Testovací protokol USB Token Cryptomate

Podobné dokumenty
Testovací protokol čipová karta ACOS5

Testovací protokol USB token etoken PRO 32K

Testovací protokol čipová karta etoken PRO SmartCard 32K

Testovací protokol čipová karta Oberthur Id-One Cosmo V5.4

2 Popis softwaru Administrative Management Center

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Testovací protokol. webový generátor I.CA. Windows XP Windows Vista Windows 7 Internet Explorer Mozilla Firefox Google Chrome Apple Safari Opera

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 11. Testovaný generátor: Portecle 1.

INSTALACE SOFTWARE PROID+ NA MS WINDOWS

INSTALACE SW PROID+ V OS WINDOWS

Middleware eop. Instalační příručka pro práci s eop v prostředí MS Windows

Programové vybavení OKsmart pro využití čipových karet

Middleware eop. Instalační příručka pro práci s eop v prostředí MS Windows

Manuál pro práci s kontaktním čipem karty ČVUT

ProID+Q Uživatelská příručka

1. Úvod. 2. CryptoPlus jak začít. 2.1 HW a SW předpoklady. 2.2 Licenční ujednání a omezení. 2.3 Jazyková podpora. Požadavky na HW.

INSTALACE SW PROID+ V OS LINUX

Uživatelská příručka. TokenME Crypto Java Card

1. SYSTÉMOVÉ POŽADAVKY / DOPORUČENÁ KONFIGURACE HW A SW Databázový server Webový server Stanice pro servisní modul...

ProID+Q Uživatelská příručka

ProID+Q Uživatelská příručka

NÁVOD K INSTALACI B2B SYSTEMU GROW

ZÁKLADNÍ POKYNY PRO INSTALACI PROID+ Z INSTALAČNÍHO MÉDIA

etoken 5110CC IDPrime MD3840 IDPrime MD840 (MD841)

Generování žádosti o kvalifikovaný certifikát pro uložení na eop Uživatelská příručka pro Internet Explorer

TokenME Uživatelská příručka

Certifikační autorita PostSignum

Middleware eop. Instalační příručka pro práci s eop v prostředí Mozilla Firefox, Thunderbird a Adobe Reader na systémech Ubuntu Linux

Generování žádosti o certifikát Uživatelská příručka

Konfigurace pracovní stanice pro ISOP-Centrum verze

Instalace software eobčanka pro Linux. instalační příručka

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

OKsmart a správa karet v systému OKbase

Generování žádosti o certifikát Uživatelská příručka pro prohlížeč Opera

Certifikační autority PostSignum

Návod k instalaci S O L U T I O N S

FAQ PROID+ 1. JAK A KDE ZÍSKÁM OVLÁDACÍ SOFTWARE KARTY PROID+?

Příručka pro klientský certifikát

Použití čipových karet v IT úřadu

Doporučené nastavení prohlížeče MS Internet Explorer 7 a vyšší pro Max Homebanking PS s využitím čipové karty

Doporučené nastavení prohlížeče Mozilla Firefox 3.6 pro Max Homebanking PS s využitím čipové karty

Instalace software eobčanka pro MS Windows. instalační příručka

Instalace software eobčanka pro macos. instalační příručka

Příručka pro klientský certifikát

Instalace a základní administrátorské nastavení 602LAN SUITE 5 Groupware

I.CA SecureStore Uživatelská příručka

I.CA SecureStore Uživatelská příručka

TokenME Uživatelská příručka

Middleware eop. Instalační příručka pro práci s eop v prostředí Mozilla Firefox, Thunderbird a Adobe Reader na systémech Ubuntu Linux

Základní informace a postup instalace systému IS MPP

Konfigurační software DTConfig

eobčanka Správce karty pro macos příručka uživatele

Téma 10: Správa hardwarových zařízení a ovladačů II

Dokumentace. k projektu Czech POINT. Technická specifikace hardwarového a softwarového vybavení

Obnova certifikátu. Úvod. Proč obnovit certifikát? Kdy obnovit certifikát? Které certifikáty obnovit? Jak obnovit certifikát na kartě ProID+ esign?

Oracle 1.6.0_43 Oracle 1.7.0_17* a novější verze. Oracle 1.6.0_43 Oracle 1.7.0_17* a novější verze. Oracle 1.6.0_43 Oracle 1.7.0_17* a novější verze

Novinky AutoCAD LT 2017

Obsah. 1. Co byste měli vědět před spuštěním instalace Spuštění instalace Průběh instalace Odinstalování, změna instalace...

TACHOTel manuál 2015 AURIS CZ

ORION Podpora notebooků

MobileIron Demo. DATUM VYTVOŘENÍ: 8. srpna AUTOR: Daniel Vodrážka

informačního systému Uživatelská příručka Konfigurace klientských statnic

Hardwarová kryptografická úložiště

Uživatelská dokumentace

INSTALACE ČTEČKY ČIPOVÝCH KARET GEMALTO IDBRIDGE CT30 A K30

Edu-learning pro školy

Základní informace a postup instalace systému ISAO

.NET Framework verze Program pro připojení ke vzdálené ploše (RDC) verze

CADKON ARCHITECTURE

Uživatelská dokumentace

Novinky. Autodesk Vault helpdesk.graitec.cz,

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba,Expresní linka Plus a TF OnLine

Instalace SQL 2008 R2 na Windows 7 (64bit)

Technické podmínky pro uživatele služeb přímého bankovnictví

Technické podmínky I. Služby: II. Technické podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba a Expresní linka Plus

Patrol Management System 2.0

Certifikační autorita PostSignum

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

EvMO postup při instalaci

Informační Systém PINEL plus

Československá obchodní banka, a. s.

Google Apps. Administrace

Nápověda a postupy. Instalace a aktivace PDF-XChange Viewer Pro. Instalace a aktivace software. Nápověda a postupy. 1 z

Správa zařízení Scan Station Pro 550 a Servisní nástroje zařízení Scan Station

Generování žádostí o kvalifikovaný certifikát a instalace certifikátu Uživatelská příručka pro prohlížeč Internet Explorer

CADKON ARCHITECTURE

- PC musí být připojené v lokální síti - je bezpodmínečně nutné, aby aplikace Outlook nebyla aktivní)

GeoPlan. Administrátorská příručka. Výstup byl vytvořen s finanční podporou TA ČR v rámci projektu TA Verze 1.0

B2B GROW SYSTEM Postup instalace

Informační Systém pro Psychiatrii HIPPO

APS Web Panel. Rozšiřující webový modul pro APS Administrator

Provozní dokumentace. Seznam orgánů veřejné moci. Příručka pro běžného uživatele

Uživatelská příručka práce s aplikací IDT

Transkript:

Testovací protokol USB Token Cryptomate 1 Úvod 1.1 Testovaný produkt Hardware: ACS CryptoMate Software: ACS Admin Tool 2.4 Datum testování: 24. 12. 2009 1.2 Konfigurace testovacího počítače Příloha č. 7 Hardware: Intel Core 2 Duo E6750, 2 GB RAM DDR2 základní deska Gigabyte GA-P35-DS3R harddisk Seagate ST380817AS, SATA, 80GB, 7200 rpm Čtečky čipových karet: - Software: Microsoft Windows XP + Service Pack 3 Microsoft Office 2003 (Word, Excel, Outlook) Mozilla Firefox 3.0.1 Mozilla Thunderbird 2.0.0.22 XCA 0.7.0 hmailserver 5.2-B356 + Microsoft SQL Server Compact 3.5.NET Framework 2.0 Acronis True Image Home 2009 2 Popis obslužného softwaru 2.1 Instalace obslužného softwaru Uživatel si může určit cílový adresář pro nainstalování softwaru. Lze si vybrat komponenty, které se nainstalují. Na seznamu se nacházejí kromě aplikací pro správu USB tokenu zdrojové kódy pro různé programovací jazyky a uživatelská dokumentace. Na konci instalace byl požadován restart počítače. - 1 -

2.2 Informace o obslužném softwaru Obslužný software k tokenu tvoří administrační aplikace AdminTool, aplikace Initialization Tool pro inicializaci tokenu a aplikace Clear Card Utility pro smazání obsahu tokenu. Aplikace Initialization Tool požádá o ukončení vybraných programů, které by mohly token používat. Aplikace ale nekontroluje, která z těchto aplikací je skutečně spuštěná, a zobrazuje všechny aplikace. Po dokončení inicializace je přednastaven uživatelský PIN a tzv. SO PIN (obdoba PUKu) na hodnotu 12345678 a počet špatných zadání PINu je nastaven na 5 pokusů. Aplikaci AdminTool lze přepnout do angličtiny, portugalštiny nebo čínštiny. Aplikace obsahuje všechny důležité funkce pro správu tokenu změnu PINu, změnu SO PINu, odblokování tokenu a zobrazení informací o tokenu. Některé operace lze provést až po přihlášení k tokenu pomocí speciálního tlačítka. Při změně PINu vyžaduje aplikace zadání 8-16 znaků a lze zadat písmena, číslice i neabecední znaky. Je-li zadán špatný PIN, aplikace zobrazí, kolik pokusů zbývá. Správa certifikátů v tokenu se provádí v samostatném okně Certificate Manager. Pro zobrazení detailních informací o certifikátu se používají systémové funkce Windows. Pomocí tlačítka Import se načítají samotné certifikáty i soubory typu PKCS#12 obsahující klíče i certifikát. Další programový modul Data Object Manager patrně slouží pro správu dat ukládaných jinými programy (podle dokumentace např. Lotus Notes). Nezjistil jsem však, jak bych mohl tuto funkci vyzkoušet. Software neprovádí průběžnou aktualizaci statistiky obsazení paměti a obsahu tokenu. Pro aktualizaci seznamu certifikátů je potřeba stisknout tlačítko Refresh ve Správci certifikátů. Obsazení paměti tokenu se aktualizuje pouze vyjmutím a připojením tokenu do USB portu. Registrace certifikátů do Windows po připojení tokenu a jejich odebrání po vyjmutí tokenu se aktivuje nebo zakáže v nastavení programu. Aby ale tyto funkce korektně fungovaly, musí být spuštěn program Admin Tool. V konfiguraci programu lze také provést automatickou instalaci i odinstalaci DLL knihovny do webového prohlížeče Mozilla Firefox. - 2 -

Během testování bylo zjištěno, že na USB token se dá uložit pouze 5 certifikátů s RSA klíči o velikosti 2048 bitů. Rozhraní MS CryptoAPI (jméno poskytovatele krypt. služeb) Rozhraní PKCS#11 (jméno DLL knihovny) Advanced Card Systems CSP v2.4 acospkcs11.dll, v systémovém adresáři Windows 2.3 Doplňkové funkce Samotný software pro správu tokenu neobsahoval žádné doplňkové funkce. Součástí SDK balíčku ale bylo několik nástrojů určených pro programátory. Program CardTool slouží pro nízkoúrovňovou správu obsahu tokenu. Program PC/SC Tool disponuje grafickým rozhraním a pomocí něj se zasílají APDU příkazy do USB tokenu. 2.4 Odinstalace obslužného softwaru Odinstalační proces proběhl bez problémů. Na jeho konci byl vyžadován restart počítače. 3 Testovací scénář Činnost Inicializace čipové karty/tokenu Vydání certifikátu s českými znaky zakódovanými v UTF-16 Instalace vydaného certifikátu přes stránky Nastavení PKCS#11 knihovny v aplikaci Mozilla Thunderbird Instalace vydaného certifikátu přes stránky (zadání stejných údajů do žádosti o certifikát jako v předchozím případě simulace obnovy certifikátu) Instalace vydaného certifikátu přes stránky Výsledek - 3 -

Činnost Instalace vydaného certifikátu pomocí obslužného softwaru Registrace certifikátu do Windows - - - Import klíčů a certifikátu ze souboru PKCS#12 na kartu/token Registrace certifikátu do Windows Smazání klíčů a certifikátu z karty/tokenu v obslužném softwaru Změna PIN ke kartě/tokenu, zadání písmen a neabecedních znaků do nového PIN Smazání klíčů a certifikátu z karty/tokenu v aplikaci Mozilla Thunderbird Změna PIN ke kartě/tokenu v aplikaci Mozilla Thunderbird Pouze čipové karty ověření kompatibility s různými čtečkami čipových karet Výsledek Ruční 3.1 Poznámky k testování Při generování RSA klíčů přes webové stránky aplikace Internet Explorer po určitou dobu vůbec nereaguje. Není zobrazeno žádné okno s informací, že probíhá generování klíčů. Certifikáty v tokenu s údaji v kódování UTF-16 i UTF-8 zobrazuje Mozilla Thunderbird s prázdnou jmenovkou. Takový certifikát nelze nastavit e-mailovému účtu, a nelze jej tedy použít pro podepisování e-mailů. Bylo ověřeno, že certifikáty bez českých znaků fungují v Mozille Thunderbird korektně. Software importuje certifikát do tokenu bez spárování s existujícími klíči. Certifikát tak není dále použitelný. Po importu PKCS#12 souboru nedojde k automatické registraci certifikátu do Windows a je potřeba provést ruční registraci certifikátu nebo vyjmout token a znovu jej připojit. - - 4 -

Kupodivu klíče a certifikáty importované ze souboru typu PKCS#12 bylo možné používat v Mozille Thunderbird. Určitě je to z toho důvodu, že jmenovka certifikátu v tokenu se nastaví podle jmenovky uvedené v PKCS#12 souboru. Pokud se certifikát v tokenu smaže v aplikaci Mozilla Thunderbird, dojde ke smazání pouze certifikátu. Odpovídající klíče je nutné smazat v obslužném softwaru. 4 Závěr Byla potvrzena funkčnost aplikačních rozhraní MS CryptoAPI a PKCS#11. Na zařízení lze uložit RSA klíče o velikosti 2048 bitů i certifikáty s podepisovacím algoritmem sha256withrsa. Lze uložit pouze 5 klíčových párů! Aplikace Mozilla Thunderbird neumí korektně pracovat s certifikáty obsahujícími české znaky v kódování UTF-16 i UTF-8. Není funkční import vydaného certifikátu přes obslužný software. Nedochází ke spárování certifikátu s odpovídajícími klíči. Je funkční import dat ze souboru typu PKCS#12. Pokud jsou tímto způsobem importovány certifikáty s českými znaky, jsou funkční i v Mozille Thunderbird. Při mazání certifikátu v tokenu pomocí aplikace Mozilla Thunderbird nedojde k odstranění souvisejících klíčů. Jelikož se ale Mozilla Thunderbird standardně nepoužívá pro správu tokenu, nelze tuto chybu považovat za zásadní. - 5 -

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář