Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 13

Podobné dokumenty
Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9

Testovací protokol. OpenSSL 1.0.0e. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: JSignPDF 1.1.1

Testovací protokol. 1 Informace o testování. 2 Testovací prostředí. 3 Vlastnosti generátoru klíčů. Příloha č. 11. Testovaný generátor: Portecle 1.

Testovací protokol. webový generátor I.CA. Windows XP Windows Vista Windows 7 Internet Explorer Mozilla Firefox Google Chrome Apple Safari Opera

Testovací protokol USB token etoken PRO 32K

Testovací protokol čipová karta etoken PRO SmartCard 32K

Testovací protokol USB Token Cryptomate

2 Popis softwaru Administrative Management Center

Testovací protokol čipová karta Oberthur Id-One Cosmo V5.4

Testovací protokol čipová karta ACOS5

Vytvoření žádosti o certifikát na Windows Serveru 2008/Vista a vyšší a zobrazení MMC konzole pro zálohu privátního klíče

Generování žádosti o certifikát Uživatelská příručka pro prohlížeč Opera

Obsah. Úroveň I - Přehled. Úroveň II - Principy. Kapitola 1. Kapitola 2

Generování žádosti o kvalifikovaný certifikát pro uložení na eop Uživatelská příručka pro Internet Explorer

Principy práce s certifikáty v aplikaci MS 2014+

Generování žádosti o certifikát Uživatelská příručka

[1] ICAReNewZEP v1.2 Uživatelská příručka

Konfigurace pracovní stanice pro ISOP-Centrum verze

PKI a čipové karty. Poskytovatel certifikačních služeb MPSV

Generování žádostí o kvalifikovaný certifikát a instalace certifikátu Uživatelská příručka pro prohlížeč Internet Explorer

Generování žádostí o certifikát Uživatelská příručka pro prohlížeč Apple Safari

Robert Hernady, Regional Solution Architect, Microsoft

I.CA SecureStore Uživatelská příručka

Certifikační autority PostSignum

I.CA SecureStore Uživatelská příručka

Elektronické podání vůči

NÁVOD K INSTALACI B2B SYSTEMU GROW

Přechod na SHA-2. informace pro uživatele. Ministerstvo vnitra ČR Odbor rozvoje projektů a služeb služeb egovernment

Generování žádostí o certifikát Uživatelská příručka pro prohlížeč Internet Explorer

Generování žádostí o kvalifikovaný a komerční certifikát (TWINS) Uživatelská příručka pro prohlížeč Internet Explorer

informačního systému Uživatelská příručka Konfigurace klientských statnic

Úložiště certifikátů pro vzdálené podepisování

Obnova certifikátu Uživatelská příručka pro prohlížeč Internet Explorer

Registrace do portálu MS2014+

Dokumentace. k projektu Czech POINT. Popis použití komerčního a kvalifikovaného certifikátu

etoken 5110CC IDPrime MD3840 IDPrime MD840 (MD841)

Elektronické podání živnostenskému úřadu

Compatibility List. GORDIC spol. s r. o. Verze

Použití čipových karet v IT úřadu

SecureStore I.CA. Uživatelská příručka. Verze 2.16 a vyšší

Generování žádostí o certifikát Uživatelská příručka pro prohlížeč Mozilla Firefox

Uživatelská dokumentace

Certifikační autorita EET Modelové postupy instalace certifikátu

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů. Digitální důvěra. Jiří Smítka

D7 Uživatelský manuál Konfigurace klientských stanic

Ope p r e a r čn č í s ys y té t m é y y Windo d w o s Stručný přehled

OKsmart a správa karet v systému OKbase

Certifikáty pro autentizaci PKI-SILNA-AUTENTIZACE (např. vzdálený přístup, MNP, P2000 ) Aktivace a obnova uživatelem

Registrace do portálu MS2014+

verze GORDIC spol. s r. o.

Generování žádostí o certifikát Uživatelská příručka pro prohlížeč Google Chrome

Manuál pro práci s kontaktním čipem karty ČVUT

Programové vybavení OKsmart pro využití čipových karet

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, ASKON INTERNATIONAL s.r.o.

INSTALACE SW PROID+ V OS WINDOWS

ELEKTRONICKÉ PODÁNÍ OBČANA

Obnova certifikátů Gemini 5.0

Registrace dodavatele na tržiště NEN

Vytvoření certifikační autority v programu XCA

XEF SmartClient Instalační manuál

Certifikační autorita PostSignum

INSTALACE SOFTWARE PROID+ NA MS WINDOWS

Dokumentace. k projektu Czech POINT. Technická specifikace hardwarového a softwarového vybavení

Aktivace RSA ověření

Základní informace a postup instalace systému ISAO

Technické podmínky pro používání ABO-K

Certifikační autorita EET. Veřejný souhrn certifikační politiky

Obnova certifikátu. Úvod. Proč obnovit certifikát? Kdy obnovit certifikát? Které certifikáty obnovit? Jak obnovit certifikát na kartě ProID+ esign?

Certifikační autorita PostSignum. Instalace a použití aplikací Klíčník

Národní elektronický nástroj. Principy práce s certifikáty v NEN

TokenME Uživatelská příručka

Digitální podepisování pomocí asymetrické kryptografie

Základní informace a postup instalace systému IS MPP

Po přihlášení do Osobní administrativy v Technologie a jejich správa vybereme položku Certifikáty bezdrátové sítě (Eduroam).

Windows 2008 R2 - úvod. Lumír Návrat

Výtisk č.: Počet listů 10. Přílohy: 0 ÚZIS ČR. Příručka pro externí žádost

Uživatelská příručka

ProID+Q Uživatelská příručka

Návod k vygenerování certifikátu PKI-O2CZ-AUTENTIZACE

Uživatelská dokumentace

Předcházení problémů s certifikátem pro podpis v aplikaci MS Verze 2.0.

Manuál na vystavení certifikátu umožňující přístup do aplikace MoneyWeb

SCS - Manuál. Obsah. Strana 1 (celkem 14) Verze 1.1

Uživatelská příručka. TokenME Crypto Java Card

Návod na instalaci HW certifikátu aplikace PARTNER24

Edu-learning pro školy

ProID+Q Uživatelská příručka

Řešení chybových hlášek. Verze: 2.11 ( ) Jméno souboru:

Nápověda Webové aplikace CA EET. Verze 1.0,

Manuál pro ověření digitálního podpisu v pdf dokumentech společnosti EKO-KOM, a.s.

Vystavení osobního komerčního certifikátu PostSignum v operačním systému MAC OSx

Obsah. Nastavení elektronické komunikace v IS PREMIER

Postup ověření podpisu u PDF faktury, nastavení programu Adobe Reader

Uživatelská dokumentace

Transkript:

estovací protokol Příloha č. 13 1 Informace o testování estovaný generátor: CertReq 6.1.7600.16385 1 CertReq 6.0.6002.18005 2 1 Verze generátoru ve Windows 7 Service Pack 1 2 Verze generátoru ve Windows Vista Service Pack 2 2 estovací prostředí estovací stroj č. 1: estovací stroj č. 2: estovací stroj č. 3: estovací stroj č. 4: Certifikáty vydány autoritou: HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB SAA OS: Windows 7 Service Pack 1 SW: Software602 Form Filler 4.02.22.11.0617 HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Software602 Form Filler 4.02.22.11.0617 HW: fyzický počítač; základní deska Gigabyte EP35-DS3R; procesor Intel Core2 Duo E8400 (3 GHz); 4GB RAM; harddisk 160 GB SAA; Aladdin eoken Pro; SafeNet ikey 4000 OS: Windows 7 Service Pack 1 SW: Software602 Form Filler 4.02.22.11.0617; Aladdin eoken PKI Client 5.1 SP1; SafeNet Borderless Security 7.0 SP2 HW: fyzický počítač; základní deska Gigabyte EP35-DS3R; procesor Intel Core2 Duo E8400 (3 GHz); 4GB RAM; harddisk 160 GB SAA; SafeNet ikey 4000 OS: Windows 7 Service Pack 1 SW: Software602 Form Filler 4.02.22.11.0617; SafeNet Authentication Client 8.0 SP2; MS Word 2010 vlastní testovací certifikační autorita 3 Vlastnosti generátoru klíčů Kompatibilita Podporované operační systémy: Podporované webové prohlížeče: Windows Vista Windows 7 není relevantní Další vyžadovaný SW: žádný - 1 -

Generované klíče Algoritmus generovaných klíčů: Velikost generovaných klíčů: Podporovaná úložiště klíčů: Podporovaná API pro hardwarová úložiště klíčů: Žádost o certifikát RSA DSA RSA: 1024 bitů, 2048 bitů, 4096 bitů, 8192 bitů DSA: 512-1024 bitů softwarová hardwarová MS CryptoAPI Struktura žádosti o certifikát: uživatelsky definovaná Položky v dname žádosti: Rozšíření žádosti: Podepisovací algoritmus žádosti: Kódování souboru se žádostí: Opětovné vygenerování žádosti pro existující klíče: Instalace certifikátu Způsob instalace certifikátu: Podporovaná kódování souboru s certifikátem: Legenda ke třetímu sloupci: C, state, L, street, O, OU, CN, emailaddress, givenname, surname, title, initials, domaincomponent SubjectAlternativeName BasicConstraints SubjectKeyIdentifier KeyUsage ExtendedKeyUsage 1 SHA1withRSA SHA256withRSA SHA384withRSA SHA512withRSA DER PEM ano 2 načtení certifikátu ze souboru a jeho uložení do úložiště Windows DER PEM PKCS#7 V... tato informace pochází od výrobce generátoru (webové stránky, uživ. podpora, atd.)... tato informace byla zjištěna na základě tohoto testování 4 Doplňující informace 1. Lze specifikovat prakticky jakékoliv rozšíření žádosti. Do konfiguračního souboru se ale musí uvést OID (objektový identifikátor) rozšíření a posloupnost bytů daného rozšíření v Base64 kódování nebo zakódovaných do hexadecimálních číslic. 2. Pro opětovné vygenerování žádosti je potřeba zjistit identifikátor datového kontejneru s klíči v úložišti Windows a doplnit jej do konfiguračního souboru. Po druhém - 2 -

vygenerování žádosti vznikne v úložišti Požadavek na zápis certifikátu další samopodepsaný certifikát. Další informace jsou uvedeny v poznámce č. 5 k testovacím scénářům. 5 estovací scénáře 5.1 Podrobné testování ve Windows 7 Datum testování: 16. 10. 2011 Použitý testovací stroj: č. 1 1. Vygenerování klíčů a žádosti o certifikát. Struktura žádosti podobná struktuře žádostí vytvořených generátory I.CA. položky dname žádosti: CN, L, state, C, O, OU, title, KeyUsage 2. Vydání certifikátu a uložení do souboru v kódování PEM. 1 3. Instalace certifikátu. CHYBA 2 4. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5. Vygenerování klíčů a žádosti o certifikát. Struktura žádosti podobná struktuře žádostí vytvořených generátory PostSignum. položky dname žádosti: C, O, OU, OU, CN, title velikost klíčů: 4096 bitů podpisový algoritmus: SHA384withRSA kódování: DER 6. Vydání certifikátu a uložení do souboru v kódování DER. 7. Instalace certifikátu. 8. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 9. Vygenerování klíčů a žádosti o certifikát. Struktura žádosti podobná struktuře žádostí vytvořených generátorem eidentity. položky dname žádosti: C, O, OU, CN, emailaddress rozšíření žádosti: žádná podpisový algoritmus: SHA512withRSA 10. Vydání certifikátu a uložení do souboru v kódování PKCS#7. 11. Instalace certifikátu. 12. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického - 3 -

13. Vygenerování klíčů a žádosti o certifikát. Otestování dalších položek v dname žádosti, rozšíření žádosti a větší velikosti klíčů. položky dname žádosti: domaincomponent, street, CN, givenname, surname, initials rozšíření žádosti: KeyUsage, ExtendedKeyUsage, BasicConstraints, SubjectKeyIdentifier velikost klíčů: 8192 bitů podpisový algoritmus: SHA1withRSA 14. Vydání certifikátu a uložení do souboru v kódování DER. 15. Instalace certifikátu. 16. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického CHYBA Chyba! Nenalezen zdroj odkazů. 5.2 Ověření funkčnosti ve Windows Vista Datum testování: 16. 10. 2011 Použitý testovací stroj: č. 2 17. Vygenerování klíčů a žádosti o certifikát. položky dname žádosti: CN, L, state, C, O, OU, title, KeyUsage CHYBA 4 18. Vydání certifikátu a uložení do souboru v kódování DER. 19. Instalace certifikátu. CHYBA 2 20. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.3 Otestování dalších funkcí programu ve Windows 7 Datum testování: 16. 10. 2011 Použitý testovací stroj: č. 1 21. Vygenerování klíčů a žádosti o certifikát. Nastavení vyšší úrovně zabezpečení softwarových klíčů (klíče chráněné heslem). položky dname žádosti: C, CN 22. Vydání certifikátu a uložení do souboru v kódování DER. 23. Instalace certifikátu. - 4 -

24. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 25. Vygenerování klíčů a žádosti o certifikát. položky dname žádosti: C, CN 26. Opětovné vygenerování žádosti o certifikát na základě klíčů vygenerovaných v kroku 25. položky dname žádosti: C, CN 27. Porovnání žádostí z kroku 25 a 26. Měly by být stejné (minimálně by měly obsahovat stejný veřejný klíč). 28. Vydání certifikátu a uložení do souboru v kódování DER. 5 29. Instalace certifikátu. 6 30. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 31. Vygenerování DSA klíčů a žádosti o certifikát: položky dname žádosti: C, CN velikost klíčů: 1024 bitů podpisový algoritmus: SHA1withDSA 5.4 Generování klíčů do USB tokenu ve Windows 7 Datum testování: 24. 12. 2011 Použitý testovací stroj: č. 3 32. Vygenerování klíčů a žádosti o certifikát do USB tokenu Aladdin eoken Pro. položky dname žádosti: C, state, L, O, OU, CN typ úložiště klíčů: USB token Aladdin eoken Pro podpisový algoritmus: SHA-1 7 33. Vydání certifikátu a uložení do souboru v kódování DER. 34. Instalace certifikátu do USB tokenu. CHYBA 2 35. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 8-5 -

36. Vygenerování klíčů a žádosti o certifikát do USB tokenu SafeNet ikey 4000. položky dname žádosti: C, state, L, O, OU, CN typ úložiště klíčů: USB token SafeNet ikey 4000 podpisový algoritmus: SHA1withRSA 37. Vydání certifikátu a uložení do souboru v kódování DER. 38. Instalace certifikátu do USB tokenu. 39. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.5 Generování klíčů do USB tokenu ve Windows testování novějšího obslužného softwaru k tokenu Datum testování: 8. 1. 2012 Použitý testovací stroj: č. 4 40. Vygenerování klíčů a žádosti o certifikát do USB tokenu SafeNet ikey 4000. položky dname žádosti: C, state, L, O, OU, CN typ úložiště klíčů: CSP SafeNet Smart Card Key Storage Provider 8 41. Vydání certifikátu a uložení do souboru v kódování DER. 42. Instalace certifikátu do USB tokenu. 43. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 44. Ověření funkčnosti klíčů a certifikátu podepsáním dokumentu v programu MS Word 2010 CHYBA 9 6 Poznámky k testovacím scénářům 1. Do vygenerované žádosti je automaticky přidáváno rozšíření SubjectKeyIdentifier bez ohledu na nastavení v konfiguračním souboru. Vygenerované klíče jsou se samopodepsaným certifikátem uloženy do úložiště Windows s názvem Požadavek na zápis certifikátu. 2. Při instalaci certifikátu musí být ve Windows již nainstalovány certifikáty certifikační autority, jinak program zobrazí chybovou hlášku, že se nepodařilo sestavit certifikační cestu k důvěryhodné kořenové certifikační autoritě. - 6 -

o samé platí pro instalaci certifikátu ve formátu PKCS#7. Pokud není certifikát kořenové certifikační autority v souboru s certifikátem přítomen v úložišti Windows, instalace certifikátu se nezdaří. 3. Nepodařilo se ověřit funkčnost vydaného certifikátu v programu Form Filler, protože program nenabízel tento certifikát na seznamu certifikátů pro podepsání formuláře. Přitom export certifikátu včetně klíčů z úložiště Windows se zdařil. Pravděpodobně bylo příčinou nastavené rozšířené použití klíče. V certifikátu byly nastaveny položky Podepisování kódu a Zabezpečení e-mailu, takže Form Filler zřejmě vyhodnotil, že certifikát není určen k podepisování formulářů a nezahrnul jej na seznam certifikátů určených k podpisu formuláře. 4. Ve Windows Vista se nepodařilo vygenerovat žádost se znakem čárka v názvu organizace. Program považoval tento znak za oddělovací znak údajů dname žádosti. Ve Windows 7 k tomuto problému nedošlo. 5. Pro opětovné vygenerování žádosti na základě existujících klíčů bylo potřeba nejprve zjistit název kontejneru s klíči pomocí příkazu: 1 certutil.exe store user Request Z konfiguračního souboru bylo následně potřeba odstranit parametry Exportable, ExportableEncrypted (nastavení exportovatelnosti klíčů) a KeyProtection (nastavení ochrany klíčů), aby se vygenerování žádosti podařilo. Do úložiště Požadavek na zápis certifikát se vygeneroval druhý samopodepsaný certifikát, který se podle informací z programu CertUtil odkazoval na stejný kontejner s klíči. 6. Z úložiště Požadavek na zápis certifikátu byl v průběhu instalace certifikátu odstraněn jeden z přítomných certifikátů a v úložišti Osobní se zobrazil vydaný certifikát s přidruženými klíči. 7. DSA klíče se podařilo vygenerovat za použití poskytovatele kryptografických služeb Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider. Podařilo se vygenerovat klíče o maximální velikosti 1024 bitů a pouze s hashovací funkcí SHA-1 v podepisovacím algoritmu žádosti. 8. Při generování klíčů do USB tokenu Aladdin eoken Pro i SafeNet ikey 4000 se zobrazí okno pro zadání PIN k USB tokenu. Pokus o vygenerování žádosti s podpisovým algoritmem založeným na hashovací funkci z rodiny SHA-2 skončil - 7 -

chybou. Vygenerování žádosti podepsané za použití hashovací funkce SHA-1 již proběhlo bez problémů. 9. Nepodařilo se podepsat formulář pomocí klíčů vygenerovaných pomocí novějšího CSP. Program Form Filler vypisoval chybovou hlášku, že se nepodařilo najít soukromý klíč. Přitom podepsání stejnými klíči v programu MS Word 2010 proběhlo v pořádku. Podepsání formuláře ve Form Filleru se podařilo, když se v obslužném softwaru k tokenu nastavil pro certifikát starší CSP (volba Nastavit jako CSP ). Program CertReq ve Windows 7 nevypisuje žádné textové informace, CertReq ve Windows Vista ale již ano. Generování RSA klíčů o velikosti 8192 bitů (do softwarového úložiště) již trvalo delší dobu (zhruba 4 minuty). - 8 -