estovací protokol Příloha č. 13 1 Informace o testování estovaný generátor: CertReq 6.1.7600.16385 1 CertReq 6.0.6002.18005 2 1 Verze generátoru ve Windows 7 Service Pack 1 2 Verze generátoru ve Windows Vista Service Pack 2 2 estovací prostředí estovací stroj č. 1: estovací stroj č. 2: estovací stroj č. 3: estovací stroj č. 4: Certifikáty vydány autoritou: HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB SAA OS: Windows 7 Service Pack 1 SW: Software602 Form Filler 4.02.22.11.0617 HW: virtuální stroj ve VirtualBox 4.0.10; emulovaná čipová sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Software602 Form Filler 4.02.22.11.0617 HW: fyzický počítač; základní deska Gigabyte EP35-DS3R; procesor Intel Core2 Duo E8400 (3 GHz); 4GB RAM; harddisk 160 GB SAA; Aladdin eoken Pro; SafeNet ikey 4000 OS: Windows 7 Service Pack 1 SW: Software602 Form Filler 4.02.22.11.0617; Aladdin eoken PKI Client 5.1 SP1; SafeNet Borderless Security 7.0 SP2 HW: fyzický počítač; základní deska Gigabyte EP35-DS3R; procesor Intel Core2 Duo E8400 (3 GHz); 4GB RAM; harddisk 160 GB SAA; SafeNet ikey 4000 OS: Windows 7 Service Pack 1 SW: Software602 Form Filler 4.02.22.11.0617; SafeNet Authentication Client 8.0 SP2; MS Word 2010 vlastní testovací certifikační autorita 3 Vlastnosti generátoru klíčů Kompatibilita Podporované operační systémy: Podporované webové prohlížeče: Windows Vista Windows 7 není relevantní Další vyžadovaný SW: žádný - 1 -
Generované klíče Algoritmus generovaných klíčů: Velikost generovaných klíčů: Podporovaná úložiště klíčů: Podporovaná API pro hardwarová úložiště klíčů: Žádost o certifikát RSA DSA RSA: 1024 bitů, 2048 bitů, 4096 bitů, 8192 bitů DSA: 512-1024 bitů softwarová hardwarová MS CryptoAPI Struktura žádosti o certifikát: uživatelsky definovaná Položky v dname žádosti: Rozšíření žádosti: Podepisovací algoritmus žádosti: Kódování souboru se žádostí: Opětovné vygenerování žádosti pro existující klíče: Instalace certifikátu Způsob instalace certifikátu: Podporovaná kódování souboru s certifikátem: Legenda ke třetímu sloupci: C, state, L, street, O, OU, CN, emailaddress, givenname, surname, title, initials, domaincomponent SubjectAlternativeName BasicConstraints SubjectKeyIdentifier KeyUsage ExtendedKeyUsage 1 SHA1withRSA SHA256withRSA SHA384withRSA SHA512withRSA DER PEM ano 2 načtení certifikátu ze souboru a jeho uložení do úložiště Windows DER PEM PKCS#7 V... tato informace pochází od výrobce generátoru (webové stránky, uživ. podpora, atd.)... tato informace byla zjištěna na základě tohoto testování 4 Doplňující informace 1. Lze specifikovat prakticky jakékoliv rozšíření žádosti. Do konfiguračního souboru se ale musí uvést OID (objektový identifikátor) rozšíření a posloupnost bytů daného rozšíření v Base64 kódování nebo zakódovaných do hexadecimálních číslic. 2. Pro opětovné vygenerování žádosti je potřeba zjistit identifikátor datového kontejneru s klíči v úložišti Windows a doplnit jej do konfiguračního souboru. Po druhém - 2 -
vygenerování žádosti vznikne v úložišti Požadavek na zápis certifikátu další samopodepsaný certifikát. Další informace jsou uvedeny v poznámce č. 5 k testovacím scénářům. 5 estovací scénáře 5.1 Podrobné testování ve Windows 7 Datum testování: 16. 10. 2011 Použitý testovací stroj: č. 1 1. Vygenerování klíčů a žádosti o certifikát. Struktura žádosti podobná struktuře žádostí vytvořených generátory I.CA. položky dname žádosti: CN, L, state, C, O, OU, title, KeyUsage 2. Vydání certifikátu a uložení do souboru v kódování PEM. 1 3. Instalace certifikátu. CHYBA 2 4. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5. Vygenerování klíčů a žádosti o certifikát. Struktura žádosti podobná struktuře žádostí vytvořených generátory PostSignum. položky dname žádosti: C, O, OU, OU, CN, title velikost klíčů: 4096 bitů podpisový algoritmus: SHA384withRSA kódování: DER 6. Vydání certifikátu a uložení do souboru v kódování DER. 7. Instalace certifikátu. 8. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 9. Vygenerování klíčů a žádosti o certifikát. Struktura žádosti podobná struktuře žádostí vytvořených generátorem eidentity. položky dname žádosti: C, O, OU, CN, emailaddress rozšíření žádosti: žádná podpisový algoritmus: SHA512withRSA 10. Vydání certifikátu a uložení do souboru v kódování PKCS#7. 11. Instalace certifikátu. 12. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického - 3 -
13. Vygenerování klíčů a žádosti o certifikát. Otestování dalších položek v dname žádosti, rozšíření žádosti a větší velikosti klíčů. položky dname žádosti: domaincomponent, street, CN, givenname, surname, initials rozšíření žádosti: KeyUsage, ExtendedKeyUsage, BasicConstraints, SubjectKeyIdentifier velikost klíčů: 8192 bitů podpisový algoritmus: SHA1withRSA 14. Vydání certifikátu a uložení do souboru v kódování DER. 15. Instalace certifikátu. 16. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického CHYBA Chyba! Nenalezen zdroj odkazů. 5.2 Ověření funkčnosti ve Windows Vista Datum testování: 16. 10. 2011 Použitý testovací stroj: č. 2 17. Vygenerování klíčů a žádosti o certifikát. položky dname žádosti: CN, L, state, C, O, OU, title, KeyUsage CHYBA 4 18. Vydání certifikátu a uložení do souboru v kódování DER. 19. Instalace certifikátu. CHYBA 2 20. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.3 Otestování dalších funkcí programu ve Windows 7 Datum testování: 16. 10. 2011 Použitý testovací stroj: č. 1 21. Vygenerování klíčů a žádosti o certifikát. Nastavení vyšší úrovně zabezpečení softwarových klíčů (klíče chráněné heslem). položky dname žádosti: C, CN 22. Vydání certifikátu a uložení do souboru v kódování DER. 23. Instalace certifikátu. - 4 -
24. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 25. Vygenerování klíčů a žádosti o certifikát. položky dname žádosti: C, CN 26. Opětovné vygenerování žádosti o certifikát na základě klíčů vygenerovaných v kroku 25. položky dname žádosti: C, CN 27. Porovnání žádostí z kroku 25 a 26. Měly by být stejné (minimálně by měly obsahovat stejný veřejný klíč). 28. Vydání certifikátu a uložení do souboru v kódování DER. 5 29. Instalace certifikátu. 6 30. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 31. Vygenerování DSA klíčů a žádosti o certifikát: položky dname žádosti: C, CN velikost klíčů: 1024 bitů podpisový algoritmus: SHA1withDSA 5.4 Generování klíčů do USB tokenu ve Windows 7 Datum testování: 24. 12. 2011 Použitý testovací stroj: č. 3 32. Vygenerování klíčů a žádosti o certifikát do USB tokenu Aladdin eoken Pro. položky dname žádosti: C, state, L, O, OU, CN typ úložiště klíčů: USB token Aladdin eoken Pro podpisový algoritmus: SHA-1 7 33. Vydání certifikátu a uložení do souboru v kódování DER. 34. Instalace certifikátu do USB tokenu. CHYBA 2 35. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 8-5 -
36. Vygenerování klíčů a žádosti o certifikát do USB tokenu SafeNet ikey 4000. položky dname žádosti: C, state, L, O, OU, CN typ úložiště klíčů: USB token SafeNet ikey 4000 podpisový algoritmus: SHA1withRSA 37. Vydání certifikátu a uložení do souboru v kódování DER. 38. Instalace certifikátu do USB tokenu. 39. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 5.5 Generování klíčů do USB tokenu ve Windows testování novějšího obslužného softwaru k tokenu Datum testování: 8. 1. 2012 Použitý testovací stroj: č. 4 40. Vygenerování klíčů a žádosti o certifikát do USB tokenu SafeNet ikey 4000. položky dname žádosti: C, state, L, O, OU, CN typ úložiště klíčů: CSP SafeNet Smart Card Key Storage Provider 8 41. Vydání certifikátu a uložení do souboru v kódování DER. 42. Instalace certifikátu do USB tokenu. 43. Ověření funkčnosti klíčů a certifikátu podepsáním elektronického 44. Ověření funkčnosti klíčů a certifikátu podepsáním dokumentu v programu MS Word 2010 CHYBA 9 6 Poznámky k testovacím scénářům 1. Do vygenerované žádosti je automaticky přidáváno rozšíření SubjectKeyIdentifier bez ohledu na nastavení v konfiguračním souboru. Vygenerované klíče jsou se samopodepsaným certifikátem uloženy do úložiště Windows s názvem Požadavek na zápis certifikátu. 2. Při instalaci certifikátu musí být ve Windows již nainstalovány certifikáty certifikační autority, jinak program zobrazí chybovou hlášku, že se nepodařilo sestavit certifikační cestu k důvěryhodné kořenové certifikační autoritě. - 6 -
o samé platí pro instalaci certifikátu ve formátu PKCS#7. Pokud není certifikát kořenové certifikační autority v souboru s certifikátem přítomen v úložišti Windows, instalace certifikátu se nezdaří. 3. Nepodařilo se ověřit funkčnost vydaného certifikátu v programu Form Filler, protože program nenabízel tento certifikát na seznamu certifikátů pro podepsání formuláře. Přitom export certifikátu včetně klíčů z úložiště Windows se zdařil. Pravděpodobně bylo příčinou nastavené rozšířené použití klíče. V certifikátu byly nastaveny položky Podepisování kódu a Zabezpečení e-mailu, takže Form Filler zřejmě vyhodnotil, že certifikát není určen k podepisování formulářů a nezahrnul jej na seznam certifikátů určených k podpisu formuláře. 4. Ve Windows Vista se nepodařilo vygenerovat žádost se znakem čárka v názvu organizace. Program považoval tento znak za oddělovací znak údajů dname žádosti. Ve Windows 7 k tomuto problému nedošlo. 5. Pro opětovné vygenerování žádosti na základě existujících klíčů bylo potřeba nejprve zjistit název kontejneru s klíči pomocí příkazu: 1 certutil.exe store user Request Z konfiguračního souboru bylo následně potřeba odstranit parametry Exportable, ExportableEncrypted (nastavení exportovatelnosti klíčů) a KeyProtection (nastavení ochrany klíčů), aby se vygenerování žádosti podařilo. Do úložiště Požadavek na zápis certifikát se vygeneroval druhý samopodepsaný certifikát, který se podle informací z programu CertUtil odkazoval na stejný kontejner s klíči. 6. Z úložiště Požadavek na zápis certifikátu byl v průběhu instalace certifikátu odstraněn jeden z přítomných certifikátů a v úložišti Osobní se zobrazil vydaný certifikát s přidruženými klíči. 7. DSA klíče se podařilo vygenerovat za použití poskytovatele kryptografických služeb Microsoft Enhanced DSS and Diffie-Hellman Cryptographic Provider. Podařilo se vygenerovat klíče o maximální velikosti 1024 bitů a pouze s hashovací funkcí SHA-1 v podepisovacím algoritmu žádosti. 8. Při generování klíčů do USB tokenu Aladdin eoken Pro i SafeNet ikey 4000 se zobrazí okno pro zadání PIN k USB tokenu. Pokus o vygenerování žádosti s podpisovým algoritmem založeným na hashovací funkci z rodiny SHA-2 skončil - 7 -
chybou. Vygenerování žádosti podepsané za použití hashovací funkce SHA-1 již proběhlo bez problémů. 9. Nepodařilo se podepsat formulář pomocí klíčů vygenerovaných pomocí novějšího CSP. Program Form Filler vypisoval chybovou hlášku, že se nepodařilo najít soukromý klíč. Přitom podepsání stejnými klíči v programu MS Word 2010 proběhlo v pořádku. Podepsání formuláře ve Form Filleru se podařilo, když se v obslužném softwaru k tokenu nastavil pro certifikát starší CSP (volba Nastavit jako CSP ). Program CertReq ve Windows 7 nevypisuje žádné textové informace, CertReq ve Windows Vista ale již ano. Generování RSA klíčů o velikosti 8192 bitů (do softwarového úložiště) již trvalo delší dobu (zhruba 4 minuty). - 8 -