hodin po zprovoznění CA) - uživatelský certifikát je vystaven doménovou certifikační autoritou a je vystaven dle šablony, která ve svých vlastnostech podporuje použití certifikátu pro Přihlášení čipovou kartou - Při použití komerční certifikační autority je nutné zavést její certifikát jako důvěryhodný v celé doméně, viz. http://support.microsoft.com/kb/281245 - MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 21 z 37
5.2 Podmínky pro podpis dokumentu Pro podepsání dokumentu certifikátem je vyžadováno následující: - uživatel vlastní certifikát, mezi jehož účely použití patří, mimo jiné, elektronický podpis; tento certifikát by měl být uložen na kartě ProID+. - aplikace, ve které se bude podepisovat dokument, má v úložišti certifikátů k dispozici certifikát vydávající certifikační autority a důvěřuje mu pro dané účely. U aplikací Microsoft (MS Office) se jedná o systémové úložiště certifikátů viz. bod č. 6., zatímco aplikace jiných výrobců, např. Mozilla nebo Adobe, požívají svá vlastní úložiště viz. bod č. 11. 5.3 Podmínky pro šifrování dokumentu Podmínky pro schopnost zašifrování dokumentu jsou identické s podmínkami pro podpis dokumentu: - uživatel vlastní certifikát, mezi jehož účely použití patří, mimo jiné, šifrování dat; tento certifikát by měl být uložen na kartě ProID+. - aplikace, pomocí které bude dokument šifrován, má v úložišti certifikátů k dispozici certifikát vydávající certifikační autority a důvěřuje mu pro dané účely. U aplikací Microsoft (MS Office) se jedná o systémové úložiště certifikátů viz. bod č. 6., zatímco aplikace jiných výrobců, např. Mozilla nebo Adobe, požívají svá vlastní úložiště viz. bod č. 11. 5.4 Ověření účelu použití, platnosti a cesty certifikátu V případě potíží s použitím certifikátu je doporučeno provést následující: - přihlášení do systému běžným způsobem a zobrazení obsahu karty v aplikaci Správce karty: MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 22 z 37
- zobrazení vlastností uživatelského certifikátu, který slouží pro daný účel (přihlášení čipovou kartou, digitální podpis nebo šifrování); - ověření platnosti jeho cesty (1), registrace v systému (2), účelu použití (4) a zobrazení detailních informací (4): MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 23 z 37
Pokud v zobrazených informacích není všechno v pořádku, problémy mohou být následující: 5.5 Nelze ověřit cestu certifikátu Nejčastější příčinou je v systému nepřítomný (nezaregistrovaný) certifikát certifikační autority, která daný certifikát uživateli vydala; v detailech certifikátu se tato skutečnost projeví následovně: V doménovém prostředí Active Directory je distribuce certifikátu certifikační autority automatická a mohlo by pomoci restartování počítače, jinak je nutné provést import certifikátu ručně viz. bod č.3. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 24 z 37
5.6 Certifikát není zaregistrován v systému Pro použití službami operačního systému musí být certifikát registrován. Pro registraci certifikátu lze použít funkci Registrace certifikátu přímo ve Správci karty 5.7 Certifikát nesplňuje požadovaný účel použití V seznamu Rozšíření certifikátu chybí požadovaný účel (přihlášení čipovou kartou, digitální podpis, šifrování). V případě, že organizace využívá vlastní certifikační autoritu v doméně MS Windows, je možno definovat účely, pro které lze certifikát použít, pomocí šablon certifikátů; bližší informace naleznete zde: http://technet.microsoft.com/cs-cz/library/cc753641%28v=ws.10%29.aspx U komerčních certifikačních autorit je nutné účely (např. digitální podpis, šifrování, řadič domény), pro které bude možné vystavený certifikát použít, prověřit ve fázi výběru vhodné certifikační autority. 5.8 Certifikátu vypršela platnost Každý certifikát má časově omezenou platnost. Certifikát, jemuž vypršela platnost, nelze použít k provádění aktivních elektronických operací. V tomto případě je nutné zažádat o vystavení nového certifikátu. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 25 z 37
6. JAK NAIMPORTUJI CERTIFIKÁT KOŘENOVÉ CERTIFIKAČNÍ AUTORITY DO SYSTÉMOVÉHO ÚLOŽIŠTĚ WINDOWS? K importu certifikátu kořenové CA je potřebný soubor s certifikátem ten lze získat na tzv. distribučních místech certifikační autority; u komerčních autorit je to přímo na jejich webových stránkách. Import zahájíte poklikáním na soubor s certifikátem a v následně otevřeném okně použitím tlačítka Nainstalovat certifikát. Dojde ke spuštění Průvodce importem certifikátu, kde se na první obrazovce zvolí úložiště Tento počítač, na druhé obrazovce se zatrhne možnost Všechny certifikáty umístit v následujícím úložišti a stiskne se tlačítko Procházet. V následně zobrazeném seznamu úložišť se zvolí úložiště Důvěryhodné kořenové certifikační autority, potvrdí OK a pokračuje stiskem tlačítka Další a Dokončit. Obsluha je vyzvána k potvrzení importu, (potvrdit tlačítkem Ano); na závěr se zobrazí informace o úspěšném importu. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 26 z 37
7. JAK NASTAVÍM MS OUTLOOK PRO POSÍLÁNÍ ŠIFROVANÝCH ZPRÁV Posílání šifrovaných zpráv je dvoustranný proces. Na straně odesílatele dojde k zašifrování zprávy veřejným klíčem příjemce uvedeným v jeho certifikátu. Příjemce po obdržení takové zprávy zjistí, jakým certifikátem byla tato zpráva zašifrována. V případě, že vlastní příslušný privátní klíč, je schopen zprávu dešifrovat. Zpráva je však zároveň zašifrována veřejným klíčem odesílatele, aby mohl odesílatel tuto zprávu později dešifrovat ve složce Odeslaná pošta. Aby bylo možné odeslat zašifrovanou zprávu, je tedy nutné vlastnit šifrovací certifikát příjemce (certifikát disponuje rozšířením Šifrování klíče a Ochrana emailů) a zároveň disponovat vlastním šifrovacím certifikátem (certifikátem odesílatele). MS Outlook používá šifrovací certifikáty příjemců z úložiště certifikátů Windows ze sekce Ostatní uživatelé. Úložiště certifikátů je dostupné pomocí nástroje MMC konzole (Start -> Spustit -> certmgr.msc). Programy jiných výrobců, než Microsoft (např. Mozilla Thuderbird ), většinou používají své vlastní úložiště certifikátů, do kterého je nutné naimportovat potřebné certifikáty ještě před jejich použitím. Bližší informace k nastavení poštovního programu MS Outlook obsahuje článek: http://office.microsoft.com/en-us/mac-outlook-help/send-a-digitally-signed-or-encryptedmessage-ha102928381.aspx?ctt=5&origin=ha102928229 8. ZTRATIL/ZAPOMNĚL JSEM PIN K ČIPOVÉ KARTĚ PROID+? PIN (Personal Identification Number) je sada alfanumerických znaků, která autorizuje přístup k chráněným objektům na kartě (soukromých klíčů). Bez znalosti PINu nelze kartu použít (ani zneužít). V případě ztráty nebo zablokování PINu lze na kartě nastavit PIN nový. Tuto operaci je však nutné autorizovat. Autorizaci lze provést: 1. Kódem PUK (Pin Unblocked Key) dodaným uživateli spolu s kartou ProID+ 2. Administračním klíčem, uloženým na administrační kartě. (Administrační klíč se používá jen na kartách ProID+, určeným pro použití v rámci organizace. Pro odblokování PIN administračním klíčem je nezbytná aplikace.) MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 27 z 37
Nový PIN lze nastavit např. v aplikaci Správce karty. Nastavení nového PIN-u pomocí kódu PUK ve Správci karty Po načtení karty ve Správci karty (tlačítko Obnovit/F5)se v levém panelu označí karta. V pravém panelu se stiskne tlačítko Odblokování PINu. Do pole PUK se zadá hodnota kódu PUK, dodaného k čipové kartě. Do pole Nový PIN se zadá nová hodnota kódu PIN. Novou hodnotu je nutné pro kontrolu zopakovat v poli Nový PIN zopakovaný. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 28 z 37
9. JAK MOHU POUŽÍT KARTU PROID+ V APLIKACÍCH MOZILLA FIREFOX NEBO THUNDERBIRD Webový prohlížeč Mozilla Firefox i poštovní klient Thunderbird mají zabudovanou podporu pro práci s bezpečnostními certifikáty. Jako úložiště klíčů a certifikátů umožňují použít čipovou kartu ProID+ prostřednictvím standardizovaného modulu PKCS#11 (též nazývaný Cryptoki). Tento modul je součástí standardního instalačního balíčku a má formu dynamicky linkované knihovny (DLL). Jeho jméno je proidcm11.dll a je instalován do systémového adresáře. Modul přidaný v aplikaci Mozilla Firefox není automaticky dostupný v Thunderbird a naopak. Pro každou aplikaci je nutné registrovat modul samostatně. Před použitím je nutné modul zaregistrovat. To lze provést v menu příslušné aplikace. Firefox: Nástroje Možnosti Rozšířené Bezpečnostní zařízení Thunderbird: Úpravy Předvolby Rozšířené Certifikáty Bezpečnostní zařízení Správce bezpečnostních zařízení zobrazuje seznam všech registrovaných modulů. Další modul lze přidat stiskem tlačítka Načíst. Do pole Jméno modulu se vyplní libovolný název (např. ProID+). Do pole Název souboru modulu se zapíše proidcm11.dll. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 29 z 37
Alternativně lze modul vybrat pomocí tlačítka Procházet v systémovém adresáři (standardně C:\Windows\System32). Po stisku tlačítka OK aplikace zobrazí modul ProID+ P11 ve stromuinformuje o výsledku přidání modulu. Použitím volby Přihlásit a vložením kódu PIN se stav modulu změní na Přihlášen. Správce bezpečnostních zařízení se uzavře stiskem tlačítka OK. Tímto je aplikace připravena k používání karty ProID+. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 30 z 37
10. FIREFOX/THUNDERBIRD HLÁSÍ, ŽE CERTIFIKÁT NENÍ DŮVĚRYHODNÝ Zjednodušeně lze říci, že certifikát je pro danou aplikaci důvěryhodný, pokud je certifikát certifikační autority uveden v seznamu důvěryhodných certifikátů a nastaven příznak důvěryhodnosti pro danou množinu použití. Mozilla Firefox ani Thunderbird nepoužívají úložiště certifikátů Windows, proto je nutné importovat certifikáty certifikačních autorit do jejich lokálních úložišť. Každá z aplikací si spravuje tato úložiště samostatně. Import certifikátu do úložiště Firefox neovlivní obsah úložiště Thunderbird a naopak. 11. JAK NAIMPORTUJI CERTIFIKÁT CERTIFIKAČNÍ AUTORITY DO ÚLOŽIŠTĚ APLIKACÍ MOZILLA FIREFOX NEBO THUNDERBIRD? Import certifikátů CA lze provést v menu příslušné aplikace: Firefox: Nabídka Nástroje Možnosti Rozšířené Certifikáty Thunderbird: Nabídka Úpravy Předvolby Rozšířené Certifikáty Certifikáty Zobrazí se okno s názvem Správce certifikátů. Vybere se záložka Autority a stiskněte tlačítko Importovat. V počítači vyhledejte soubor obsahující certifikát vydávající certifikační autority, označte jej a stiskněte tlačítko Otevřít. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 31 z 37
Před potvrzením importu certifikátu se současně zvolí účel, pro který je certifikát důvěryhodný. Import se dokončí stiskem tlačítka OK a opět OK. Pokud se používají certifikáty více certifikačních autorit, je nutné postup opakovat pro každou certifikační autoritu zvlášť. 12. CHCI POUŽÍT KARTU PROID+ V APLIKACI ADOBE READER Koncepce použití karty ProID+ a bezpečnostních certifikátů v Adobe Reader do značné míry kopíruje koncept použití ve Firefox nebo Thunderbird. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 32 z 37
Jednotlivé kroky vedoucí ke zprovoznění podpory ProID+ v Adobe Readeru jsou však mírně odlišné. Ve výchozím nastavení má Adobe Reader zapnut tzv. Chráněný režim. Tento režim omezuje přístup souborů PDF do systému, čímž chrání Windows před škodlivými kódy, které by mohly modifikovat součásti operačního systému. Toto omezení však znemožňuje přístup aplikace k modulu PKCS#11. Pro správnou funkčnost modulu je tedy nutné Chráněný režim deaktivovat. Deaktivace Chráněného režimu může zvýšit riziko infikace systému škodlivým kódem! V hlavní nabídce se zvolí menu Úpravy Předvolby Zabezpečení (Rozšířené) a zruší se zatržení u pole Zapnout po spuštění chráněný režim. Deaktivace se potvrdí stiskem tlačítka Ano. Proces se dokončí stiskem tlačítka OK a restartem aplikace. Po opětovném spuštění se zvolí v hlavní nabídce Úpravy Předvolby Podpisy Identity a důvěryhodné certifikáty tl. Další. Zobrazí se okno Nastavení digitálních identifikátorů a důvěryhodných certifikátů. Označí se položka Moduly a tokeny PKCS#11 a stiskne se tlačítko Připojit modul. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 33 z 37
V počítači se vyhledá soubor proidcm11.dll (instaluje se do systémového adresáře, standardně v C:\Windows\System32\) a stiskne se tlačítko Otevřít. Po uzavření okna Nastavení digitálních identifikátorů se stiskne tlačítko OK. Restartuje se aplikace Adobe Reader a poté je třeba znovu otevřít okno Nastavení digitálních identifikátorů, zvolit modul Monet+ MiniDriver PKCS#11 a použít tlačítko Přihlásit se. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 34 z 37
Na vyžádání je třeba přihlásit se k čipové kartě: zadat PIN. Stav tokenu ProID+ by se pak měl změnit na Přihlášený. Stejně jako v aplikacích Firefox a Thunderbird je nutné provést import certifikátu CA; ve stejném okně je třeba zvolit položku Důvěryhodné certifikáty a provést import certifikátu CA tlačítkem Importovat. 13. CHCI PRACOVAT V TERMINÁLOVÉM SEZENÍ VZDÁLENÉ PLOCHY S LOKÁLNĚ PŘIPOJENOU ČTEČKOU? Systém Windows umožňuje zpřístupnit lokálně připojenou čtečku/kartu vzdálenému počítači pomocí terminálového připojení Vzdálená plocha. Toto zpřístupnění (propagace) je ve výchozím nastavení vypnuto. Použití čtečky na vzdáleném počítači je podmíněno instalací ovladače čtečky a spuštěnou službou Čipová karta na lokálním počítači (počítač s fyzicky připojenou čtečkou). Na vzdáleném počítači musí být instalován software ProID+. Pokud se karta ProID+ používá pouze v sezení Vzdálené plochy, není nutná instalace software ProID+ na lokálním PC. Po spuštění klienta Vzdálené plochy (mstsc.exe) se stiskne tlačítko Možnosti. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 35 z 37
Následně se zvolí záložka Místní prostředky a stiskne se tlačítko Další. V sekci Místní zařízení a prostředky se zatrhne/ověří zatržení položky Karty Smart Card. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 36 z 37
Po připojení se na vzdálenou plochu lze ověřit správnou funkčnost načtením obsahu karty ve Správci karty(tlačítko Obnovit). Chci pracovat v terminálovém sezení Vzdálené plochy se čtečkou připojenou ke vzdálenému PC Tento způsob použití není v aplikaci Vzdálená plocha podporován. Čipová karta slouží k uložení bezpečnostně citlivých dat, které mají být ve zvýšené míře chráněna. Jako s takovou musí být s kartou i nakládáno. Není vhodné ponechávat kartu bez dozoru. Což je mj. důvod, proč není tento koncept podporován. MONET+, A.S., ZA DVOREM 505, 763 14 ZLÍN - ŠTÍPA, TEL.: +420 577 110 411, WWW.MONETPLUS.CZ 37 z 37